一、安全运营全景图
安全运营全景图调整的原因:一是公司在文化、部门、人员方面调整,导致有些部分不再适用;二是2024年针对安全运营规划开会讨论过多次,部分逻辑和内容有变化;三是安全运营工作范围有变化,需要进行合并、增加;四是经过2024年的实践,个人的观点有变化,需要更新。
调整后的安全运营全景图如:
整体的逻辑请参考上一篇文章《【极思】五年安全运营实践总结与未来思考》。
本文详细介绍各个模块和调整的原因。改名安全运营全景图的原因,是希望可以通过一张图讲明白安全运营工作,让CIO、业务、研发、运维、分支等核心客户更方便、更容易的理解安全运营工作。而不是像传统的方式一样,安全规划一份、风险评估一份、运营逻辑一份、技术架构一份,如果只是讲安全运营逻辑,使用IPDRRVL即可。
1、安全管理
安全负责人必修,目的是向CISO讲清楚安全运营工作的逻辑和核心模块。此部分更新较大,也是2024年个人成长较大的部分。
此模块的主要作用是承上启下,将需求方的需求(具体见图)翻译成CIO能轻易理解的方案。要注意的是CIO极少有安全出身,这个部分非常重要。需求子块,通过每年更新安全规划的方式,收集各个需求方的需求,优先级从上左到右,从上到下排列。规划子块,优先顺序同上,运营逻辑部分非常重要,要环环相扣,不是安全出身的领导主要看逻辑。策略子块,安全规范是安全运营执法依据公司越大越重要;例外管理,安全策略效果好的必要手段,管不好例外策略执行不可能到位;新工作自己先做,形成SOP,是自动化的基础,也是将工作交于他人执行的基础。执行子块,任务层层分解,建议使用飞书表格、任务、日程管理。评价子块,度量是眼睛,考核是驱动力,汇报是信息同步。
2、安全场景
运营负责人必修课,目的是向CISO、安全负责人讲清楚面临的主要问题,也是安全运营工作核心需求源。此部分更新较大,触发改动的原因是领导让我们整理应急预案,其实我们内部的运营流程很完善,思考两者区别后发现,CIO并不关心详细的运营流程,关心的是较大的安全风险场景有没有预案。
合规子块,分享个技巧,将各种法律法规文件收集起来,使用AI+RAG形成知识库,很好用。攻击子块,调整逻辑是只将需求方关注的高风险场景放进来,抓大放小是必修课。演练子块,没有前两个子块重要,但占用时间和精力非常多,有必要放进来。
3、安全能力
运营负责人必修课,目的是向CISO、安全负责人讲清楚如何做、做什么,是安全运营工作开发的核心逻辑。基于2024年的实践经验改动较大,触发点是内部攻防对抗实战演练、行业安全演练、领导说的多演多练。
识别子块,需求管理是指安全运营工作内容每月评估增删;要持续跟进学习新风险,否则很可能被攻击了才知道,会非常的被动;漏洞情报非常重要,这是黑客知而我不知的漏洞类型,我知黑客不知的漏洞优先级可以降低。防护子块,出网阻断很好用,DNS阻断很好用。监测子块,略。响应子块,实战能力非常重要,每年两次演练的核心目的之一是响应能力,不要小看向及时汇报的影响。恢复子块,很重要只能多演练来提升。溯源子块,略。通用能力子块:策略管理、应急预案、流程指引是管理;漏洞管理主要是隐患清理;告警运营、安全事件是入侵响应;有效验证、安全运营保障安全能力稳定输出;自动化、智能化全局赋能;攻防对抗、复盘改进是持续提升。
4、安全工具
运营负责人必修课,这是等于军事布防图,目的是让自己心明眼亮。需要清楚有哪些系统或工具,哪些系统或工具的特长是什么,系统或工具所在位置,是否解决所在位置的问题,还有哪些位置没有防御。
研发子块,空间原因,还有开源软件、开源组件、供应商管理、合同要求等措施没有写。办公子块,终端上杀毒、EDR、DLP必要;网络上准入、访问控制、NDR必要;邮件上安全网关、DLP必要。生产子块,主机上容器安全、HIDS、防病毒必要;网络访问控制、NDR、漏洞扫描必要;数据安全上API安全网关、数字水印必要。公网子块,WAF、资产监测、API安全必要。通用子块,资产管理、漏洞管理、告警管理、事件管理、自动化、有效性验证、安全例外管理必要。
5、信息资产
运营负责人必修课,这个不用解释。
二、安全运营未来展望
主要观点没有很大变化,详细可以参考《【极思】五年安全运营实践总结与未来思考》,补充内容如下。
最初看到LLM时,我觉得安全运营智能化有戏了。随着LLM应用和技术爆发式发展,现在我相信LLM+RAG等技术,可以解决自动化中的痛苦,决策的问题。2024年我们在安全运营场景下,收集了20个AI应用需求,有10个完成,近期分享出来。
AI有它的强项,也有它的局限性。上次在行业里交流时,AI存在的几个问题,一是开源模型已经非常强大已经解决了建设的问题,二是LLM能力成长极快不再需要高成本的硬件支撑,三是通过微调和RAG可以解决一本正经的胡说问题,四是LLM写代码能力成长极快相信能解决基于安全运营场景二开的问题。未来是智能安全运营的时代!
标签:总结,逻辑,子块,必要,实践,2024,安全,运营 From: https://www.cnblogs.com/o-O-oO/p/18667611原创 刘亦翔 Sven 极思