安全运营中心三部曲：前世 今生 未来

　　安全运营中心的演化是随着安全威胁和业务的变化而演化的。迄今为止，安全运营中心已经发展了三代，启明星辰分别梳理了从以资产为视角的安全运营中心1.0、以业务为视角的安全运营中心2.0，到如今的以全面的威胁感知与响应为视角的安全运营中心3.0。本文启明星辰将带您一起回顾安全运营中心的前世、今生，探索安全运营中心的未来之旅。

安全运营中心1.0-以资产为视角

　　在信息安全建设早期，更多地是部署各类安全设备和系统，逐渐形成了“安全防御孤岛”，导致了安全管理的成本急剧上升，而安全保障效率迅速下降。为此，出现了最早的安全管理系统，主要是实现对网络中分散的防火墙/VPN等设备的集中监控与策略下发，构建一个较为完整的边界安全统一防护体系。

　　随着对信息安全认识的不断深入，安全管理体系化思想逐渐成熟，出现了以信息系统资产为核心的全面安全监控、分析、响应系统—安全运营中心1.0。它以资产为主线，实现了较为全面的事件管理与处理流程，以及风险管理与运维流程。

　　1、资产为主线;

　　2、事件收集和管理;

　　3、服务内容：风险管理和安全运维。

　　随着客户业务的深化和行业需求的清晰，传统安全运营中心1.0理念和技术的局限性逐渐凸现出来，主要体现在三个方面：

　　1、在体系设计方面，传统安全运营中心围绕资产进行功能设计，缺乏对业务的分析;

　　2、在技术支持方面，传统安全运营中心缺少全面的业务安全信息收集;

　　3、在实施过程方面，传统安全运营中心实施只考虑安全本身，没有关注客户业务。

　　以资产为核心、缺乏业务视角的软肋使得传统安全运营中心不能真正满足客户更深层次的需求。

安全运营中心2.0-以业务为视角

　　安全运营中心1.0的出现，提升了用户信息安全管理的水平，从而也对信息安全管理有了更高的期望。对于用户而言，真正的安全不是简单的设备安全，而是指业务系统安全。IT资源本身的安全管理不是目标，核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性，因为业务才是企业和组织的生命线。要保障业务安全，就要求为用户建立一套以业务为核心的管理体系，从业务的角度去看待IT资源的运行和安全，于是出现了面向业务的安全运营中心2.0。

　　安全运营中心2.0继承和发展了传统安全运营中心1.0的集中管理思想，将安全与业务融合，真正从客户业务价值的角度去进行一体化安全体系的建设。

　　安全运营中心2.0的定义：安全运营中心2.0是一个以业务为核心的、一体化的安全管理系统。安全运营中心2.0从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。安全运营中心2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

　　安全运营中心2.0的价值就在于确保IT可靠、安全地与客户业务战略一致，促使客户有效地利用信息资源，降低运营风险。

　　从产品的角度来看，从安全运营中心1.0到安全运营中心2.0，实现了业务与安全的融合。

　　从服务的角度看，安全运营中心将成为MSSP(可管理安全服务提供商)的服务支撑平台，成为SaaS(软件即服务，安全即服务)的技术支撑平台，成为云计算、云安全的安全管理后台。所有用户体验到的安全服务都会由安全运营中心来进行总体支撑。一方面，安全运营中心产品的业务理念和思路会渗透到安全运营中心服务之中;另一方面，安全运营中心服务水平与客户认知的提升也会促进安全运营中心产品的发展与成熟。

　　安全运营中心2.0也初步定义出了安全管理过程，对应了安全事件管理的事前、事中、事后三个阶段，事前重点是防护措施的部署，排兵布阵;事中是安全的监控与应急响应，对于可以预知的危险可以防护，但对于未知的危险只能是监控，先发现再想办法解决;事后是对安全事件的分析与取证，对于监控中没有报警的事件的事后分析。

　　安全防护管理：负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理，其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。

　　监控与应急调度中心：对安全事件综合分析，根据威胁程度进行预警，并对各种事件做出及时的应对反应。

　　审计管理平台：事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”，也是安全防护的依据。

　　安全服务贯穿于三个维度中，防护的策略需要对安全先整体评估，预警应急需要安全专家的分析与办法……安全运营中心的三个发展方向实现的功能需求是可以独立的，但其所需的信息来源基本是一样的，都是从设备的安全日志与链路的数据分析得来，安全运营中心建设好比是一个根上开出的三朵花。

　　安全管理的关键是考虑全面，遗漏本身就会给系统带来不安全的因素，所以安全运营中心的三个维度建设应该是相辅相成的，单独的哪一个方面都不可能替代其他方面的功能，三个方面相结合，覆盖安全事件的前、中、后整个周期，才可以全面保障客户业务的安全。

安全运营中心3.0-以全面威胁感知与响应的城市级运营为视角

　　安全运营中心2.0虽然融合了客户的业务，基于业务出发，解决安全威胁和风险，但是从2010每年后，从Google Aurora极光攻击、震网攻击、夜龙攻击等等众多APT攻击事件，反应出新的攻击手法和攻击手段都在发生变化。而0day漏洞攻击、鱼叉式钓鱼攻击，利用漏洞远程获得初始控制权，水坑攻击、勒索病毒，APT攻击以及专业的攻击组织形成了最新的攻击事件的主角闪亮登场。这些新攻击方式和攻击者的出现，也彻底打破了依靠传统被动式防御体系。

　　“魔高一尺，道高一丈”。信息安全是攻与防的对抗，在一个过程之中达到动态的平衡。单纯被动式防御(Protection)措施无法抵御蓄谋已久的攻击，任何基于“规则”的防御都难以避免被欺骗或被绕过。因此，Gartner提出的自适应安全架构强调了检测、预警、响应的重要性。Gartner预测到2020年，防范措施将不再重要，关键是监控和情报，60%的安全预算会投入到检测和响应中。

　　如何实现信息安全，应对日益增长的安全威胁?当前，不论是用户还是安全从业者都已经从单纯强调防护，转变到注重预警、检测、响应的格局，安全能力从“防范”为主转向“快速检测和响应能力”的构建，实时防御将以“情报”为中心，它不再强调单点的检测，也不再单纯的追求告警的精确性，而是将若干的点关联起来，以数据为驱动来解决问题。

　　从行业内厂商、用户的一致看法来看，解决此类问题的主要方式是，建立基于云计算和大数据分析的托管式第三方安全运营中心，是解决以上网络安全能力在政府及企业侧落地困难的主要方式。

　　启明星辰在行业内首先提出建立独立于建设者和使用者的第三方安全运营中心，为城市政府机构、企业及智慧城市建设，提供托管式、外包式的7*24小时专业安全运营服务;为城市打造专职的网络空间安全应急响应中心，提高针对政府机构、企业及网络空间危害事件的发现与响应能力、加强对潜在攻击的监测和调查能力;由区域性第三方安全运营中心为城市提供专业的托管式安全服务，是有效提升城市网络安全能力的方式，是解决安全能力交付“最后一公里”的最佳选择，近年来逐渐成为国内外网络安全产业发展的重要方向。

　　安全运营中心3.0也将会在围绕第三方安全运营中心针对下面四个方面重点进行建设：

全面的感知基础能力建设

　　所谓“全面“是指对与信息安全相关的情报感知能力，全面的安全监测是安全运营平台的安全技术手段的基础，针对终端、云端和数据传递的管道端进行数据的收集和分析，为整体的安全态势提供基础数据服务。包括：设备运行状态、资产、网站、终端事件、安全日志、流量、威胁，漏洞，攻击者的战术和技术，自身的安全状态和安全能力感知。

　　当前用户获得的告警能力和响应能力都来自于安全设备的威胁以及脆弱性分析报告，而对于安全系统自身的安全状态和能力方面的检测却十分缺乏。例如：关键业务系统和重要数据的安全状态，安全防护能力的执行情况，以及内部威胁违规的感知能力等。

　　其次，对于攻击者来说，所采用的攻击手段和攻击战术不能及时发现或者不了解，或者不能及时更新，现有的安全技术、安全管理手段无的放矢，应对失措导而致信息安全体系失效。

　　在这方面，MITER发布的的ATT&CK知识库是一个了解攻击者采用何种战术和技术攻陷企业信息系统的有效途径。

构建异常行为的线索发现能力

　　传统基于关联规则的威胁监测手段是无法发现高级持续性威胁(APT、未知威胁)等攻击，因为APT攻击的时间轴有可能长达数年，而每次的攻击动作需要长时间的关联才能被发现。但是，从攻击开始到攻击结束，整个攻击过程会持续多个“动作”，每个动作一定区别于正常的用户行为，如：寻找重要资产信息、大量访问系统和数据，越权访问不经常访问的敏感数据，试图获取关键业务系统和数据，掩盖攻击行为和操作痕迹，以同一身份通过不同设备登录等。那么对于已经渗透到系统内部的攻击者而言，异常行为检测则成为识别该类威胁的唯一机会。因此，对企业内部用户和设备行为异常的检测和预警是发现高级安全威胁的关键。

　　利用各类数据源，构建的企业信息安全情报系统，感知“什么人、什么设备(Who)，在什么时间(When)，什么地点(Where)，通过什么应用(How)，访问或操作了哪些资产(What)”，构建以用户和设备为基点的信息系统画像，是发现异常行为——不论是自动的机器学习方式，还是人工分析方式的基础。

　　在这个基础上，基于UEBA技术，通过分析挖掘与“正常”模式存在偏差的异常行为，来检测具有威胁的用户和实体，使用机器学习、算法和统计分析等手段来了解何时与已建立的模式存在偏差，通过与自身账号原行为模型进行比较，结合其他维度的异常行为模型进行分析，发现哪些账户可能被不法分子盗取控制，还可以对涉及的异常类型，异常情况明细、轨迹分布等信息进行发现，显示哪些异常可能导致潜在的真实威胁，是检测内部用户的异常行为、分析鉴别威胁的一件利器。系统还可以聚合报告和日志中的数据，以及关联文件、流和数据包信息，在海量日志数据的噪声中，有效降低安全事件分析的工作量，提高告警的针对性和准确率。通过与SIEM类平台，譬如安全运营中心和态势感知平台的结合，可发挥更多有效价值。

　　构建关键事件的分析能力

　　异常行为就是安全事件的一条重要线索。现实场景中，用户一线的安全分析师在发现可疑线索后，由于对线索研判的可信原始数据支持的条件制约，很难实现对其事件定性及溯源，处于被动防御的局面。如果构建异常行为的钻取、关联、挖掘非常重要，能够化被动防御为主动防御。通过分析将一连串的线索穿起来，由点及面进而逼近真相。例如：从可疑IP、关联到访用户，从可疑的用户关联到其使用应用、数据库或相关敏感文件等，以时间维度，确定出恶意行为的行为序列，进一步可进行相关的威胁定位等。对攻击能力强的攻击者IP和被攻击次数最多的IP 进行流量溯源取证，查看攻击的原始流量包或内部异常行为的原始流量包，确认是否已攻入内网。

　　通过机器学习算法量化出攻击者的攻击破坏性(攻击武力值)和攻击密集程度(攻击值)，对高危的IP进行自动封堵;

　　与私域情报库进行比对，对比成功的IP地址进行自动/手动封堵(需要了解安全防护产品是否支持)。

　　上述过程，必须依赖于一个专业的数据分析平台，通过这个数据分析平台，可以整合丰富的数据源，通过数据挖掘构建企业信息系统“画像”，刻画各类用户、设备的行为特征，对异常行为进行自动化检测和预警，能够以异常行为线索按照时间序列关联用户，设备，应用，数据，结合威胁情报，确定威胁指标，结合专业的安全分析师最终定位威胁。

构建及时响应处置的安全闭环

　　安全以“检测”为始，以“响应”为终。在攻击者对企业信息系统造成最终损害之前，制止损害或降低损失是信息安全体系的最终防线，也是及时响应的目标。当检测到威胁后，及时响应则依赖于安全生态，现在安全人员的工作强度和压力非常之高，能降低工作量并提高效率的产品肯定会广受欢迎，例如：SOAR。采用了自动化的安全编排 (Security Orchestration)技术，使得不同的系统或者单个系统内部不同组件可以通过应用编程接口(Application Programming Interface，API)和人工检查点按照一定的逻辑关系组合到一起，用以完成某个特定安全运营的过程，使得在告警事件在被触发时可以按照预定义的逻辑进行多业务系统、多设备、多层级的联动，实现了安全事件响应的半自动化。

未来展望

　　未来，启明星辰认为安全运营中心一项重要任务是结合全国各地的个性化安全运营中心的实战化场景，在三级不同运营中心汇总和输出不同的安全能力，在落地的过程中深度结合人工智能技术和安全分析技术，不断提升安全运营的管理水平，并通过行业标准来规范化输出安全运营中心运营脚本、ATT&CK攻击模型和私域情报。精准定位安全事件，提升安全事件响应和处置速度。

安全攻防人员的工作环境将从被动实战化变为主动实战化

　　以前安全厂商的安全攻防人员研究都是被动式的实战化处置安全问题，客户只有出现问题才能去找到原厂去解决，发现一些攻击事件。而厂商构建顶部运营中心后，省级和地市级将会构建出基于不同业务的实战化攻击场景。所以。未来厂商的安全攻防人员很有可能隶属于原厂安全运营中心，进行实战化分析，发现高危安全威胁、APT攻击、输出ATT&CK攻击模型和安全情报等。

围绕业务产生的个性化安全运营中心

　　根据客户业务的需求不同将会产生个性化的安全运营中心，基于驻场形式的重量级安全运营服务，构建个性化安全运营中心，以客户需求为导向，根据用户现状及安全目标为基准进行定制化安全服务，提供覆盖客户信息系统规划、设计、建设和运行的全生命周期的专业安全服务解决方案和最佳实践服务，并且在用户现场持续运营。

　　其中基于驻场形式的重量级安全运营服务涵盖综合安全监管服务、综合安全运营服务、数据安全专项运营服务、工控安全专项运营服务和云安全专项运营服务五大类，其中包含多个服务子项，针对安全运营服务进行了全覆盖，为用户提供全方位的安全服务、全程无忧的安全运营交付。

三级安全运营中心将汇集和输出不同的安全能力

　　运营中心按照规模可以分为地市级和行业级安全运营中心、省级安全运营中心及厂商头部安全运营中心共三级运营中心。

　　地市级和行业级安全运营中心输出实战化安全场景，省级运营中心输出实战化安全分析师，而厂商级安全运营中心将输出APT发现、ATT&CK攻击模型、高危漏洞、安全运营工作脚本等攻击发现能力和运营能力。

　　地市级和行业级安全运营中心充分构建可视化网络态势感知能力，用不同的逻辑空间发现网络空间事件、事件影响和关联动作。打造实战安全攻防场景，及时掌握威胁态势，进而做出更快速、更明智的行动决策，为上游运营中心提供实战化安全场景，地市级和行业级运营中心将会构建三大能力：

　　1、实现“看见自己的威胁”阶段;

　　2、实现“看见攻击场景的能力”阶段;

　　3、实现“感知攻防态势的能力”阶段。

　　省级运营中心输出实战化安全分析师，由于地市级安全运营中心在当地缺乏专业的安全运营人才和安全分析师，省级运营中心将会作为安全运营资源池，积极服务安全运营人才，如安全运营人员，一线分析师、二线分析师等等。另外，不同的运营中心输出不同的安全运营人才，如：数据安全方向、云安全方向、工业安全方向等。

　　启明星辰安全运营中心，作为主要技术能力输出资源池，积极构建安全运营中心管理资源池，安全工具开发能力资源池，结合地市级和省级安全运营中心提供的实战化攻防场景，结合头部专业的三线安全分析师，持续输出APT发现、ATT&CK攻击模型、高危漏洞、安全运营工作脚本等攻击发现能力和运营能力，持续为省级和地市级各个运营中心输出威胁感知能力和安全运营管理能力。

私域情报的诞生

　　个性化的运营中心一定衍生出符合自己运营中心业务的私域情报。

　　目前，公有威胁情报这一安全数据源摆在企业安全团队面前的应用难题主要有三个：

　　多，威胁情报数据源多、数量多，数量的庞大加上情报本身的置信度问题，会带来大量的检出误报，安全人员疲于应对;

　　杂，威胁情报种类杂，应用场景复杂，不同的情报可能位于攻击链的不同阶段，不同的场景侧重的是不同的攻击者，例如云平台的情报应用关注外部攻击者，企业侧的情报应用主要关注的是内网有无受感染的主机或者对外的恶意行为。不同场景中应用威胁情报的种类也是有差异的;

　　快，威胁情报更新快，在前面两个问题“多”和“杂”的映衬下，更新速度可能成为压倒安全管理人员的最后一根稻草。如果没有合适的情报自动化运营流程，这一系列的情报检测、事件跟踪、事件确认和威胁溯源将会是人力投入产出比极低的工作。

　　所以，构建安全运营中心自己的私域情报尤为重要，私域情报是根据个性化安全运营中心的攻击场景，进行实战化分析，确定攻击动作、攻击手法、攻击工具和使用的攻击漏洞，尤其是在不同的业务领域，如大数据领域、数据安全领域、云安全领域，这些攻击动作、手法、漏洞和工具都是不同的。构建私域情报将会为不同的个性化安全运营中心快速定位安全事件的攻击过程，快速应急和响应攻击事件的影响范围，积极提供修复建议，这也是未来衡量安全运营中心能力的可量化指标。