一
之前我說過,安全可以分解為安全運營定铜、安全產(chǎn)品阳液、安全架構(gòu)。整個安全來說揣炕,架構(gòu)是大腦帘皿,產(chǎn)品是骨架,運營是血肉畸陡。
這里實際也突出了一點:安全的這一體三面沒有誰更重要鹰溜,只有相互之間的協(xié)作。協(xié)作關(guān)系丁恭,當(dāng)然是有主理與協(xié)理之分的奉狈。
同樣是運營,在云安全的不同場景涩惑,其意義和用法仁期,主理與協(xié)理關(guān)系都是不一樣的。具體講之前竭恬,我們再次回顧下安全運營的幾個基本內(nèi)容:
1跛蛋、應(yīng)急響應(yīng)與日常巡檢,比如日常安全問題的應(yīng)急處理痊硕、日常安全風(fēng)險的評估與上報赊级、還有定期的演習(xí)組織等等,這些都屬于這個范疇岔绸;
2理逊、安全研究,比如漏洞挖掘盒揉、攻防對抗晋被、滲透測試、安全策略的制定與效果分析刚盈、跟蹤羡洛,安全新技術(shù)的研究等等,都屬于這個范疇藕漱;
3欲侮、安全服務(wù)崭闲,比如威脅情報、安全數(shù)據(jù)分析威蕉、安全掃描刁俭、漏洞補丁推送與預(yù)警等等,都屬于這個范疇韧涨;
4牍戚、安全管理,比如代碼/行為審計氓奈、流程管理翘魄、合規(guī)(政策法律、內(nèi)部安全規(guī)范等)等等舀奶,都屬于這個范疇暑竟。
當(dāng)然,這些都是我自己從經(jīng)驗和習(xí)慣角度的理解育勺,不嚴(yán)謹(jǐn)也不是全部但荤,不過已經(jīng)囊括了絕大多數(shù)內(nèi)容了。
二
安全運營角度涧至,私有云與企業(yè)idc有更多相似的地方腹躁,這里把他們合在一起,統(tǒng)稱為企業(yè)idc安全南蓬。公有云來說纺非,與企業(yè)idc安全的運營有很大不同,我們分開說赘方。
首先是公有云環(huán)境的安全運營
在上一篇分享我說過烧颖,公有云環(huán)境的安全問題更重產(chǎn)品。所以相應(yīng)的窄陡,公有云環(huán)境里炕淮,一切安全能力的輸出都以安全產(chǎn)品為媒介和依托,安全產(chǎn)品本身的效果好壞跳夭,決定了客戶對公有云安全能力的評價涂圆。
基于此,公有云的安全運營團(tuán)隊在整個公有云安全里應(yīng)該處于協(xié)理地位币叹,且公有云的安全運營團(tuán)隊一切都以提高安全產(chǎn)品自身的安全能力為目標(biāo)润歉,安全運營團(tuán)隊本身不直接輸出任何安全價值。
具體來說套硼,大概以下幾點:
1卡辰、發(fā)現(xiàn)現(xiàn)有安全產(chǎn)品的不足,提出改進(jìn)建議和應(yīng)急處理方案邪意,積累一線安全數(shù)據(jù)和安全能力九妈;
2、為安全產(chǎn)品提供產(chǎn)品設(shè)計上的理論支撐雾鬼,提出安全產(chǎn)品的原型功能萌朱;
3、完善安全產(chǎn)品的安全邏輯策菜,豐富安全產(chǎn)品依賴的各種規(guī)則晶疼、特征庫等數(shù)據(jù);
4又憨、日常緊急情況的處理翠霍,以及臨時性的、或者短期內(nèi)安全產(chǎn)品不好解決的問題蠢莺;
5寒匙、根據(jù)產(chǎn)品現(xiàn)狀,以及日初锝客戶反饋锄弱,預(yù)研具體安全問題的解決對策,為產(chǎn)品改進(jìn)提供方向性建議祸憋。
接下來是企業(yè)idc安全運營
對企業(yè)idc安全來說会宪,安全是個重運營的場景。企業(yè)環(huán)境下蚯窥,業(yè)務(wù)復(fù)雜多變掸鹅,標(biāo)準(zhǔn)化、程序化的產(chǎn)品無法解決企業(yè)安全的具體需求拦赠。所以需要通過安全運營這種手段巍沙,實現(xiàn)更多個性化的做法來滿足企業(yè)idc安全的需求,這也是企業(yè)安全重運營的原因矛紫。
具體來說赎瞎,企業(yè)安全團(tuán)隊輸出以下幾點內(nèi)容:
1、日常應(yīng)急響應(yīng)颊咬,比如各種安全問題的實時處理务甥。
這部分業(yè)務(wù)量大概占了整個企業(yè)安全部門80%以上的人力和物力資源。日常應(yīng)急響應(yīng)團(tuán)隊是整個企業(yè)安全部門直接對外輸出安全能力的團(tuán)隊喳篇,是企業(yè)安全部門的一線團(tuán)隊敞临。
他們需要處理日常的各種告警分析,處理各種被發(fā)現(xiàn)的安全問題麸澜,并連接安全部門與其它所有業(yè)務(wù)部門挺尿,推動這些部門的安全問題的及時、準(zhǔn)確處理。
團(tuán)隊的跨部門協(xié)調(diào)能力是核心能力要求之一编矾,因為對于業(yè)務(wù)部門來說熟史,安全在多數(shù)時候都是不討喜的業(yè)務(wù)。在確保安全問題解決的過程中窄俏,經(jīng)常需要與相應(yīng)業(yè)務(wù)部門打交道蹂匹,通過各種方式推進(jìn)業(yè)務(wù)部門對安全措施、安全策略去落實凹蜈、實施限寞。
而這些措施多數(shù)時候都會增加業(yè)務(wù)部門的工作負(fù)擔(dān),所以這就特別考驗日常應(yīng)急與響應(yīng)團(tuán)隊的跨部門協(xié)調(diào)能力仰坦,以及責(zé)任心履植、執(zhí)行力。
2悄晃、根據(jù)企業(yè)業(yè)務(wù)情況玫霎,針對性的提出安全問題的可能風(fēng)險點,并制定合理可行的解決方案传泊,推動業(yè)務(wù)部門做出改進(jìn)鼠渺。
3、定期做安全巡檢眷细,審核既有安全策略的落實情況拦盹,并給出安全報告,通告相關(guān)所有部門和人員并推動解決溪椎。
4普舆、發(fā)現(xiàn)新的安全問題和既有安全問題解決措施的不足之處,與安全研究團(tuán)隊溝通校读,給出解決方案沼侣、解決計劃并跟蹤落實。
5歉秫、關(guān)注行業(yè)安全問題動向和趨勢蛾洛,針對本企業(yè)業(yè)務(wù)特點做出風(fēng)險評估和應(yīng)對措施,推動相關(guān)團(tuán)隊和部門落實措施雁芙。
以上是安全運營在公有云以及企業(yè)idc的做法區(qū)別轧膘,總結(jié)下就是:
公有云安全運營團(tuán)隊來說,其運營對象就是安全產(chǎn)品本身兔甘;企業(yè)idc安全運營團(tuán)隊來說谎碍,其運營對象是企業(yè)風(fēng)險安全風(fēng)險本身;公有云安全運營團(tuán)隊不直接對客戶輸出任何安全價值洞焙;企業(yè)idc安全運營團(tuán)隊直接對企業(yè)輸出安全價值蟆淀。
然后另外一個點拯啦,這里想單獨提下,就是上面屢次提到的安全策略問題熔任。
安全策略的制定需要日常應(yīng)急響應(yīng)褒链、安全研究、攻防對抗笋敞、安全服務(wù)等多個團(tuán)隊的通力協(xié)作碱蒙。其目的是針對已經(jīng)發(fā)現(xiàn)荠瘪、或者即將發(fā)生夯巷、或者根據(jù)安全經(jīng)驗認(rèn)為可能會發(fā)生的安全問題,制定應(yīng)對措施哀墓,跟蹤實施趁餐,實時驗證、實時反饋的做法篮绰、流程以及處理過程后雷。
因為涉及的面比較廣,所以在安全策略制定時吠各,需要注意一些基本面的事情:
1臀突、策略的制定需要考慮技術(shù)實現(xiàn)與最終效果之間的成本-收益關(guān)系。
比如贾漏,對于一些一次性策略候学,盡量使用現(xiàn)有工具和資源實現(xiàn),減少開發(fā)成本纵散,減少各種流程變動梳码、程序變動的工作量。
而通常伍掀,程序變動掰茶、流程變動這樣的事情本身就是風(fēng)險點,減少這些變動就是在規(guī)避風(fēng)險蜜笤。所以安全策略要盡量避免標(biāo)新立異濒蒋,以最簡單、最少的成本去達(dá)到安全目的把兔,避免對現(xiàn)有安全策略和流程的大修大改沪伙。
這點最容易在安全部門“新官上任三把火”的情況出現(xiàn),所以各位新上任的安全運營負(fù)責(zé)人要認(rèn)識到這點垛贤。不光是策略焰坪、流程這些業(yè)務(wù)層面,還包括人員聘惦、組織架構(gòu)層面的某饰,都盡量保持穩(wěn)定儒恋,非要調(diào)整也要盡量微調(diào)。
2黔漂、任何安全策略落實到最后都需要人來處理诫尽。
這里說的實際就是資源問題,也就是一個安全策略的好壞并不完全取決于安全效果的好壞炬守,而是安全效果牧嫉、安全目標(biāo)、資源適配的一個平衡减途。
比如酣藻,對于一些反入侵策略,并不是沒有漏報誤報就是好的鳍置,而且這樣的要求也是做不到的辽剧。更多的,我們要看這些漏報是不是在安全目標(biāo)的容忍度范圍內(nèi)税产,這些誤報是不是在日常應(yīng)急響應(yīng)及其它相關(guān)團(tuán)隊的處理能力范圍內(nèi)怕轿。
比如應(yīng)急響應(yīng)團(tuán)隊成員對告警信息的處理能力,一天是100條辟拷,某個安全策略的誤報大概一天是80條撞羽,那這個策略就是合格的。策略合格與否衫冻,沒有定量標(biāo)準(zhǔn)诀紊,更多是對你的團(tuán)隊的能力、業(yè)務(wù)目標(biāo)的綜合考慮后的折衷結(jié)果羽杰。
