中国安全运营最佳实践.docx

中国平安运营最正确实践目录、人- 刖B.构建并平衡企业的SOC模式11 .云平安运营模型32. 1.利用云原生工具和攻击面管理来开展SOC能力32. 1. 1.云原生平安工具的集成32. 1.2.成熟的SOC需要利用攻击面管理发现问题并确定问题的优先级32. 1.3.在真实场景中测试并强化SOC的有效性4刖百中国的平安和风险管理（SRM）领导者常常感到他们的平安运营方法不再发挥效果。这是因为 多数平安运营中心（SOC）是根据以往的IT环境和威胁环境设计的，因此无法有效地检测和应对当 前以及未来的攻击。中国独特的监管要求和平安市场，为平安运营设定了具体的限制。中国的SRM领导者要取得 成功，不能简单地照搬国外平安实践，而要综合考虑本土情况。在中国，业务部门和云服务提供商 在平安运营中也发挥着关键作用。因此，平安运营需要转变为更加互联和灵活的运营模式，而非无 休止地扩展SOC的规模和范围。1 .构建并平衡企业的SOC模式中国政府针对平安运营发布了一系列的法律、方针和标准，SOC可帮助企业机构检测并防御来 自内外部的威胁。在规划建立SOC或优化现有SOC时，中国的SRM领导者应考虑需求和业务价 值、技术采用范围和SOC模式，以确定SOC的目标。24/7全天候的内部SOC团队通常需要至少12人，分别负责监控和检测、事件响应和追踪、威 胁情报和检测，以及自动化工程（SOC职责实例见图1）。一些企业机构对平安运营有很大需求， 但由于平安专业人员短缺、预算紧张、以及24/7全天候平安运营的高昂本钱等原因，无法负担完 整的内部SOC团队。另一些企业机构虽然意识到自身平安运营不成熟，但由于数据的敏感性或监管 限制，无法将功能全部外包。第1页共4页平安运营中心职责例如监控和检测监控和检测101100010110事件响应和追踪作为SOC的初始联络点.进行日常监控、警报和事件处理.处理基本的警报分类将复杂啃件上升到二线运营.对警扳进行调查并晌应.定义并睑证报警规那么。保持14待命”状态. 实施高级分析和威胁狩猎， 响应、验证和审核复杂事件. 发现SOC有待改进之处并明确改进措施.O B 威胁情报 收集威胁情报. 评估威胁的相关性. 指导其他角色依据威胁优先级采取行动。品检测和自动化工程 创立监控与响应用例. 根据其他同位提供的信总调整规那么 建立自动编排和响应剧本. 维护SOC工具的内容。来源Gartno764381 C图1平安运营中心职责例如混合SOC是解决上述问题的良策，可通过结合内外部资源来提供完整的SOC功能。与业务和CPO合作，确保平安运营适应互联互通的IT新环境数字化时代下的中心化平安管理与去中心化决策数字化和云扩大了内外部网络资产的边界和攻击面，平安运营的范围和复杂性也随之扩大和提 高。传统SOC,无论内部、外包或混合式，都不应局限于单纯的IT相关职责，而应涵盖所有用于 支持数字化及云端部署的网络资产。高效的SOC应整合平安资源和能力，同时对职责进行划分，推 动业务部门的决策。这就需要制定复杂的团队合作，对角色和责任进行细致的理解和界定（见图 2） o第2页共4页数字时代平安运营的互联方法SOCSOCZ*检测和自动化工程监控和检测标准流程和指标101100010110宗件晌应和追踪提供标准和建议作并传达另终决籁影子IT资产所祠言和管理看业务部门AIQpl业务部门Bpcfi业务部门CO B 底胁情报£业务部门的平安专家图2数字时代平安运营的互联方法2 .云平安运营模型在进行云迁移时，SRM领导者应充分了解平安运营职责，并与云提供商明确职责划分。在内部 责任方面，SRM领导者应根据企业机构面临的云计算的独特挑战，选择一种平安运营方法，以应对 这些挑战。SRM领导者需要确定，云平安运营是要嵌入到常规云运营中，还是嵌入常规平安团队 中，或自成一个独立的职能团队。2.1. 利用云原生工具和攻击面管理来开展SOC能力云原生平安工具的集成平安运营须紧跟变革的步伐，利用软件即服务(SaaS)和云基础设施和平台服务，适应云转型 带来的扩张和增长。多数云平安问题是由分散在云中各种服务和技术的错误配置造成的。由于云资 源具有弹性、使用期短和可编程的特点，因此云平安运营需高度依赖脚本和自动化。SRM领导者的优先事项之一就是要选择云平安功能，解决云部署中的可见性、错误配置和特权 活动问题。2.1. 2.成熟的SOC需要利用攻击面管理发现问题并确定问题的优先级对于大多数企业机构来说，中国的数字化转型使其网络资产的数量和复杂性陡增。在中国每年 进行的国家级攻防演练中，我们注意到，识别和分类资产以及去除不必要的资产以减少攻击面是重第3页共4页中之重。平安团队可利用新兴的攻击面管理技术，从内部管理的角度和外部攻击者的角度，克服资 产可性和漏洞管理等期问题。下面表格展示了测试SOC有效性的三种典型方法，旨在发现差距并为扩展提供依据。入侵和攻击,姒（BAS）在参透测试中，一位专家我一攻击队（红队）的任免是，利BAS通过从Saa部台、软件个专冢小组会在目标环境中， 利用真实的攻击技术对58定目 标展开攻击.用攻击者可以采用的所有手段，包括网络豹鱼、社会工收、物理常透、用伏和突装等 方式，对系统进行破坏.防守 队（蓝队）那么襄检测并防止攻 击.代遵和虚拟机发起的模拟攻 击，涌试企业机构的平安检测 能力，从而验证企业的平安态常规时间安排常规时间安排年度双系统上线前年度或半年度毋月.假设周或每日人为参与标度自动化程度来源：（(2022年6月中（可能遵律脚本，但仍是由低（根据执行过程中的条件进人为驱动）中（利用涌试人员的创造力和X （利用一些工具开展测试） 姓哈开展测试）高（每次都可运行完全相同的 涌试）低（可人为定利溶试场景，但 并不典型）中（如自动ta播地址空间）低（非常有限，以遨免褛电测s （如用于渊试、结果分析和这三种测试方法各有长处。SRM领导者应选择适合自身情况和需求的测试方法。自2016年以 来，中国的企业机构对于攻防演练越来越重视，并希望将其纳入日常平安运营中。第4页共4页