1、群内每日免费分享5份+最新资料 群内每日免费分享5份+最新资料 300T网盘资源+4040万份行业报告为您的创业、职场、商业、投资、亲子、网赚、艺术、健身、心理、个人成长 全面赋能!添加微信,备注“入群”立刻免费领取 立刻免费领取 200套知识地图+最新研报收钱文案、增长黑客、产品运营、品牌企划、营销战略、办公软件、会计财务、广告设计、摄影修图、视频剪辑、直播带货、电商运营、投资理财、汽车房产、餐饮烹饪、职场经验、演讲口才、风水命理、心理思维、恋爱情趣、美妆护肤、健身瘦身、格斗搏击、漫画手绘、声乐训练、自媒体打造、效率软件工具、游戏影音扫码先加好友,以备不时之需扫码先加好友,以备不时之需行业报
2、告/思维导图/电子书/资讯情报行业报告/思维导图/电子书/资讯情报致终身学习者社群致终身学习者社群关注公众号获取更多资料关注公众号获取更多资料关于ISCISC成立于2013年,是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六维一体”的生态模式,全面赋能国家、政府、行业、企业、个人。过去10年,ISC秉承创新引领、智慧洞察、专业高效的宗旨,创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会互联网安全大会,树立了中国网络安全产业名片。版权声明本报告版权属于ISC,任何组织、个人未经授权,不得转载、更改或者以任何方式传送、
3、复印、派发该报告内容,违者将依法追究法律责任。转载或引用本报告内容需要注明来源,同时不得进行如下活动:不得擅自同意他人转载、引用本报告内容。不得引用本报告进行商业活动或商业炒作。本报告中的信息及观点仅供参考,ISC对本报告拥有最终解释权。专 I 家 I 寄 I 语网络安全不是靠安全产品堆砌就可以搞好的,网络安全是运营出来的!兜兜转转多年以后,现在终于成为网络安全从业者的共识。网络安全运营又是复杂的,过去曾是资源丰富、技术能力强的头部客户的专利,今天随着知识的共享,运营工具的进步,以及托管运营模式的出现,有更多的机构可以尝试通过网络安全运营提升自身的网络安全防御能力。ISC编写的这份ISC 20
4、23 安全运营市场洞察如同一本故事书,将网络安全运营的前世今生及未来向您徐徐道来!赛博英杰创始人 谭晓生安全运营摒弃了传统的,不合时宜的唯产品论思维,且已经成为广大业内人士的共识。数世咨询认为,安全运营是真正提升网络安全和数据安全能力即数字安全能力的关键纽带。安全运营有五个核心要素,平台,工具,管理,流程和人。如何有序、合理的贯穿好这五个要素,是做好安全运营的关键。ISC本次发布的安全运营报告,丰富全面,言之有物,有着很大的实用参考价值。数世咨询创始人 李少鹏ISC 2023 安全运营市场洞察一书厘清了安全运营的基本内涵,提出了安全运营发展的驱动力,从技术角度提出影响安全运营发展的核心能力,以
5、及企业安全运营能力构建的两种方式。本书在安全运营不断拓展的时点,为企业理解安全运营以及未来如何选择和布局安全运营团队具有较强的指导意义。赛迪顾问业务总监 高丹发展数字经济、建设数字中国已上升为国家战略,未来是高度数字化的数字孪生世界,安全威胁前所未有。网络安全威胁将遍布数字化所有场景,直接或间接地威胁整个现实世界,包括金融、工业生产、能源、交通、医疗、以及城市和社会治理。为应对严峻的安全威胁及数字化转型带来的问题,农银集团以企业级安全运营中心为抓手,打造农银集团一体化安全运营体系,提炼关键指标,挖掘隐蔽攻击,打通安全告警及安全漏洞的检测发现、流转处置、响应反馈的闭环流程,提升安全运营一体化、实
6、战化、自动化、智能化水平。ISC本次编写的安全运营报告具有一定的参考价值及指导意义,该报告详细分析了不同体量用户对于安全运营的需求,从多个维度介绍了企业如何构建安全运营能力,有助于企业全面了解网络安全形势,构建健全的安全运营体系,全面提升安全运营能力。中国农业银行 资深安全架构师 温景容金融行业是经济运行和社会发展的命脉,也是对信息系统依存度非常高的行业。在互联网金融模式兴起,外部网络安全环境恶化以及自身系统架构日趋复杂的新形势下,金融行业正面临着愈发严峻的网络安全威胁。依托现有传统安全能力,实现对安全威胁的提前感知与预测预防,对正在发生安全事件的实时防御和响应处置,对潜在的安全威胁的持续监测
7、,对已发生安全事件的分析溯源,以全面提升攻防能力为目标的安全运营建设势在必行。开泰银行通过建立CSOC,为数据中心形成整体安全态势感知及对未来短期预测的安全运营体系,通过态势分析能够很好的洞察银行内部整体安全状态。实时进行网络威胁检测,消除安全孤岛所导致的数据割裂问题,实时监测网络中各组成部分的安全状态,形成安全信息汇总枢纽、信息安全事件调查处置中心、全局网络安全态势感知中心,提高对信息安全事件风险的预警和响应能力。实现建立各类场景化的安全模型,以实现快速准确的发现各种内部人员违规或高危的操作。当发现安全事件时,支撑攻击溯源取证。同时能够进行预案编排与自动化响应,并开展持续评估。依托云端检测、
8、情报、分析、漏洞以及专家能力等,借助安全云端赋能提升本地安全能力,全面支撑本地安全运营。同时,开泰银行不断优化安全管理制度,将原本基于安全运维为主的网络环境,建设成依托专业人员安全运营的专业安全团队,借助外部专家能力,使银行内部网络具备高级未知威胁检测能力,并可进行溯源和反制。ISC本次发布的安全运营报告,针对各领域不同体量、不同需求的用户提供了部署指引,为金融行业安全运营建设提供决策参考。开泰银行 CIO 丁伟随着合规驱动、实战演练、实时监管的大背景下,网络安全防护体系建设不再是简单的堆砌设备,如何做好网络安全运营,全面把控网络安全态势,建设符合自身业务发展和时代需求的安全体系,是网络安全管
9、理人员的首要任务。目前中交集团已经建立安全运营中心平台,运营平台作为全网数据的汇总枢纽,结合多源的情报体系、漏洞数据和专家能力,实现整体安全态势感知、安全事件监测及预警、威胁攻击的处置与响应等网络安全运营一体化工作。中交集团以实战化、智能化、体系化为目标,持续开展网络安全运营平台建设,为中交集团网络与信息安全保驾护航。ISC本次发布的安全运营报告从运营发展历程、需求分析及核心能力多个维度较为全面的阐述安全运营理念,能够为各企业提供很好的决策参考,能够助力企业构建良好的安全运营体系。中交集团科学技术数字化部 总经理助理兼网络安全处处长 刘学忠 前 言纵观网络安全产业发展历程,网络安全的核心始终是
10、实现安全能力的最有效交付。在这一核心诉求驱动下,网络安全逐步从单项产品或服务,走向了基于纵深防御体系的一体化网络安全服务解决方案。在此背景下,闭环化、动态化、指标化、持续化的安全运营,成为安全能力交付的最优选之一。现阶段,随着云计算、大数据、人工智能等新技术的出现,安全运营已然迈入了规模化的发展阶段,不断迭代升级。新一代的安全运营体系面向政企数字化业务,将攻防实践与全球先进作战思想相融合,围绕“看见-处置”打造安全运营工作的完整闭环。通过以能力集中、数据集中、研判集中、专家集中、服务集中的模式,将数字安全要素进行重构,全面构建“人员+技术+流程”一体化的安全运营体系,全面提升政企数字化业务的主
11、动防护能力。因此,为了更好地帮助客户了解安全运营的现状及如何才能拥有安全运营能力,本报告着重分析了安全运营的发展驱动力及演变历程,通过全面剖析各类客户对于安全运营的需求,深度总结了安全运营的核心能力及重点技术,有针对性的为企业提出如何拥有“安全运营”能力的解决方案,并结合当前安全运营的现状系统性的阐述了安全运营的实际应用场景,列举了不同场景下安全运营的实践应用以供广大用户参考。目 录1.1 什么是安全运营?1.2 安全运营和安全运维之间的共性及差异性1 安全运营概述03042 安全运营发展的驱动力2.1 技术发展带来新威胁2.2 市场需求迎来新机遇2.3 政策法规带来新要求0707083 安全
12、运营的发展历程3.1 碎片化阶段3.2 全局化阶段3.3 可视化阶段3.4 智能化阶段111112134 各类客户对于安全运营的需求分析4.1 中小企业客户4.2 关基行业客户4.3 部委客户 1617185 安全运营的核心能力及重点技术5.1 安全运营的五大核心能力5.2 安全运营的关键核心技术21246 企业如何拥有安全运营能力6.1 企业如何构建合适的安全运营中心6.2 两种常见的安全运营服务34377 企业安全运营的落地实践7.1 天津信创安全产业集群服务项目7.2 鹏信科技网络安全能力综合管理平台建设项目7.3 国网某电力安全运营项目7.4 某头部金融企业网络安全协同作战平台7.5
13、某头部证券企业SOAR平台建设项目7.6 江苏省某财政单位一体化安全运营中心建设项目7.7 未来智安XDR助力银行业有效提高告警研判率7.8 某县域数字化改革网络安全体系建设项目7.9 某银行自动化安全响应分析平台项目7.10 金融行业背景下的安全运营靶场建设40455155636771758487CONTENTS01安全运营概述网络安全领域早期发展的过程中认可度较高的主动防御安全模型之一为PPDR模型,主要由4个部分组成:Policy(策略)、Protection(防护)、Detection(检测)和 Response(响应)。其中策略是整个安全模型的核心部分,通过建立符合实际情况的安全策略
14、才能更有效的防御攻击,防护手段是整个流程上的第一个有效措施,对公司资产采用现有安全手段进行防护,检测则是通过监测发现系统或网络的异常情况及可能存在的攻击行为,而响应则是在发现异常或攻击行为后采取的一系列防御和挽救手段。但随着时间的推移,网络攻击技术越来越复杂,仅是以策略为中心、被动反应的 PPDR 模型难以随着攻击手段的升级而灵活调整防御策略以抵御未知的攻击。因此,原有的 PPDR 模型已经不再能满足当今的网络安全形势以及组织对于业务正常运行的需求。在此基础上,Gartner 提出新一代的 PPDR 模型,由 Predict(预测)、Prevent(防护)、Detect(检测)、Respons
15、e(响应)4 个部分组成闭环安全防护模型。其中新的 Predict(预测)是指通过威胁情报等行为对可能存在的攻击行为进行预测,以动态的预测过程替代原来的 Policy(策略)部分,加强安全防护模型的适应性,Prevent 相比 Protection 更加强调防守方和攻击方的对抗性,而非简单防守方单方面通过不断的增加防御手段抵御攻击,同时对潜在的安全风险及威胁进行持续的检测(Detect)动作,并动态调整安全防护策略,对检测结果实现快速响应(Response),加强反馈和预测能力,形成安全防护闭环。基于 Gartner 提出的 PPDR 模型,再结合我国当下网络安全形势的实际情况,组织需要建立一
16、个具有强适应力的安全保障体系,将安全贯穿企业生态系统的每个环节,以一种动态的、主动的、对抗的战略思维建设组织强大的安全态势。稳健的安全态势意味着组织必须要拥有必要的流程来保护其业务和应用程序免受威胁和漏洞的侵害。如今,当企业关键数据和信息不断面临被恶意攻击者攻击泄露时,加强安全态势成为组织目前的首要任务。安全态势取决于组织保护其网络、数据和系统的能力,以及在发生攻击时的有效反应。简而言之,安全态势是衡量整个组织如何实施网络安全以及组织对网络攻击的弹性程度的表现形式。组织安全态势的强度与其面临的风险量成反比,组织必须改善其安全态势,以便他们可以专注于威胁可见性和网络风险量化,组织目前需要的是根据
17、不断变化的威胁形势调整和建立安全方案以实现拥有动态安全态势的目的。通过细粒度、多角度、持续化的对安全威胁进行实时动态分析,自适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制,从被动防御向主动防御的转变离不开体系化的安全运营流程。因此,对组织来说,建立动态且稳健的安全态势的最好办法是建设安全运营体系架构。11.1 I 什么是安全运营?ISC 2023 安全运营市场洞察03那么安全运营具体指什么呢?通常来说,安全运营的理念可以从狭义和广义两个方面进行简单阐述:狭义的安全运营是以资产为核心,以安全事件管理为关键流程,依托于安全运营中心(SOC),建立一套实时的资产风险模型,进行事件分析、风
18、险分析、预警管理和应急响应处理的集中安全管理流程。广义的安全运营不再是单纯的技术理念,而是通过集合人员、技术、流程和平台的复杂体系架构,通过对已有的安全产品、工具、服务产出的数据进行有效的分析,持续输出价值,解决安全风险,从而实现安全运营体系化建设的最终目标。概括起来就是安全运营不是一个产品建设、单一的技术使用以及某类平台的建设,而是一种以人、技术、平台、工具和流程为基础的新型安全保障模式。安全运营旨在定义安全边界并制定满足公司业务目标的同时保护业务和客户资产的安全策略,一个成熟度高的安全运营体系建设应该是以企业安全能力成熟度为基础,运用适当的安全技术和管理手段整合人、技术、流程和平台,持续降
19、低企业安全风险的综合能力。其应该具备三个主要特征:安全运营和安全运维是网络安全领域中会被频繁提及的概念,但往往大家会对这两者产生疑惑造成混淆,那么这两者之间到底有着怎样的共性及差异性呢?首先我们需要明确这两者的理念及包含的流程是什么:安全运营是以“业务系统风险控制”为核心,将安全建设与业务进程相适配,并结合 AI、大数据分析等核心技术,建立基于业务的自适应安全架构,建立预防、监测、分析、响应等集中安全监测体系,将技术、流程、人员有机集合,对业务安全风险进行持续控制的一种安全建设模式。此外,安全运营除了能解决已知威胁,还能对未知的威胁进行检测、响应和分析。主动性:安全运营注重主动发现潜在威胁和安
20、全漏洞,通过实施主动监控、安全审计和渗透测试等手段,提前发现和预防安全问题,同时强调主动培养员工的安全意识和技能,以提高整个组织的安全防范能力;持续性:通过建立持续性的运营方案和规则,开展持续不断地排查威胁,持续分析、检测、调整、优化防御策略和措施,动态提升企业整体防御能力;对抗性:安全运营面临来自外部攻击者和内部威胁的不断挑战,需要具备应对复杂安全威胁的能力,与攻击者进行持续的“攻防战”,通过威胁情报、红蓝对抗等新型模式发现安全威胁,并保障快速响应的机制。1.2 I 安全运营和安全运维之间的共性及差异性04安全运营概述而安全运维是企业信息安全的基础,其目的是确保企业信息安全系统的可靠性、稳定
21、和安全性。具体是指从安全的角度进行日常 IT 信息系统的运行维护,传统的运维工作是为了保障信息系统的正常运行,通过安全专家使用安全技术及工具检测出已经出现的安全问题和即将出现的安全威胁并解决避免造成系统宕机,建立从防护到监控解决的闭环安全机制管理流程,从而实现安全运维的目的,保障企业整体 IT 系统的正常运行。安全运营和安全运维都是网络安全领域的重要组成部分,它们旨在确保企业和组织的信息系统安全、稳定并保护敏感数据。两者之间的共性包括以下 5 点:总体来说,安全运营是实现企业 IT 数据安全价值的核心体系,需要有管理方面的要求,不仅仅局限于会安全技术相关内容,而安全运维是利用安全技术保障企业
22、IT 系统正常运营的手段。尽管两者之前存在一定的共性,但它们之间的侧重点和状态则不同,具体可以概括为以下四点:侧重重点不同:安全运营更关注企业信息安全的全局管理,侧重于从战略层面把控安全运营的方向和进展;而安全运维则更侧重于日常的系统运行和设备维护,注重保障企业信息新系统的可靠性和稳定性;工作职责不同:安全运营主要负责制定安全策略、规划安全方案、安全标准和管理规定等,而安全运维则负责执行安全策略、监测系统状态、解决技术问题和优化安全设施,确保系统的正常运行和设备的可靠性;工作范围不同:安全运营的工作范围更广泛,涵盖整个企业的安全管理和策略制定,需要综合考虑组织的业务需求、技术能力和合规要求;而
23、安全运维更关注具体的技术实施和操作,需要处理日常的安全问题和解决技术问题;人员要求不同:安全运营需要具备全局视野和战略思维,能够制定安全策略、安全标准和管理规定,具备安全管理、风险管理和合规管理的能力,同时需要拥有较强的领导力和组织协调能力;而安全运维人员则需要具备扎实的技术功底,能够熟练掌握各种安全设备和工具,拥有较强的沟通协调能力和解决安全问题的能力。风险管理:安全运营和安全运维都需要对安全风险进行评估、分析和管理,以确保企业采取合适的安全措施来降低安全风险;合规管理:安全运营和安全运维都需要确保企业满足法规和合规要求,包括数据保护、隐私政策和行业标准等;实时监控:安全运营和安全运维都涉及
24、对企业信息系统的实时监控,以发现异常行为、潜在威胁和安全漏洞;依赖技术:安全运营和安全运维都依赖于安全技术手段,需要利用各种安全设备和技术来进行安全防御和风险管理;人为介入:安全运营和安全运维都需要专业的安全人员进行运作和维护。ISC 2023 安全运营市场洞察0502安全运营发展的驱动力在现有网络安全形势、国家政策标准导向及发展需求之下,安全运营作为网络安全发展新时代下的产物,被认为是解决现有安全挑战的最有利方式。同时,企业需要的安全已不仅是满足合规要求,而是能不断自我迭代、演进、提供持续性安全能力输出的安全运营保障体系。基于此,安全运营发展的驱动力可以从技术发展、市场需求和政策导向三个维度
25、展开详细分析。02技术创新正迅速成为企业发展和成功的最重要因素之一,可以帮助企业在竞争中领先于行业竞争对手的能力,使企业的运营、服务、产品能够满足客户及不断变化的市场需求。但企业对创新的需求与保障安全性之间存在冲突,当今技术创新颠覆的步伐促使企业优先考虑业务上线的速度,快速推出新产品并保持领先于竞争对手的竞赛中。但此行为往往以牺牲安全性为代价,导致企业因为忽略安全防护的重要性而面临无法预估的安全风险。简而言之,安全是企业技术创新战略的核心组成部分,两者之间存在不可避免的共生关系,安全是技术创新发展的必要推动因素,也是企业成功的核心要求。因此,对企业来说,保持安全性和技术创新并存至关重要。否则,
26、创新对企业来说可能变成无法承受的负担和弱点,将创新与安全对齐需要付出不断的努力,但实现安全并不是购买最新的安全产品,而是将创新与效率构建到促进整体业务优先级的流程中,而不破坏关键的安全先决条件。实施网络安全措施旨在保障业务正常运行而不是阻止业务创新的进程,了解网络安全重要性后的新技术创新更有利于长期的成功和客户的信任。事实上,与安全事件发生后在实施补救计划相比,从一开始就考虑网络安全风险通常会带来更成功的结果和更低的安全成本。因此,在企业业务所有阶段嵌入安全实践是必经之路,而安全运营提供了一种综合方法,通过将安全实践集成到所有阶段来最大程度地降低安全风险。2.1 I 技术发展伴随新威胁2.2
27、I 市场需求迎来新机遇随着数字经济的急剧扩张,新型的网络威胁层出不穷,同时业务的全球性、云技术的使用以及技术的不断创新导致保护企业安全性以及应对安全威胁的难度不断增加,网络犯罪分子利用最新的攻击技术来渗透基础设施并窃取各种规模组织的数据信息甚至是个人信息,这些攻击呈现出规模大、危害强、更难发现和更难防控的特点。网络犯罪在频率、影响和复杂性上持续升级,企业无论规模和产业大小均会受其影响,面临更复杂、更普遍的安全威胁。尤其是专业网络犯罪组织发起的攻击,其创新性和复杂性明显提高,反制措施难度极大。网络犯罪分子通过利用未修补的 0Day 攻击的发生率不断上升。此外,越来越多的恶意软件试图将 IoT 设
28、备连接到僵尸网络,然后可以对企业和大型机构发起大规模发布式拒绝服务(DDoS),从而导致一些行业出现前所未有的大规模停工。同时,网络犯罪分子不再关注更多的受害者,而是越来越多地将目标锁定为网络安全防御不够全面、可利用资产更多或者与其他强大组织有着特别复杂联系的特定受害者。例如,1.1 亿 Target 客户的个人和信用卡数据ISC 2023 安全运营市场洞察07随着国内外网络安全形势的持续变化,促使政府、企业及各类行业组织不断推进安全工作的进一步迭代。同时,伴随着企业业务逐渐上云,网络安全形势变得愈加严重,新型 IT 环境下安全运营体系建设成为保障企业安全能力的重点,其次是政策合规促进安全运营
29、发展。网络安全法、数据安全法、个人信息保护法 以及等级保护 2.0 等法律法规的相继出台,促使我国的安全顶层设计逐步完善,推动我国安全运营体系的建设过程。在当今快节奏的数字世界中,保护客户信息隐私和安全是一项艰巨的任务,政府和行业组织越来越重视网络安全合规性,国家层面通过发布政策法规推动增强合规管控要求,强化网络安全建设基线标准,提升足以应对泄露始于窃取 HVAC 分包商登录凭据的恶意软件,由于企业依赖数字生态系统的互操作性,威胁形势的复杂性正在不断加深。虽然安全威胁愈发严峻,但企业的防护手段往往相对滞后,难以抵抗愈发严峻的安全威胁。传统的依赖单一产品能力和产品堆砌的做法都显得力不从心,难以为
30、继,无法保护由远程工作人员、工作场所、合作伙伴和客户交互组成的现代 IT 生态系统,也无法保护员工可能随时访问的数据。近年来,使用过时安全方法的企业所面临的网络攻击风险一直在不断加剧,攻击者可以利用员工电脑上过时且未打补丁的操作系统或不安全的应用程序开展网络攻击。同时,企业还可能会面临中间人攻击,在这种攻击中,攻击者秘密地进入用户和访问的 Web 服务之间。例如,一个受损的 WiFi 系统可能会让攻击者获取用户发送的任何信息,包括用户的隐私密码等。不仅如此,随着数字化转型的热潮,组织的攻击面呈指数增长,并且变得难以定义和防御,从而使组织的数据资产暴露在攻击者面前。对攻击者来说,组织的攻击面越大
31、,其可以瞄准攻击的目标就越大。同时,由于虚拟机、容器和微服务的广泛使用,企业 IT 环境处于不断变化的状态。这意味着任何了解和管理企业攻击面的方式都必须使用基于实时数据的敏捷、智能的工具来进行。因此,面对日新月异的攻击技术和手段,安全防护技术和手段也需要不断发展和演进。为了保护组织在面对网络犯罪时变得更有弹性,企业需要考虑更广泛的生态系统并应用适应性强的网络安全实践方案。通过第三方安全厂商将技术、人员和流程整合建立安全运营保障体系,不断更新优化相应安全规则,建立统一的安全运营流程将安全事件和威胁信息转化为可操作的情报,推动安全预防、检测、分析和响应流程,帮助企业加强常态化安全防护能力,以应对日
32、益复杂的网络威胁并持续改进。2.3 I 政策法规带来新要求08安全运营发展的驱动力常态化对抗事件的能力,行业组织通过发布行业标准,推广行业运行资质,提升行业监管和行业自律力度,这是旨在帮助企业保护数据机密性、完整性和可用性的强制措施。企业通过将安全合规性作为优先事项,可以免受数字威胁并持续保障和客户之间的良好关系。随着时间的推移,持续满足安全合规性要求的企业将被称为值得客户信赖的企业。良好的合规性不仅仅可以避免罚款甚至可以免遭网络攻击,当一个组织处于安全合规之上时,他们通常也处于良好的数据管理实践之上,可以跟踪敏感数据资产,避免数据泄露的风险。数据泄露已经成为企业普遍面临的安全风险之一,根据
33、uniper Research 的数据,从 2018 年到 2023 年,超过 1460 亿条记录将因数据泄露而暴露。数据泄露造成的威胁范围不仅限于业务中断和财务损失,违规行为还可能会无法挽回地损害企业的品牌声誉和客户的信任。基于上述,企业需要进行安全合规管理,监控和评估系统、设备和网络以确保企业符合法规要求以及行业和本地网络安全标准的过程。但保持合规性并不总是那么容易,尤其是对于受到高度监管的行业和部门,法规和标准经常变化,企业必须快速响应以保持合规性,不合规将使企业和客户面临违规、被攻击的风险,甚至被监管机构罚款。因此,对组织来说建设安全运营体系保障安全能力进而掌握安全合规性管理非常重要。
34、ISC 2023 安全运营市场洞察0903安全运营的发展历程数字时代推动了新技术的发展和新业务模式的改革,同时也为网络安全带来了全新的挑战,网络攻击者与守护者之间的博弈愈来愈激烈。随着网络安全威胁环境的不断变化,安全运营也随之不断演变,从最初的静态防护逐步升级到如今主动积极的动态防护,全面提升组织的安全防护能力。总体来说,安全运营的发展历程可以分为四个阶段:碎片化阶段、全局化阶段、可视化阶段、智能化阶段。在网络安全发展的前期,企业在网络安全方面缺乏明确的目标和战略规划,导致在安全投资和资源配置上无法做到有针对性和系统。因此,为了应对多样化且日益复杂的安全威胁,企业在安全防护体系建设过程中采用多
35、种不同的安全工具和产品来保护数据安全,但不同的安全工具和产品之间普遍存在一定的差异性,由于缺乏统一的标准和互操作性,导致这些不同的工具和产品在实际部署时往往难以实现完全集成和协同,这种现象在一定程度上导致了安全运营进入碎片化阶段。由于企业内部缺乏统一的信息共享平台,各类安全工具和产品产生的日志数据和报警信息可能无法在组织内部进行有效共享,企业内部安全团队之间缺乏有效的沟通和协作,这导致企业难以全面了解当下的安全态势,在应对安全事件时反应迟缓,无法及时快速的给出响应,实现全面、高效的安全防护。不仅如此,企业在选择安全产品时,由于缺乏足够的了解和评估,导致选择功能重复或不适合企业需求的安全产品,进
36、一步加剧了安全运营碎片化。3.2 全局化阶段03为了解决各类安全设备和系统之间的“安全孤岛”,进而对海量日志信息的集中管理和分析,实现全面了解安全威胁。安全运营体系开始从“碎片化”逐步转向“全局化”,而安全信息与事件管理(SIEM)系统则是解决海量日志分散问题的关键,可以实现各类安全设备和系统之间的协同防御。最初,在 SIEM 刚出现时主要是用于大型且成熟企业,帮助组织对设备和系统产生的海量日志数据进行管理和审计,缺乏对安全威胁的分析和预警能力。但随着对安全需求的不断提高,SIEM 升级开始关注安全事件的实时监控和预警,通过对收集的日志数据进行实时分析,识别异常行为和潜在安全威胁,并生成相应的
37、报警。在此阶段,SIEM 为组织提供了有限的安全威胁信息“全局化”的能力。随着 SIEM 技术的不断演进,实现了日志管理和安全事件管理的整合,形成了完整的安全信息与事件管理系统。SIEM 不仅能对日志数据进行实时监控和预警,还可以进行历史数据的深入分析,以发现异常行为、潜在威胁和安全事件。同时,还引入了事件关联分析技术,能够发现跨越多个设备和系统的安全威胁,这使得组织进一步实现安全威胁信息“全局化”。随着网络安全威胁的快速演变,SIEM 系统开始引入威胁情报平台和 SOAR 技术。通过集成外部威胁情报,3.1 I 碎片化阶段3.2 I 全局化阶段ISC 2023 安全运营市场洞察11SIEM
38、系统能够更好地识别新型攻击手段和高级持续性威胁(APT)。不仅如此,通过引入 SOAR 技术,SIEM 系统实现了与各类安全设备和系统之间的自动化协同,提高了安全运营响应速度。这一阶段的技术进一步加强了安全威胁全局化的能力。总体来说,SIEM 可以集成来自不同的安全设备和工具的安全事件信息,例如防火墙、入侵检测系统、漏洞扫描器等,实现不同设备和系统之间的信息共享和协作,从而打破安全设备和系统中之间的“安全孤岛”,实现“全局化”的收集和分析安全事件信息。随着各种设备、应用和系统的普及,产生的数据量也不断增加,数据来源和种类也越来越多样化和复杂化,这就需要更高效、更准确、更智能的数据处理和分析技术
39、,以提高安全防御能力。不仅如此,随着技术的不断发展和应用场景的不断变化,新的安全威胁和攻击方式不断涌现,需要及时应对和防范。因此,在实现“全局化”的对安全数据进行收集、分析、处理和展示后,为了将抽象的数据具象化,更直观的了解当下安全态势,安全运营发展到了“可视化”阶段。这个阶段的安全运营主要以态势感知为中心,态势感知是一种基于数据的安全防御手段,可以实现将所有数据以易于理解和直观的形式展示,方便决策层快速了解安全态势识别安全威胁并及时做出决策。态势感知作为安全运营的关键核心组成部分,通过收集、分析和处理各种来自网络设备和应用的日志、安全事件、威胁情报、用户行为、资产信息的数据,以便安全运营团队
40、更快速、更直观地了解网络环境中的安全态势和风险。通过可视化的图形化界面,安全运营团队可以一目了然地了解网络中存在的安全威胁、攻击来源和攻击方式,以及各种安全设备和系统的运行状态和数据,为组织提供更全面、更有效的安全保障。态势感知“可视化”能力“可视化”网络环境中的安全威胁和风险,及时发现和处理安全事件。“可视化”安全防御措施的有效性和漏洞,以便对安全策略进行调整和升级。“可视化”安全威胁的演变趋势和进攻方式,以便做好长期的安全规划和防御。“可视化”网络设备和系统的运行状态和数据,以便进行优化和改进。“可视化”用户行为和资产信息,以便对安全策略进行优化和完善。3.3 I 可视化阶段12安全运营的
41、发展历程在安全运营从“全局化”阶段发展到“可视化”阶段后,组织开始逐步意识到安全威胁日益复杂,传统的安全防御手段难以应对,以及组织的安全运营人员数量和能力有限,无法满足快速增长的安全需求。因此,安全运营开始转向“智能化”阶段。智能化安全运营阶段是指在态势感知的基础上,通过人工智能、大数据、机器学习等先进技术的应用,实现安全运营的智能化和自动化,提高安全防御和应急响应能力,进一步提升网络安全水平。不仅如此,现阶段不同组织的安全运营需求不同,大多数组织都需要定制化、个性化的安全运营方案,而智能化技术能够提供更灵活、更适应不同组织安全需求的解决方案。人工智能、大数据、云计算等新技术的不断发展和创新为
42、智能化安全运营的应用提供了重要的支持和推动力,随着技术的不断进步和创新,智能化安全运营的发展也在不断演变。最初的智能化安全运营是由于人工智能、机器学习等技术的高速发展,开始利用开始利用规则和模型来预测和自动化响应安全事件,提高组织的安全防御能力;随着机器学习技术的不断深入,智能化安全运营能够自动识别和分类安全事件,提高安全运营的准确率和效率。总体来说,“可视化”阶段的安全运营依靠态势感知可以为组织提供及时发现和解决安全事件、增强安全防御能力、提高资源利用效率、改进安全策略等多个好处,能够帮助组织提高网络安全水平,确保网络环境的稳定和安全。态势感知提供的“可视化”主要包括以下几个方面:实时监控:
43、将网络中的安全数据实时呈现在可视化的界面中,以帮助安全团队更快速地发现和响应安全事件和威胁。通过实时监控,安全团队可以及时采取措施,降低安全风险。安全风险评估:可视化的态势感知可以帮助安全团队对网络中存在的风险进行评估,通过对各种安全数据的分析和可视化展示,安全团队可以更好地了解网络中存在的安全风险,以便采取相应的措施进行防范和应对。预警提示:可视化的态势感知可以通过预警提示的方式提醒安全团队注意网络中的安全威胁和风险。预警提示可以通过各种方式进行,例如弹出警报、发送邮件等,帮助安全团队及时采取措施。改进安全策略:通过对网络中各种数据的收集和分析,态势感知可以帮助组织了解网络环境的变化和趋势,
44、优化安全策略,预防安全漏洞和安全风险。数据可视化:通过各种图表、地图、拓扑图等方式将安全数据进行可视化展示,这样的展示方式可以帮助安全运营团队更好地理解网络中的安全事件和威胁,以及安全设备和系统的状态和数据。3.4 I 智能化阶段ISC 2023 安全运营市场洞察13智能化已成为现阶段安全运营发展的重点方向,其为组织带来的价值是多方面的,具体包括以下几个方面:总体来说,智能化阶段的安全运营是现阶段网络安全领域的重点发展趋势,它可以提高安全防御能力,降低安全风险,提高安全事件的应急响应速度和准确率,为组织提供更全面、更高效的安全保障。自动化分析安全事件:通过机器学习和大数据分析技术,实现自动化分
45、析和处理安全事件,减少人工干预,降低人力成本,提高安全事件的处理效率和准确率;智能化防御安全威胁:通过使用智能算法,自动识别和预测安全威胁,并采取自动化防御措施,提高安全防御和应急响应的速度和准确率,为企业和机构提供更好的安全保障;实时监测网络环境:通过实时采集、分析和处理网络中的数据,能够快速、准确地检测和识别安全事件,实现实时监测和应急响应,提高组织的安全运营效率和安全水平;面向未知安全威胁:通过使用机器学习和大数据分析技术,能够面向未知潜在的安全威胁进行分析和预测,提高安全防御能力和抵御威胁的能力;智能化安全管理:通过智能算法和数据分析技术,对海量数据进行分析和处理,实现对组织的安全管理
46、进行优化和升级,提高安全管理的效率和准确率;准确识别数据:通过机器学习、深度学习等技术来自动分析和识别数据,减少人工干预,提高数据分析和识别的准确性和速度。为了更好的挖掘安全数据,深度学习技术开始大量投入使用,可以提高数据分析和识别的精度和速度,从而进一步提高安全运营的水平;最后,随着技术的不断发展和应用场景的扩展,智能化安全运营开始从单一的数据分析和响应逐步向多维度智能化的安全运营阶段拓展,加入风险评估、漏洞管理、安全策略等多方面的内容,为组织提供更全面、更精细的安全保障。1基于规则的自动化防御阶段2基于深度学习的智能化安全运营阶段3多维度智能化安全运营阶段4基于机器学习的智能化安全运营阶段
47、14安全运营的发展历程04各类客户对于安全运营的需求分析随着网络安全威胁的不断加剧以及国家法律法规政策的不断出台,国家自上而下开始进行安全运营能力建设。安全运营在保护企业和组织的关键业务流程、信息系统和基础设施免受网络攻击、数据泄露和其他安全威胁方面发挥着关键作用。但各类客户对安全运营的需求普遍存在差异,这些差异主要取决于所处行业类型、组织规模、业务性质以及法规要求。可以将客户大概分为三种类型,分别为中小企业客户、关基行业客户以及部委客户,这三类客户可以形成一个金字塔模型,其中中小企业位于金字塔的最底部,是国家经济发展的重要组成部分,关基行业客户是金字塔的中间力量,承载着社会正常运转和国家经济
48、发展的重要作用;部委客户属于金字塔的顶端,肩负着保卫国家信息安全和公民敏感信息等重任。因此,从金字塔自下而上法律法规监管要求和安全需求均不断升级,需要建设不同程度的安全运营体系来满足要求,以下是三种类型的客户对于安全运营的需求分析。中小企业客户关基行业客户部委客户安全需求监管要求中小企业在当今快速发展的数字化世界中,面临着日益严峻的安全挑战,安全运营已成为企业客户的核心需求,因为数据泄露、网络攻击和其他安全威胁可能导致企业遭受巨大的经济损失、信誉受损审视法律责任。不仅如此,中小企业也是国家经济发展的重要组成部分,它们的安全和稳定直接关系到国家经济和社会的稳定和可持续发展,如果中小企业面临安全威
49、胁和攻击,将对其经营和发展造成严重的影响,从而进一步影响国家经济的发展和稳定。因此,中小企业客户对于安全运营的需求具体为以下几个方面:4.1 I 中小企业客户16各类客户对于安全运营的需求分析综上所述,中小企业客户需要对安全运营投入一定的资源和关注,以确保业务的持续稳定和可持续发展,建设安全运营防护体系实现降低安全风险,保护关键资产,并满足监管要求。实现企业数字化转型需求:中小企业开始逐步实施数字化转型,通过利用云计算、物联网、人工智能等技术提高业务效率,这些技术为企业带来了机遇的同时也带来了很多安全挑战,需要企业客户调整安全策略,确保新技术的安全性。供应链安全风险管理措施:中小企业客户的供应
50、链和第三方合作伙伴可能成为网络攻击的途径,企业客户需要关注与这些合作伙伴的安全合作,并建立严格的安全审查和管理流程。移动办公安全风险管理:随着移动设备的普及和远程办公的普及,中小企业客户需要专注移动设备和远程办公环境的安全问题,确保员工在任何地方都能安全地访问企业资源。数据隐私安全风险管理:中小企业客户需要确保其数据存储、传输和处理过程的安全性,这包括保护敏感信息(如用户数据、知识产权和财务信息)以防数据泄露,以及遵守各种数据保护法规。云技术和服务使用增多:许多中小企业客户将其业务迁移到云端,因此需要确保云服务提供商的安全性,这包括评估云服务提供商的安全措施、合规性和数据保护政策。缺乏安全能力