《2021企業(yè)安全運(yùn)營實(shí)踐報(bào)告》發(fā)布:從被動(dòng)防御到主動(dòng)出擊

發(fā)布時(shí)間 2022-02-22

近年來,企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)已逐步健全,數(shù)字經(jīng)濟(jì)催生新的業(yè)務(wù)場景,也為企業(yè)安全建設(shè)帶來新的挑戰(zhàn)。傳統(tǒng)的基于漏洞修補(bǔ)、防火墻部署、入侵檢測等手段進(jìn)行安全維護(hù)的被動(dòng)防御體系已難以應(yīng)對(duì)日趨繁雜的網(wǎng)絡(luò)攻擊環(huán)境。

緊隨等保2.0的腳步,企業(yè)的安全運(yùn)營或類似理念也開始從被動(dòng)防御轉(zhuǎn)向主動(dòng)治理。構(gòu)建一套能夠有效管理威脅預(yù)警、發(fā)現(xiàn)、響應(yīng)、處置各個(gè)安全環(huán)節(jié)并確保人、工具、流程發(fā)揮最大協(xié)同效應(yīng)的安全管理體系逐漸成為企業(yè)的主要安全目標(biāo)。

安全運(yùn)營涉及面廣、體系龐雜的特點(diǎn)使國內(nèi)大部分企業(yè)的安全運(yùn)營體系仍處在萌芽的階段。為了進(jìn)一步了解我國企業(yè)安全運(yùn)營建設(shè)現(xiàn)狀并幫助企業(yè)完善安全運(yùn)營體系,F(xiàn)reebuf咨詢與頭部大廠安全負(fù)責(zé)人展開深入研究,結(jié)合智庫專家指導(dǎo),特別發(fā)布《2021企業(yè)安全運(yùn)營實(shí)踐研究報(bào)告》,內(nèi)容亮點(diǎn)如下:

一、國內(nèi)安全運(yùn)營發(fā)展現(xiàn)狀

1. 安全運(yùn)營前提及價(jià)值

毫無疑問,網(wǎng)絡(luò)安全行業(yè)屬于政策強(qiáng)驅(qū)動(dòng)行業(yè),調(diào)研結(jié)果顯示,65%企業(yè)把合規(guī)影響作為發(fā)展安全建設(shè)的首要驅(qū)動(dòng)因素。等保2.0系列政策圍繞“一個(gè)中心、三重防護(hù)”為核心思想,旨在倡導(dǎo)企業(yè)通過對(duì)安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的三重防護(hù)來構(gòu)建主動(dòng)式的安全管理中心,等保1.0的被動(dòng)防御安全體系逐步被事前防御、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系取代。針對(duì)政策要求的變化作及時(shí)調(diào)整,是企業(yè)發(fā)展安全運(yùn)營的首要前提。

1640832024_61cd1c187203bca528974.png

除合規(guī)因素以外,應(yīng)對(duì)業(yè)務(wù)變化、應(yīng)對(duì)安全防護(hù)規(guī)則更新是發(fā)展安全運(yùn)營的另外兩大主要價(jià)值。在近年來企業(yè)數(shù)字化轉(zhuǎn)型的大環(huán)境下,業(yè)務(wù)模式革新的同時(shí),企業(yè)面臨的攻擊源、攻擊面也在不斷增大。根據(jù)FreeBuf咨詢發(fā)布的《中國網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報(bào)告(2021年)》,38.5%的受訪企業(yè)在過去一年間的安全事件警報(bào)數(shù)量顯著增加(增加1倍-2倍),19.2%的企業(yè)在過去一年間的安全警報(bào)數(shù)量呈現(xiàn)大幅增加。過往被動(dòng)防御式的安全管理已不足以對(duì)抗無處不在的攻擊。在此背景下,企業(yè)需針對(duì)業(yè)務(wù)場景,將人、工具、流程有機(jī)結(jié)合,同時(shí)更新優(yōu)化相應(yīng)規(guī)則,迭代安全技術(shù)管理手段,具備持續(xù)迭代優(yōu)化的網(wǎng)絡(luò)安全運(yùn)營能力。

2.國內(nèi)企業(yè)安全運(yùn)營實(shí)踐現(xiàn)狀

(1)企業(yè)安全運(yùn)營平臺(tái)部署現(xiàn)狀

根據(jù)本次調(diào)查,大部分企業(yè)(79%)已部署安全運(yùn)營平臺(tái),然而在這些部署了安全運(yùn)營平臺(tái)的企業(yè)中,多數(shù)調(diào)研對(duì)象反饋其實(shí)際應(yīng)用效果一般。

【網(wǎng)絡(luò)管理能力】、【事件采集能力】、【資產(chǎn)管理能力】、【事件處理和分析能力】、【漏洞管理能力】及【工單管理能力】是大部分部署安全平臺(tái)的企業(yè)已具備的6項(xiàng)核心能力。

1640832110_61cd1c6e2f8e5f06361d0.png

(2)安全信息和事件管理產(chǎn)品應(yīng)用現(xiàn)狀

安全信息和事件管理(SIEM)是目前多數(shù)企業(yè)安全運(yùn)營的核心產(chǎn)品,主要包括數(shù)據(jù)采集、解析處理、集中存儲(chǔ)、關(guān)聯(lián)分析幾項(xiàng)核心能力。隨著“Smart SIEM”理念的發(fā)展,新一代安全信息和事件管理(SIEM)解決方案趨向于打通各項(xiàng)安全需求,融合多項(xiàng)安全能力。根據(jù)本次調(diào)查,企業(yè)用戶對(duì)現(xiàn)階段SIEM產(chǎn)品不滿意的問題主要集中在【與第三方安全工具的集成性較差】、【內(nèi)置關(guān)聯(lián)分析規(guī)則或場景較少】、【占據(jù)大量安全資源,需要較高的安全運(yùn)營成本】、【無法有效檢測未知/新型威脅】四個(gè)方面。

1640832195_61cd1cc3b8ed1b122db02.png

(3)企業(yè)安全運(yùn)營人員現(xiàn)狀

總體來看,大部分企業(yè)在安全運(yùn)營人員配置方面投入較大,僅有14%的企業(yè)由其他安全人員兼任運(yùn)營專職。企業(yè)主要期望安全運(yùn)營人員需要補(bǔ)充【安全事件處置能力】、【威脅檢測與分析】、【漏洞驗(yàn)證和恢復(fù)能力】及【豐富的安全合規(guī)知識(shí)】四項(xiàng)核心能力。

1640832245_61cd1cf5e0d90146251d8.png

(4)企業(yè)安全運(yùn)營&威脅發(fā)現(xiàn)能力現(xiàn)狀

僅有14%的受訪用戶具備自信并表示自己【建立了全面和縱深防御體系,可快速發(fā)現(xiàn)入侵者】,多數(shù)企業(yè)雖有完善防御體系或在部分路徑部署了入侵檢測設(shè)備,但仍存在改進(jìn)空間。同時(shí),國內(nèi)企業(yè)安全運(yùn)營能力兩極分化情況明顯,【攻擊源及暴露面不斷增加】、【沒有足夠的人力和時(shí)間進(jìn)行安全運(yùn)營流程梳理】是大多數(shù)企業(yè)面臨的運(yùn)營問題。

1640832296_61cd1d28bcc06dac5fda1.png

很顯然,多數(shù)企業(yè)已有意識(shí)將安全防護(hù)體系由被動(dòng)轉(zhuǎn)向主動(dòng),然而受制于安全產(chǎn)品對(duì)未知/新型威脅水平的檢測力及安全人員對(duì)安全事件的處置能力不足、安全流程管理成本高等因素,安全運(yùn)營平臺(tái)的實(shí)際運(yùn)營效果仍需進(jìn)一步完善優(yōu)化。

二、企業(yè)安全運(yùn)營實(shí)踐心得:CSO說安全

為進(jìn)一步了解安全運(yùn)營現(xiàn)狀及在企業(yè)中的實(shí)踐情況,我們特別邀請了智庫專家:京東集團(tuán)信息安全部 高級(jí)總監(jiān)聶君、騰訊安全平臺(tái)部總監(jiān)胡珀、持安科技CEO何藝分享他們對(duì)于安全運(yùn)營的心得。

三、企業(yè)安全運(yùn)營建設(shè)能力提升前瞻

1. 安全運(yùn)營產(chǎn)品能力待優(yōu)化

現(xiàn)階段,不少安全產(chǎn)品已經(jīng)能夠在單一的安全能力上達(dá)到較高的水準(zhǔn),而多數(shù)企業(yè)普遍面臨的產(chǎn)品問題在于產(chǎn)品之間集成度低,具備整合化安全能力的安全產(chǎn)品少。市面上那些少數(shù)已具備了整合化能力的安全產(chǎn)品,也存在實(shí)際落地案例少,使用效果與預(yù)期存在差距的問題。此外,安全產(chǎn)品在進(jìn)行安全事件關(guān)聯(lián)分析的過程中,存在由高誤報(bào)率導(dǎo)致的告警過量的問題,從而降低了安全運(yùn)營的效率。

企業(yè)在未來需盡可能部署相同供應(yīng)商的安全產(chǎn)品,使得龐大的內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品相互作用。而在技術(shù)層面,優(yōu)化安全事件關(guān)聯(lián)分析效率、整合多項(xiàng)安全能力于同一產(chǎn)品,將會(huì)是未來安全產(chǎn)品發(fā)展的主要方向。

2. 安全運(yùn)營流程待完善

Gartner 在 2014 年提出了自適應(yīng)安全架構(gòu)(Adaptive Security Architecture,ASA),強(qiáng)調(diào)安全防護(hù)是一個(gè)自適應(yīng)式的、持續(xù)、循環(huán)的過程。然而目前大部分企業(yè)的安全運(yùn)營流程無論是從各要素自適應(yīng)調(diào)整的能力,還是各個(gè)環(huán)節(jié)的協(xié)同效應(yīng),都與這一安全目標(biāo)尚存差距。

大多數(shù)企業(yè)仍需持續(xù)優(yōu)化其安全運(yùn)營流程,培養(yǎng)安全人員的全局視角,針對(duì)業(yè)務(wù)場景的變化作持續(xù)調(diào)整,在有限的資源及預(yù)算內(nèi),最大化發(fā)揮企業(yè)已有安全產(chǎn)品的安全能力。

四、總結(jié)

合規(guī)、業(yè)務(wù)模式革新、防護(hù)規(guī)則更新是企業(yè)由被動(dòng)防御轉(zhuǎn)向主動(dòng)治理,發(fā)展安全運(yùn)營的三重驅(qū)動(dòng)因素。根據(jù)我們的調(diào)查,現(xiàn)階段多數(shù)平臺(tái)已部署或部署了部分安全防護(hù)路徑,并配備安全運(yùn)營專職人員。

由此可見,大多數(shù)企業(yè)已形成主動(dòng)治理的安全理念,然而安全產(chǎn)品集成性差、安全運(yùn)營專職人員自身的安全威脅識(shí)別能力、事件處置能力尚待改善,使得其安全防御體系尚存較大優(yōu)化的空間。

企業(yè)需要與復(fù)雜的操作流程以及匱乏的資源、技能和預(yù)算做持久斗爭。提升安全產(chǎn)品之間的集成性、優(yōu)化內(nèi)置關(guān)聯(lián)場景分析、培養(yǎng)安全管理人員的安全意識(shí)及綜合能力,將會(huì)是未來企業(yè)發(fā)展安全運(yùn)營的主要方向和目標(biāo)。