一、背景
近日,国内专业咨询机构赛迪顾问对外发布了《2021-2022中国安全运营中心调研分析报告》(以下简称《报告》)。调研结果客观展示了中国企业安全运营中心的发展现状、以及过程中的困难和挑战,为企业开展安全运营中心建设提供安全建议和参考。
二、安全运营中心现状洞察
1. 建成安全运营中心的企业占比持续增长,成熟度不断提升
从报告中看出,2021年88.6%的企业已经建立安全运营中心,与2020年79.5%和2019年68.2%相比,呈持续增长态势,越来越多的行业开始重视安全运营中心建设。且成熟度处于二级和三级的企业数量明显增加。
*图片来源于《报告》
2.安全运营中心建设需要进行体系化的架构设计
从报告中可以看出,79.2%的企业在建设安全运营中心时,都进行了总体架构设计。架构设计通过需求调研,成熟度评估入手,通过安全运营体系设计,帮助企业明确安全运营中心如何建设,将安全产品、安全流程和团队能力进行整合,体系化开展安全运营中心建设。
展开全文
*图片来源于《报告》
3.开展有效性评价是衡量安全运营效果的重要手段
网络安全是一个高投入但产出不明显的工作,制定安全运营评价指标,定期对各项工作进行有效性评价,可以量化体现安全运营效果。从调研中看出,设定有效性评价指标的企业占比由上次的30.8%增长到41.9%。
*图片来源于《报告》
4.团队编制和经费不足依然是运营中心建设的首要挑战
通过近三年数据可以看出,安全运营中心建设中,团队编制和经费不足一直是首要挑战。企业通过托管安全运营服务,可以在较少资金投入下,有效解决安全人员紧张的问题。
*图片来源于《报告》
5.客户对安全事件发现及处置的实时性要求提升
从报告中看出,有80.9%的企业都实施了7*24常态化运营。采购托管运营服务的企业相对较多,占比达65.8%,仅有34.2%的企业完全没有托管运营需求。通过7*24小时托管服务实现检测及响应效率提升,已经成为越来越多客户的选择。
*图片来源于《报告》
6.攻防演习对推动安全运营中心建设有重要价值
从报告中看出,在攻防演练中,安全运营中心在缩小攻击面,开展威胁监测,攻击溯源等领域有重要意义。同时,绿盟科技建议企业在日常安全运营中针对高频风险场景,开展专项安全防护。例如:勒索软件防护,挖矿病毒治理,供应链安全防护等。
*图片来源于《报告》
三、安全运营中心对企业的价值
1.安全运营以目标结果为导向
安全运营工作从以前的过程导向,认为购置了设备和安全服务就能完成运营目标,逐步转变为以目标和结果导向,以安全的关键指标和抓手来衡量安全运营工作的成果。关键目标需要聚焦,并且具有持续改进的可行路径,形成安全工作的关键抓手和核心主线,本质上也是安全投资的效率提升。典型的安全指标包括“零事件”、MTTR、MTTD等。
2.集约化安全运营提升企业综合防护能力
安全技术分散是行业先天属性,需要有效利用安全产品、流程和知识,看到统一、全局的安全问题,避免安全工作碎片化、割裂化。
(1)实战化运营:实际就是企业防守人员对于安全运营体系的构建,形成客户视角的统一视图,在攻防演练中挂图作战。
(2)日常安全运营:客户期望安全运营解决综合、高频、复杂的威胁场景,因为这类安全顽疾通常不可能单点解决,需要综合治理,这也是绿盟作为安全厂商的方案优势。
四、绿盟科技安全运营中心建设服务
安全运营中心建设方案,基于绿盟智能安全运营平台,整合安全设备能力,配合T-ONE CLOUD云化服务,为客户提供贯穿防护、检测、响应和处置的安全运营体系建设,输出弹性多样的安全能力,实现资产、威胁、脆弱性闭环管理,实现企业整体安全风险可视可控。
聚焦1:开展体系化建设,有效融合人员技术流程
安全运营中心建设中,需要将人、流程与工具(技术)深度融合,根据不同的组织架构、业务特点,针对主机安全、 配置安全、数据安全等,构建安全运营体系。充分考虑现有的安全建设水平、安全产品能力、安全团队人员等情况,设计安全运营体系,交付标准化流程,自动化运营工具,数字化展示安全指标,做到安全运营效果可见。
例如:在漏洞管理运营中,安全运营人员按照漏洞管理流程,通过安全运营平台下发扫描任务,并将结果通过工单传递给运维人员,运维人员修复后更新平台漏洞修复状态,运营人员验证后关闭漏洞,实现人员,流程和工具融合。
聚焦2:坚持结果导向,实现成效可度量
安全运营中心建设中,通过标准化的安全流程规范以往的安全工作,将客户现有的安全能力进行编排并且补全,不再仅仅为了安全而建设安全,而是以结果为导向,以“零事件”作为目标,并通过建立评价指标,实现安全工作成效可量化,持续提升安全能力,将组织安全风险降到最低。
例如:在日常威胁监测处置中,会制定MTTD和MTTR指标,用于衡量安全运营团队对威胁的响应和处置时间。通过监测指标,分析响应速度慢的原因并优化改进,从而提升安全运营能力,降低企业安全风险。
聚焦3:打造自动化能力,提升运营效率
客户的安全建设越来越立体丰富的同时,面对复杂多样的安全威胁,客户将会更加重视安全运营的建设,如何保证安全运营效率与目标的达成显得尤为重要,此时人工处置响应能力与企业安全运营需求矛盾越来越突出,开始出现自动化响应的需求。基于安全平台实现安全编排,打造自动化能力提升运营效率。
例如:通过安全运营平台,检测到某企业内网主机存在挖矿行为,经人工确认为真实事件后,会通过平台SOAR联动编排,自动调用防火墙封堵失陷主机相关端口,并向EDR下发病毒查杀任务清除后门,提升处置效率。
聚焦4:精细化运营,助力客户成功
安全服务过程中客户体验极为重要,一定程度上也影响服务的复购。客户成功的工作主要在签约之后开展,主要工作是确保客户采用并认同运营服务能力,得到相应的正向反馈来实现客户的业务成果。
例如:安全运营中心方案中,会引入绿盟T-ONE CLOUD云端能力,集约化的方式为客户提供7*24小时威胁检测与响应、网站安全监测等服务,避免了本地投入大量人力开展相关工作,降低成本支出,提升服务能力,助力客户成功。
五、结尾
赛迪报告数据显示,截止2021年88.6%的企业已经建立安全运营中心。绿盟科技将基于智慧安全3.0理念,通过安全运营中心服务解决方案,为客户构建有效安全防护体系,提供专业安全能力输出,打造持续安全闭环保障能力,为企业数字化转型和业务创新保驾护航。