随着移动网络、云计算和物联网(IoT)等技术的发展,网络攻击变得越来越复杂。面对持续、立体、全天候的安全攻击,企业很难通过单一的安全产品或技术实现自动化的全方位防护。因此,很多企业面临的安全现状是:只要黑客想攻击,几乎没有企业能够抵挡得住。
2020年移动互联网恶意程序数量占比按行为属性统计
(来源:CNCERT/CC)
安全运营的10项关键服务
为了全天候监控、检测、调查和响应网络威胁,实现全方位的安全保护,安全运营团队通常需要以下10项关键服务:
1.盘点可用资源
安全运营负责两种类型的资产——需要保护的各种设备、流程和应用程序,以及可以使用的各种防御工具。
•保护什么
安全运营的第一步目标是全面了解企业的威胁状况,不仅包括各种类型的端点、服务器和内部软件,还包括第三方服务和这些资产之间的流量。
•如何保护
此外,安全运营团队还应全面了解手头的所有网络安全工具及其工作流程,以确保运营的敏捷性和高效率。
2.准备和预防性维护
即使是装备最完善、最敏捷的响应流程也无法从一开始就阻止问题的发生。为了阻止攻击,安全运营团队需要实施预防措施。
•准备
团队成员应随时了解最新的安全创新、网络犯罪的最新趋势以及即将出现的新威胁。这可以帮助公司制定安全路线图,为网络安全工作提供方向,在最坏的情况下,也可以作为现成的指导灾难恢复计划。
•预防性维护
此步骤包括为增加攻击难度而采取的所有措施,比如定期维护和更新现有系统、修补漏洞,以及白名单、黑名单和保护应用程序等。
3.持续主动监控**
24h7全天监控与扫描,标记任何异常或可疑活动。全天候监控网络可以让团队立即收到新出现威胁的通知,从而抓住预防或减轻危害的最佳时机。
4.警报优先级排名和管理
当发出警报时,运营团队要仔细查看,识别误报,并确定威胁的攻击性以及它们可能的目标。这样,安全运营团队就可以对新出现的威胁进行分类,首先处理最紧迫的问题。
5.威胁响应
事件一经确认,运营团队就充当第一响应者,执行诸如关闭或隔离端点、终止有害进程、删除文件等操作,目标是在最小的范围内做出响应,同时尽量不影响业务的连续性。
6.恢复和补救
事件发生后,努力恢复系统和丢失或受损的数据,包括擦除和重新启动端点、重新配置系统,或部署可行的备份以规避勒索软件等,将网络或设备恢复到事件发生之前的状态。
7.日志管理
收集、维护和定期审查整个组织的所有网络连接、进程启动、Shell命令执行、DNS访问、登录行为、账号变更等日志。这些数据有助于定义“正常”网络活动的基线,以揭示威胁的存在,并可用于事件发生后的补救和取证。
8.溯源调查
事件发生后,确定发生的时间、方式和原因,这有助于防止将来发生类似的问题。
9.安全细化与提升
为了领先于网络犯罪分子的工具和策略,运营团队需要通过各种方式不断改进技术,包括安全路线图中概述计划的实施,以及红队和紫队等动手实践。
10.合规管理
定期审核系统,以确保其遵守CIS、等保2.0、数据安全法等相关法律法规。按照这些规定行事不仅有助于保护公司的敏感数据,还可以保护组织免受因违规造成的声誉损害和法律挑战。
安全运营的价值与选择
无论企业组织是希望提高安全计划的成熟度,还是扩展其安全能力,安全运营服务都是一个有价值的选择。
1.安全运营服务的价值
安全运营服务能够提供安全专业知识和额外的人员配备,保证快速响应风险,将安全风险和业务影响降至最低,确保企业安全人员始终了解安全问题、审计和维护的状态,使企业人员能够专注于业务管理而不是安全任务。
如今,安全运营厂商提供了广泛的安全服务,例如威胁监控、数据保护、网络安全工具管理、合规及事件响应和取证等。通过外包,企业能够通过减少安全部门的人员配备来实现成本节约,还能缩短设备部署和安全投资回报的时间。
除了日常安全运营工作以外,部分安全运营服务厂商还可以进行漏洞和渗透测试,定期执行安全扫描,并为企业处理其他安全管理事件。
2.如何选择安全运营服务商
当今市场上有各种各样的安全运营服务和厂商,因此,明确企业的需求并聘请最佳厂商来满足这些需求非常重要。在评估厂商之前,安全团队应该仔细规划哪些功能需要外包,然后与业务部门领导和管理层商议,以确定合作的预算和流程。确定企业需求以后,要对特定选择范围内的厂商进行深入考察,列出一份简短的备选供应商名单。最后与这些供应商一一会面,逐个考察其服务内容与企业需求的匹配度,并做出最终选择。
主机安全运营实践
针对安全人员不足,无法对内部的资产、风险进行精细化管理的客户,青藤推出主机自适应安全运营平台,以资产运营为核心,持续关注客户资产变化、资产风险变化、资产入侵事件的闭环管理,通过降低内部环境的风险,提升客户网络内基础架构的安全性。
青藤安全运营团队由具有多年渗透测试、红蓝攻防研究、重保服务等经验的专业安全人员组成,不仅形成了完整、高效的安全运营体系,帮助用户基于主机安全管控,实现对被监控网络内资产、风险状况的全面掌控,确保对任何时间、任何节点发生的任何异常状况都能第一时间作出快速响应,还能为企业提供额外的托管式威胁检测、日常检查评估(渗透测试)等增值服务。
为了应对客户专业安全人才短缺、内部资产、风险不清的困惑,青藤主机安全运营平台聚焦于攻防对抗与深度威胁检测分析两个维度,提供了以下服务:
青藤主机安全6大核心服务
1.资产管理运营服务:协助客户厘清资产,做到知彼先知己,并通过资产分类和量化管理,逐步实现客户内网资产的精细化管理。
•资产台帐梳理
•识别未知资产
•未知资产处置跟踪
2.风险管理运营服务:通过风险管理,持续发现内网软硬件资产存在的漏洞、弱口令、不安全配置等风险问题,并形成风险管理报告。
•风险管理与跟踪
•新增风险
•风险关闭计划与执行
3.配置管理运营服务:对关键安全系统,定期巡检并查看配置信息,并依据设备厂商指导手册,升级配置信息,包括系统的固件版本、软件版本、特征库、License等。
•主机安全系统规则优化、更新升级
•第三方设备运行巡检与更新升级
4.入侵事件运营管理:对主机安全系统产生的告警实施监控,并根据对用户所有网络活动和通信日志进行溯源分析,跟踪处置执行情况,直到事件关闭。
5.日常评估服务:配合用户定期开展全面评估网络、主机、应用、数据库、中间件、安全管理及安全合规等方面存在的安全风险,识别资产安全漏洞,检查现有安全措施的有效性,对风险程度做出准确评价并提供整改建议,并给出安全评估报告。
6.风险处置闭环服务:通过前期的资产盘点、风险评估、风险管理等常规操作,检查并发现风险问题,给出补救建议,或协助客户缓解、关闭这些风险,实现风险的闭环管理,从而降低内网风险。
青藤主机安全运营服务与传统安全运营服务相比,结合产品+服务的核心理念,以产品为抓手,以资产为核心,7*24h持续关注风险、入侵事件的闭环管理。降低内部环境的攻击面,通过一站式服务,解决客户内部资源不足等问题,并提供丰富的报告,帮助用户实现全面、持续、高效率的自适应安全运营。
发表评论
您还未登录,请先登录。
登录