新鈦雲服已累計為您分享841篇技術乾貨
大多數企業雖然採購了多種安全裝置,但在實際使用中往往面臨管理難題。
缺乏統一的管理平臺和專門的安全運維團隊:這些裝置經常處於無人有效維護的狀態,導致其功能未能充分發揮。各裝置之間的告警資訊相互獨立,缺乏整合和聯動,企業在面對複雜安全事件時,難以及時獲取全面、準確的威脅態勢。
企業安全管理還存在諸多其他問題:例如,安全防護手段過於被動,以事後響應為主,缺乏主動檢測和威脅情報的應用能力;內部安全架構孤立,多廠商環境增加管理複雜性。部分企業在合規性上重視表面達標,卻忽視實際防護效果。
員工安全意識薄弱,人為失誤頻發:雲安全和資料保護措施不足,敏感資料面臨洩露風險;
安全運營(Security Operations,簡稱SecOps)是指透過系統化的流程、技術和人員協作,持續監控、檢測、分析和響應網路安全威脅,以保護組織資產(如資料、系統、網路)免受攻擊的綜合性活動。它不是某個工具或單次專案,而是一套“讓安全能力流動起來”的作戰體系,其核心目標是主動防禦風險、快速應對安全事件、最小化業務損失。
在近20年的安全建設發展過程中,前10多年時間,政企機構更多的以合規化建設為主;從2016年實戰化攻防演練開始,我們發現偏合規或堆砌式的安全架構實際效果已經不再那麼明顯了。我們講運營,“運”就是用起來,使整個安全平臺、安全工具正常運轉。人作為工程師、司機,甚至是廚師也好,不論是各種角色,都是透過技藝與工具實現價值的輸出。
統一管理平臺:在安全工作中,我們有SOC類平臺如安全資訊和事件管理(SIEM)、威脅檢測及響應(TDR)等工具,資料來源源不斷地進來,供我們去分析,就像買輛車就得加油,他才能走,其實也是相應的輸入。而“營”則是持續的輸出價值。
安全運營體系: 我們買車的目的是載著我們去遠方,去工作,或者週末出去玩。買了一輛車不會開怎麼辦?車的價值怎麼來體現?車動起來才能實現價值,恐怕很少人買車是為了放在那裡擺著。車肯定不能僅僅實現擺設工具的價值。 這時我們要思考一個問題:如果開車是項技能,到底是司機重要,還是車本身重要?這個問題跟安全行業的思考有些類似。我們需要的安全價值或者說解決安全問題的做法,一定是透過人加工具一起實現的,二者缺一不可。光有人沒有車,很難實現;沒有車,你可以走著去,但效率很低。只有車沒有人,車用不了,買來就是個擺設。
安全運營(Security Operations)與傳統安全(Traditional Security)的核心差異在於防禦理念、技術手段、管理方式的全面升級。傳統安全以“靜態防禦”為中心,而安全運營強調“動態對抗”,二者在以下維度存在顯著區別:
1. 從靜態防禦到動態對抗
|
維度
|
傳統安全
|
安全運營
|
|
防禦重心
|
邊界防護(防火牆、IDS)
|
全生命週期管理(預防→檢測→響應→恢復)
|
|
威脅認知
|
被動防禦已知威脅
|
主動狩獵未知風險(如APT、0day)
|
|
目標導向
|
合規達標(如等保)
|
業務風險可量化(如MTTD/MTTR指標)
|
2. 透過統一管理平臺聯動多個安全裝置
|
維度
|
傳統安全
|
安全運營
|
|
工具架構
|
孤立裝置堆砌(如FW、WAF獨立執行)
|
平臺化整合(SIEM+XDR+SOAR)
|
|
資料價值
|
日誌僅用於審計留存
|
多源資料關聯分析(網路流量+終端行為+威脅情報)
|
|
自動化水平
|
人工處理告警
|
70%+低風險告警由SOAR自動閉環
|
3. 從應急響應到安全預警
|
維度
|
傳統安全
|
安全運營
|
|
團隊角色
|
運維人員兼任安全
|
專職SOC分析師+威脅獵人
|
|
流程設計
|
事件驅動(出事才處理)
|
流程標準化
|
|
能力建設
|
依賴外部廠商支援
|
內部知識庫沉澱+ATT&CK實戰演練
|
4. 成本中心到業務賦能
|
維度
|
傳統安全
|
安全運營
|
|
投入重點
|
硬體採購(佔預算60%+)
|
訂閱持續運營服務(監測+響應+最佳化)
|
|
ROI衡量
|
裝置線上率、合規檢查透過率
|
風險損失下降率、MTTR降低值
|
|
業務關聯
|
安全與業務對立
|
安全與業務協同(DevSecOps)
|
1. 人員與組織痛點
-
專業人員缺失:國內70%的中小企業無專職安全團隊,一線運維人員常身兼多職(如網管+安全),導致響應能力不足。
-
安全意識薄弱:員工釣魚郵件點選率高達15%-20%(行業調研資料),內部人員誤操作成為主要攻擊入口
-
職責邊界模糊:安全部門與IT、業務部門權責不清,出現安全事件時推諉扯皮。
2. 流程與管理痛點
-
響應機制僵化:多數企業依賴人工處理工單,平均事件響應時間(MTTR)超過48小時,錯過黃金處置期
-
合規與實戰脫節:為滿足《網路安全法》《資料安全法》等要求,過度側重合規檢查(如等保測評),但實際攻防演練中暴露防禦短板。
3. 技術層面痛點
-
工具分散,缺乏協同性:許多企業堆砌了防火牆、IDS、WAF、EDR等工具,但各系統資料孤島化,告警資訊無法關聯分析,導致誤報率高、響應效率低。
-
威脅情報應用不足:缺乏對行業威脅情報的動態整合能力,難以針對APT攻擊、勒索軟體等定向威脅制定防禦策略。
-
雲與混合架構的適配挑戰:傳統安全難以覆蓋雲原生環境(如容器)、跨雲、混合雲等場景
4. 投入不均衡
預算分配失衡:企業傾向於採購硬體裝置(佔預算60%以上),但持續運營投入(如威脅狩獵、日誌分析)不足,導致裝置利用率低於40%。
外包服務效果存疑:MSSP(託管安全服務)市場魚龍混雜,部分乙方交付流於“7×24監控臺值班”,缺乏深度分析能力,甲方難以量化服務價值。
安全運營建設的核心目標是透過系統化的流程、技術和人員協作,持續監控、檢測、分析和響應網路安全威脅,以保護組織資產(如資料、系統、網路)免受攻擊的綜合性活動,構建一個持續、主動、動態的安全管理體系,以保障組織的業務連續性、資料資產安全和合規性。
透過整合SOAR、XDR等技術實現告警自動化處理與威脅主動狩獵,將平均響應時間壓縮至2小時以內;依託平臺化賦能與實戰化培訓,沉澱可複用的安全知識庫;透過技術、人員與流程的協同升級,推動企業從“被動合規”向“業務護航”轉型,實現安全投入與業務價值的精準對齊。
1. 概述
在安全運營體系(Security Operations, SecOps)中,人員體系是確保安全運營有效性的核心組成部分。一個完善的人員體系不僅需要明確角色和職責,還需要建立合理的組織架構、培訓機制和協作流程。透過建立三級團隊,劃分不通職責,快速響應告警。
2. 三級運營團隊
一線運營團隊L1:安全監控與初級響應
-
角色:安全分析工程師、監控機器人
-
職責:
-
7×24小時監控SIEM/XDR告警,完成初步分類與驗證(區分誤報/真實威脅)。
-
執行標準化響應劇本(如隔離惡意IP、重置異常賬戶密碼)。
-
生成每日/周安全態勢報告(如Top攻擊型別、高危資產分佈)。
二線高階分析工程師L2:高階分析與事件響應
-
角色:安全工程師/威脅獵人(Threat Hunter)
-
職責:
-
深度調查L1上報的複雜事件(如APT攻擊鏈還原、內部橫向滲透溯源)。
-
最佳化檢測規則(基於ATT&CK框架編寫Sigma/YARA規則)。
-
主導紅藍對抗演練,設計攻擊模擬場景(如釣魚郵件繞過現有防護)。
三線安全運營經理L3:戰略規劃與架構設計
-
角色:安全架構師/安全運營經理
-
職責:
-
規劃整體安全方案
-
制定安全運營SLA指標(如MTTD≤1小時、MTTR≤4小時)。
-
設計技術棧整合方案(如SIEM+SOAR+威脅情報平臺聯動)。
-
推動跨部門協作(如與IT部門制定漏洞修復SLA,與法務部門對接資料洩露合規流程)。
其他人員配置:
威脅獵人:
-
漏洞利用趨勢
-
公司資料是否被倒賣
-
攻擊手法(比如常用釣魚郵件標題、惡意軟體型別)
-
匹配情報與企業資產(比如某勒索病毒專門攻擊Windows伺服器,而公司有300臺相關裝置)
漏洞管理:
-
全系統的漏洞掃描,檢查伺服器、軟體、網路裝置的漏洞
-
關注新曝光的漏洞(比如新聞爆出某資料庫有高危漏洞)
-
模擬駭客攻擊測試系統(比如嘗試繞過登入驗證)
-
判定漏洞的等級
1. 監控分析流程
資料採集
-
網路流量:記錄所有進出的資料包(如異常下載行為、使用者異常訪問) ● 終端裝置:監控每臺終端的狀態(電腦/手機是否中毒) ● 雲上資產:主機安全監控(雲伺服器、容器行為) ● 使用者行為:識別"危險操作"(如員工半夜訪問核心資料庫)
-
即時監控:透過SEIM、XDR等平臺,即時監控分析可疑行為、攻擊行為
-
威脅分析:三級人員響應機制,由一線工程師與告警機器人響應與分析告警
-
分析處置:根據不同的事件級別,使用不同的應急預案
-
閉環:知識庫:記錄攻擊手法和處置方案(按行業/攻擊型別分類)規則最佳化:根據誤報調整檢測閾值(如正常員工批次下載次數上限)
2. 事件管理流程
根據企業架構,參照2023年5月份釋出的《GB/T 20986—2023 安全事件分級響應指南》,對告警級別分級響應
|
級別
|
事件級別
|
|||
|
P0特別重大事件
|
P1重大事件
|
P2較大事件
|
P3一般事件
|
|
|
網路攻擊
|
針對特別重要的資訊系統進行持續、大量的、有組織的網路攻擊事件,對系統功能造成損害,或導致系統服務停止,導致了特別嚴重的系統損失
|
特別重要的資訊系統受到騷擾或少量攻擊,或重要資訊系統受到多次網路攻擊,導致了嚴重的系統損失
|
重要資訊系統受到騷擾或少量攻擊,或一般資訊系統遭受多次網路攻擊,導致較大系統損失
|
一次嘗試失敗的網路攻擊事件,沒有造成系統損失或造成較小的系統損失
|
|
有害程式事件
|
特別重要資訊系統遭受有害程式多次感染或大量感染,造成特別嚴重的系統損失
|
特別重要資訊系統遭受單次有害程式,或重要資訊系統受有害程式多次感染或嚴重感染,對系統使用者、應用程式造成損害,導致嚴重的系統損失
|
重要資訊系統受單次的有害程式感染,或一般資訊系統受有害程式多次感染,造成較大系統損失
|
一次已知的有害程式事件,被防病毒保護髮現並攔截,沒有造成系統損失或造成較小的系統損失
|
|
資料攻擊事件
|
一般資訊系統少量敏感資訊或業務資料洩漏,及時發現並控制,沒有造成系統損失或造成較小的系統損失
|
重要資訊系統少量敏感資訊或業務資料洩漏,或一般資訊系統大量敏感資訊或業務資料洩漏,導致較大的系統損失,造成較大的社會影響
|
特別重要資訊系統少量敏感資訊或業務資料洩漏,或重要資訊系統大量敏感資訊或重要業務資料洩漏,導致嚴重的系統損失,造成重大的社會影響
|
特別重要的資訊系統大量敏感資訊或業務資料洩漏,導致特別嚴重的系統損失,造成特別重大的社會影響
|
響應時間(注:每個企業響應時間要求不同)
|
級別
|
響應時間
|
|
P0特別重大事件
|
15分鐘啟動應急小組
|
|
P1重大事件
|
30分鐘初步分析報告
|
|
P2較大事件
|
2小時內處置方案
|
|
P3一般事件
|
24小時工單閉環
|
3. 漏洞管理流程
a.漏洞生命週期管理
b.監控階段
-
主動掃描:
-
使用工具(如Nessus、OpenVAS)定期掃描系統和應用(頻率:核心系統每週1次,普通系統每月1次)
-
覆蓋範圍:伺服器、網路裝置、雲資源、第三方元件
-
被動接收:
-
監控漏洞情報平臺(如CVE、CNVD)
-
接收外部報告(如白帽子提交、供應商通告)
-
安全裝置流量抓取
c.驗證階段
-
去重去誤報:
-
剔除掃描工具誤報(如將配置警告誤判為高危漏洞)
-
復現驗證:
-
手工驗證漏洞可利用性(如透過Metasploit測試、POC)
d.分級及修復階段
根據漏洞的風險等級以及對業務的影響程度,綜合判斷漏洞等級:
|
風險等級
|
業務影響
|
修復期限
|
|
危重
|
核心系統/客戶資料
|
≤3天
|
|
高危
|
內部管理系統
|
≤7天
|
|
中危
|
測試環境/非敏感資料
|
≤30天
|
|
低危
|
無實際利用路徑
|
觀察
|
e.修復策略
-
熱修復機制:高危漏洞72小時緊急補丁
-
虛擬補丁:WAF規則臨時防護(平均部署時間<30分鐘)
-
補償控制:當無法修復時實施網路微隔離
特殊場景處理:
-
零日漏洞:情報獲取 → 影響分析 → 虛擬補丁 → 監控攻擊 → 官方補丁跟進
-
供應鏈漏洞:建立軟體清單,快速定位受影響元件、要求供應商簽署SLA(如漏洞響應時間≤72小時)
f.改進措施:
-
制定內部適用的《漏洞優先順序評估指南》
-
培訓開發團隊基礎安全編碼規範
-
運維團隊掌握熱修復和回滾技能
4. 問題升級流程
a.分級上報機制
b.升級溝通機制
-
黃金小時報告:重大事件1小時內提供決策簡報
-
應急:建立多通道通知系統(電話/簡訊/釘釘/郵件)
-
升級追溯審計:記錄所有升級決策的時間戳和責任人
5. 持續最佳化機制
PDCA迴圈
① 每月覆盤會:分析上月事件,最佳化3個痛點流程
② 季度攻防演練:模擬真實攻擊(如釣魚郵件突破防禦)
③ 年度劇本更新:將新戰術寫入操作手冊
④ 漏洞修復排行榜:公示各部門修復時效,倒數部門需說明
1. 概述
安全技術體系是一個多層次、多維度的綜合框架,透過技術手段預防、檢測、響應和恢復安全威脅。其核心目標是構建動態、智慧、協同的防禦能力,覆蓋從基礎設施到應用層的全生命週期防護。
2. 基礎安全防護
網際網路邊界:使用防火牆、web應用防火牆防護邊界應用
終端安全:透過EDR、HIDS、容器安全管理終端安全
身份認證與訪問管理:基於“永不信任,持續驗證”原則的動態訪問控制、IAM
3. 持續監測與檢測
建立統一日誌分析平臺:如SIEM、SOC、XDR(跨端檢測),收集所有裝置日誌(網路流量、伺服器記錄、員工電腦行為),整合所有日誌
4. 響應與自動化編排
SOAR(自動化響應):
-
自動化處置常見事件(如封禁惡意IP、隔離感染主機)。
-
示例:透過劇本(Playbook)自動響應暴力破解攻擊
-
升維防禦理念
從“靜態合規”到“動態對抗”:安全運營將傳統裝置堆砌升級為“監測-響應-最佳化”的閉環體系,透過ATT&CK框架、威脅狩獵等技術實現主動防禦。從“成本中心”到“業務護航”:安全投入與業務風險直接掛鉤MTTR下降,推動安全與DevOps、雲原生架構深度融合。
-
核心能力三角
技術驅動:SIEM+XDR實現資料關聯分析,SOAR自動化處置70%低風險告警,雲原生安全覆蓋容器/K8s環境。人才進階:三級響應團隊(L1監控-L2分析-L3決策)與威脅情報專家協同,形成“機器處理量、人工解決質”的分工模式。流程固化:透過知識庫、PDCA迴圈,將個人經驗轉化為組織知識資產,實現新員工可快速接手以及處理P2級別事件。
-
技術融合加速
AI重塑分析模式:大語言模型(LLM)將用於自動生成事件報告、解讀告警上下文,分析師效率提升3倍。雲原生安全成為標配:CNAPP(雲原生應用保護平臺)統一管理多雲安全,Serverless和容器安全檢測精度達99%。自動化防禦網絡:SOAR與XDR深度聯動,實現“檢測-響應-阻斷”秒級閉環,勒索軟體加密前攔截率達90%。
-
運營模式創新
安全即服務(SECaaS):中小企透過MSSP(託管安全服務)按需獲取威脅狩獵、紅隊演練等高階能力,成本降低50%。員工安全素養量化:透過模擬釣魚平臺、UEBA(使用者實體行為分析)動態評估員工風險等級,納入績效考核。
-
小型企業(預算有限,團隊<5人)
輕量監控部署開源SIEM+EDR實現基礎威脅感知。訂閱威脅情報服務(如微步線上),自動攔截惡意IP/域名。
聚焦高頻風險
-
制定《Top 5應急預案》(如釣魚郵件、弱密碼爆破、病毒感染等),快速處置安全事件。
-
每季度開展1次全員安全意識培訓(點選率需≤10%)
2. 中大型企業(預算充足,專職團隊>10人)
高階能力建設
構建SOC統一日誌分析平臺:整合SIEM+SOAR(Palo Alto Cortex)+XDR(CrowdStrike),實現告警全生命週期管理。
建立威脅狩獵團隊:每週開展1次ATT&CK戰術場景狩獵(如橫向移動、許可權提升)。
DevOps流程:在DevOps流程嵌入SAST、DAST、SCA等工具,實現程式碼提交階段攔截70%漏洞。
安全運營的本質是 “用持續對抗的不確定性,換取業務發展的確定性”。企業需摒棄“重採購輕運營”的舊思維,轉而建立 “工具為矛、人才為盾、流程為鏈” 的有機體系。未來三年,隨著AI、自動化技術的成熟,安全運營將進入“智慧協同時代”——機器處理99%的日常告警,人類專注於1%的戰略性威脅狩獵。唯有先行者,能在攻防不對稱的戰場上贏得主動權。
如有相關問題,請在文章後面給小編留言,小編安排作者第一時間和您聯絡,為您答疑解惑。
推薦閱讀
推薦影片
