PCSA安全研究院‖安全运营的定义、目标与核心能力

一、什么是安全运营？

狭义安全运营是为以资产为核心，以安全事件管理为关键流程，依托于安全运营平台，建立一套实时的资产风险模型，进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。
广义安全运营是一个技术、流程和人有机结合的复杂的系统工程，通过对已有的安全产品、工具、服务产出的数据进行有效的分析，持续输出价值，解决安全风险，从而实现安全的最终目标。

二、安全运营的核心目标是什么？

安全运营构建安全运营体系、安全知识体系，融合、增强安全能力，以“安全能力”进行赋能，以“安全数据”提供决策，以“运营能力”作为交付，通过该运营模式来发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化，实现安全的共同目标。

三、安全运营包括哪些方面的内容？

安全运营包括安全运营管理体系、安全运营支撑体系、安全运营服务体系、安全合规与检查体系四大部分。安全运营管理体系解决安全组织、制度、流程的问题；安全运营支撑体系解决安全运营的平台与支撑工具的问题；安全运营服务体系解决安全运营周期性、日常性工作的落地的问题；安全合规与检查体系解决合规测评、风险整改的问题。

四、安全运营中心需要哪些核心能力？

安全运营中心需要提升的核心能力主要有四个，包括1）精准定位已知威胁；2）深度检测未知威胁；3）丰富安全事件场景；4）辅助安全运营决策。
1）精准定位已知威胁：单点安全检测设备能够产生有价值的告警，但往往被低质量的告警所淹没了，所以需要从海量数据中进行精准定位。
2）深度检测未知威胁：单点安全设备检测高级威胁、未知威胁能力有限，同时安全威胁已经扩展到用户行为、业务异常等领域，所以要弥补单点安全设备检测能力短板。
3）丰富安全事件场景：利用事件（Event）、日志（Log）产生告警（Alert），再进一步聚合成安全事件（Incident），以及整合资产、漏洞、威胁等上下文数据，明确攻击链条、事件时间线以及风险等级。
4）辅助安全运营决策：针对安全事件能够清晰的描述发生了什么？为什么发生？未来会不会发生？该如何应对？为进一步安全响应，以及安全防御措施完善，提供决策指导。

五、如何抓住并实现安全运营的重点？

随着信息化与安全成熟度的提高，通过实时大数据安全分析技术，从海量数据中判定攻击失陷，已经是安全运营的核心关注点与必然趋势。简单来说，安全运营本质就是从Event到Accident的过程。
安全运营涉及到“事件”的包括Event、Incident、Accident三个词，虽然三个词直译都以称为“事件”，但在安全管理标准、安全管理平台定义中却出现不同的词，可见它们之间是存在着细微差别的。
1）对Event的理解
Event在有些安全标准里会被翻译成“事态”，直白理解就是事情的状态，从风险管理角度看，它只是一种状态而已，还不涉及到潜在的损失，可能是一种风险的潜在因素，也可能不是。
举个例子来讲，一个办公室的门没有关，这个“门没关”就属于Event，只是一种状态，不去考虑为什么没关，或者应不应该关，没有产生风险，也没有带来损失。
在安全管理平台中，SIEM中的E就是这个Event了，采集上来的告警也好，日志也好，其实都是一种客观的状态记录，这些都是进行安全分析所需要的原料，通过分析引擎进行分析后产生全新的告警。
2）对Incident的理解
Incident在安全标准里通常被翻译成“事件”，也就是事件与应急管理中的“事件”。从风险管理角度看，它不再只是一种状态，而是变成了一种风险，可能会带来或者已经带来了损失。
还是上面的例子，如果这个办公室是存放着敏感资料的话，这个门按规定是需要默认关闭的，这个门没有关就不再只是一种状态，而是一种风险事件了，由于可能带来损失，所以是需要处置的。
在安全管理平台中，将多个安全告警进行聚合，按时间顺序或攻击路径排列，这个就是Security Incident，有些产品将其命名为“安全事件”。比如一次病毒的传播，可能影响了多台终端，由于攻击目的地址不同，告警是无法合并的，但可以聚合成一个Security Incident。
3）对Accident的理解
Accident在安全标准里通常被翻译成“事故”，它不再是一种潜在风险，而是确定已经产生了损失。从风险管理角度看，Incident与Accident是包含与被包含关系，Accident是程度更加严重的Incident。
还是上面的例子，如果这个办公室是存放着敏感资料的话，有一个小偷趁着门没有关把资料偷走了，由于确实造成了损失的既成事实，所以这个就属于Accident，是一次安全事故了。
在安全管理平台中，目前并没有看到单独的Accident概念，它被包含在Security Incident里面了，但在作为一个好的安全管理平台，是需要通过丰富的上下文信息来帮助分析人员，能够快速判断是否造成了Accident。
另外，如果确定已经发生Accident的话，是需要编制针对性的专题报告的，那么安全管理平台是否可以提供足够的信息，方便安全分析人员完成报告编制，甚至是能够自动化导出事故报告，这也是安管平台的一个挑战。

六、关于安全运营的一些总结

当前安全管理的理念与方法正在通过管理平台与技术手段逐步得到了落地，从而使安全管理与技术的融合度越来越高。比如态势感知中的指标、大数据分析中的场景，都可以与信息科技风险管理的关键风险指标KRI，以及信息安全管理中的有效性度量很好地结合起来。安全管理平台、自动化编排与响应也同样需要与事件管理、应急响应融合贯通。