全球新冠疫情的持续爆发,让企业不得不为了生存而转变,特别是大型企业也在积极自我优化应对解决方案,频繁与各类供应商评估如何通过互联网保证业务的持续稳定和增长。Mr.R参与评估发现这里面涉及方方面面,例如:如何管理供应链、供应商、员工、系统、安全等。从疫情中带来的企业变化来看,企业数字化转型的障碍反而正在慢慢消失,大家正在努力让企业运营变得更具弹性和健壮性。结合网络安全赛道 ,Mr.R做了一些调研分析:
- 弹性:疫情中企业互联网应用更频繁交互情况下,要求企业安全运营团队必须更高效的方式发现安全事件、自适应智能化主动响应安全风险、业务故障和应急处置。尽管新冠病毒看起来是一个“黑天鹅”事件,但在未来几年内,企业还是会面对其他破坏运营和业务连续性的大范围乃至全球化的安全事件。企业需要建设更弹性的网络安全运营,逐步实现主动感知和自动化安全管理。
- 健壮:优秀的安全运营团队不仅仅是会灵活使用安全手段建立防御体系。当前情况,更需要在实战化对抗的过程中打造更健壮的运营网格,更灵活强大的运营驱动中枢系统(非传统意义的SOC/态势感知之类)。
安全运营在疫情造成的人员隔离情况下,经常面临无法现场运维设备、协同响应、业务优先级判断,而安全事件并不会减少,甚至将网络被攻击面大大的延展开来,也正是这种刚性压力推动了安全运营加速引入人工智能、自动化和机器人技术。这些新技术给国内安全厂商带来了新的创新空间和增长机会,从最近国内安全行业几次融资来看网络攻击面和自动化(基于人工智能的攻击面管理)崭露头角。从战术角度来看,这场病毒大流行对网络安全事件驱动企业应对安全的手段也在发生变化,Mr.R发现暗网中很多黑客团队正在利用疫情实现攻击:获取数据、监视目标、社工欺骗,某种情况也推动了黑客网络犯罪。
众智维科技旗下麒麟安全实验室在2021年对近100家企业 客户的安全托管服务数据以及多个省份网安各项行动约15000家企业漏洞生命管理数据(SPUI知识图谱分析引擎)分析发现,随着疫情在国内的爆发,企业面临的总体网络威胁和事件大幅增加。可以看的出来,当前企业安全运营变得有弹性和健壮。为此,传统意义的安全运营中心(SOC)要变革升级,实现智能化、协同化安全运营网格的新一代AISecOps中枢神经,Mr.R将其称为“综合威胁运营中心”(ITOC)。
以下是我们定义AISecOps变革企业安全运营的关键要点:
一、企业安全运营态势
根据众智维提供安全托管服务的企业客户中70%的客户反馈,由于新冠疫情的影响,客户不得不调整安全运营模式,比如:开放更多资产远程访问的接口、增加远程运营人员的数量(包括原厂及外包人员)、IT资产云化及微服务化,结果导致企业的攻击面的暴露,企业威胁风险指数将大大升高。
另外,在众智维的99%企业客户反馈,企业本身在加速云化,提高网络可用性及弹性的过程中,已经面临增加的攻击面暴露,以及混合云IT资产使用产生的威胁。国内云化基建导致越来越多的企业需要更灵活的安全运营服务。根据调查,43%的企业客户在云端进行IT安全运维。
二、人工智能和机器学习
Mr.R认为目前随着IT技术和性能的演进,AI和ML对于企业在威胁狩猎、应急响应、安全弹性建设都有了大量的成功落地案例。在众智维所服务的大型客户IT专业管理人员反馈接过来看,AI技术已经成为网络安全运营的关键能力,93%的企业认为已经落地建设了使用AI或ML的安全产品。
当然,从另外一个角度来看,国内大部分安全厂商都在围绕AI和ML推出产品并进行营销,但企业在建设这类解决方案的同时,综合考虑以下因素,这里我们按重要性原则排序罗列如下:
•提高对高级威胁的检测能力(威胁狩猎/XDR)
•提高对数据泄漏的检测能力(数据安全)
•提供安全调查及溯源(HW/WA)
•改进内外部威胁的检测(实战/红蓝对抗)
•建设自动化安全运营体系(MTTD/MTTR考核)
三、安全自动化
众智维基于SOAR安全编排自动化及响应为企业客户提供MSS安全服务,通过人工智能+剧本自动化高效的处置安全事件,帮助企业实现AISecOps,从而对抗高级威胁的关键技术落地。在接受调查的400多名IT技术专家中,91%的专家表示,计划在未来12个月内使用安全自动化技术,帮助他们提高安全运营的效率和能力。
四、SecOps工具及人才
Mr.R统计了企业在安全运营中常用的工具,这些工具可以帮助企业实现威胁可视化、威胁模拟,基于MITRE ATT&CK框架进行自我防御验证。目前国内有60%的企业表示已经在使用ATT&CK框架。另外,常见的安全通用工具:包括SCM、SIEM、NTA、SOAR和UEBA,有超过50%的企业正在使用。在2022年,国内预计将达到80%的使用比例。同时,97%的企业需要配置SecOps专业技能团队,68%的企业愿意采用专业的MSS/MDR团队来支撑安全运营。
五、安全运营变革的5个步骤
面对越来越复杂的大环境,为了让AISecOps变革SOC转变为能够应对当今复杂的安全威胁,Mr.R建议企业基于这些步骤建设安全运营体系:
1. 制定安全运营能力目标
企业在部署SOC/SIEM基础上,应建设具备攻防能力、安全处置能力的专家或服务体系。通过尝试落地SOAR、MITRE ATT&CK框架、协同作训来打通企业攻防安全基本运营流程,从而清楚的认识威胁的分布情况。(建议企业部署已经带有ATT&CK框架功能的安全运营系统)
2. 组建自有的安全攻防体系
目前在众智维的客户中100%客户都面临过针对性的攻击,所以Mr.R建议企业要保持攻防演练实战化。企业管理层经常问问运营团队,“对手要拿我的什么信息?”这可能不仅仅是数据,也许是业务流程、组织架构,甚至是你的高管信息、供应链信息。这里所说的实战化不是简单的靶场演练,更多是可信众测这类竞争检测机制。
3. 构建弹性和可量化的运营考核
Mr.R团队为企业提供安全运营方案的过程中,比较着重构建弹性灵活的安全运营方案,比如SOAR的APP安全接入、剧本Playbook实例化、USECASE案宗等,企业可以根据自身需求定义SecOps重点方向,从而多维度的衡量常见安全事件处置效率(例如分为运营人员、运营团队、安全案宗各种角度的MTTD、MTTR),SOAR产品不仅仅能够成为企业安全SecOps落地支撑 ,而且能实现量化运营考核。
4. 持续投入AI+SecOps建设
通过AI、ML、安全自动化的持续集成,可以释放企业有限的安全运营人员精力,降低企业运营成本。
5. 引入MSS安全专业托管
众智维的企业客户群中基本经常讨论的是,怎样提高安全运营效率,前面说过AISecOps的优势,技术确实是可以帮助减轻安全团队的工作量,将重复的、令人麻木的工作转移到机器上。
但这里Mr.R结合国外的运营趋势,提出企业引入MSS安全专业托管将会是快速提高效率的另一种捷径(当然企业要转变对安全服务的认识)。越来越多的企业IT上云,也就意味着安全服务的云化。安全团队成员可以随时随地访问这些企业应用服务、运营系统。企业通过SOC+SOAR+MSS托管服务将大大减轻安全团队的负担,让自有安全专家将能够专注于更重要的工作,例如流程、协同、业务缓解和分析报告工作。
变革SOC
Mr.R认为要适应当前企业安全运营的特殊变化,必须建设AISecOps实现企业安全运营的弹性及自适应。2022年企业SOC应该提前启动ITOC的变革,让企业SOC具备覆盖感知、预测、检测、处置、分析的智能化战略。同时站在企业管理的高度,考虑安全与企业战略、业务运营、财务和信息/网络风险全视角结合,让AISecOps落地在当前企业安全运营架构中,也将会解决日益增长的刚性高频运营难题。
作者Mr.R简介:网络安全从业近20年,行业老兵,做过10年安全产品开发、5年销售、5年企业管理及创业经验,外企&土著&甲方 &乙方从业,现仍旧投身于安全行业创业,继续投身产品研发、销售市场、企业管理。
