最近因为有项目涉及到安全运营,所以抽时间了解了下。和身边正转行做安全运营的小伙伴也深入的探讨了下关于乙方安全运营服务的一些思路,觉得如果能把自己的想法写下来向更多的朋友进行请教肯定会学到更多,所以有了这篇文章。
本文只是从个人角度出发进行描写的,肯定有地方写得和现实有所出入,希望朋友们能多加指正。谢谢!
传统乙方安全运营服务
在传统的乙方安全运营模式中,最常见的莫过于直接派遣员工进行驻场的安全服务。对于驻场服务而言,客户对象一般是国企事业单位居多。驻场员工除了处理一般的安全事件外,更多的是为甲方提供多种不同的信息安全方面的支持,包括但不限于技术,也有很多汇报,文档等类工作。
在这一阶段的乙方安全运营,水平可谓是参差不齐,服务能力严重依赖于驻场人员的个人能力。实际上很多驻场人员能解决的问题有限,更多的需要依赖于远程的专家团队进行支持。
但是不可否认,驻场模式的安全服务能够更好的去跟客户沟通,充分了解客户的需求,更容易赢得客户的信赖,能为后续的续约成单打下坚实的基础。
互联网的安全运营解决方案
17年笔者实习时曾接触过公司的一个安全运营项目,主要是为客户建立起一套基于OSSIM的安全架构体系。笔者认为这也是一种安全运营的方式,乙方通过为甲方提供安全产品来进行安全运营,后续也有可能是乙方派人驻场运维这套系统。
这一阶段有很多优秀的解决方案,很大程度上提升了安全运营的水平。其中不得不说的就是soc的方案,但是笔者接触到的人大多对于soc的方案持中立态度,认为设想很好但是落地很难。因为大家可能因为采购等多种原因,购买了多个厂商的多种不同产品,而再想将这些产品的日志等产出物都集成到一个soc中可能就会出现多种不同的问题。
从笔者接触到的情况来看,现在更多的互联网企业都采用了自建安全运营平台的方案,没钱就基于ELK来不断完善日志收集功能和报警规则,有钱就购买更好的splunk等商业产品,自建安全运营平台,招收专门的安全运营人才成为目前互联网企业的主流解决方案。
新出现的安全运营服务思路
MDR(Managed Detection & Response)Gartner在2016年首次提出了了“(MDR)”一词。笔者简单的理解,该服务的重点为Managed,甲方直接将安全运营业务托管给了专业的乙方。这很符合专业的人做专业的事的逻辑,23333。乙方自建系统,收集来自不同的企业的日志,并提供7*24小时的安全监控服务。
这一服务类型的出现极大的提高了安全运营的专业化水平。对于双方而言都是有所裨益的:
- 甲方可以更专注在安全建设上来,安全人员不用为了报警而疲于奔命;
- 乙方可以通过多个甲方的情况来完善自身服务,打造出一套完整的标准流程;
- 通过乙方的标准流程,可以极大降低安全运营水平对于个人能力的依赖;
- 从市场角度而言,将安全运营服务进一步推向了极致,后续甲方对MDR提供商的依赖将会进一步升高。
乙方安全运营服务的业务价值
前面谈了不同类型服务的个人理解,接下来让我们探讨下安全运营服务对于乙方来说的意义。对于乙方来说的,所有的方案最终目的都是钱,那我们各种不同安全运营方案的价值点又在哪里呢?
传统的驻场服务很简单,就是赚的人天以及持续订单的产出。价值赚取的效率偏低,成本是提高利润率的最大敌人。而进一步通过产品售卖来提高利润分摊成本是必然的选择,再加上后续的由于产品带来的供应商绑定效应,为企业带来源源不断地订单收益,这是一条被普遍实施的战略。
那更进一步呢?
由笔者之前所说的MDR,笔者认为可以从两方面为企业创造价值。大家在不同的安全实践中能很清晰的感知到,技术和管理是一对不可分割的孪生兄弟,在安全运营中也是这样。对于乙方来说,完全可以从这两点出发为甲方提供服务。
在一般的安全运营过程中,我们首先基于报警信息进行跟进,查找报警原因,跟踪黑客轨迹,整理完整路径并出具报告。然后将漏洞传递给运维,开发同事进行修补。但是在实际的推进过程中,可能会遇到多方面的问题。
所以在管理上,可以首先为甲方提供安全运营的咨询服务。从告警到发现问题,定位漏洞,出具报告,修复漏洞,修复测试等一连串的标准流程。比如告警事件的级别定义,什么样级别的事件要在什么样的时间内进行处理等。因为乙方能接触到多个不同的场景,遇到多种复杂的情况,所以乙方能够从自身角度出发整理出一套标准的处理流程,这一套流程可以为甲方自身运营流程的建立起到重要的参考作用。同时,在有着大量实践基础上,乙方也可以从甲方实际需求出发,为甲方量身制定一套流程,自定义的东西一向都是值钱的。同时,对于甲方的安全人员来说,内部人员也许做了很多努力想要将安全流程贯彻,但真的不如外部的咨询服务做出来的结果有效,咨询也可以成为重要的甲方内部推动力。
技术上,乙方可以通过海量的日志积累,打造出一套完善的规则匹配库,再辅以标准的业务流程,极大的弱化运营人员个人能力带来的服务差距。随着具体实践经验的增加,可以更准确的消除误报实现事件的有效分级处理。在进一步的安全运营过程中,可以接入威胁情报,从来源判断是否存在威胁,存在什么类型的威胁,再结合业内领先的诸如SOAR等概念,充分发挥MDR集聚效应的优势,用最小的成本来得到最大的业务价值实现。
同时,我们还可以结合目前的上云趋势,将安全运营服务saas化。将多个企业的安全运营平台上云,同一套系统框架给不同企业赋予不同权限,让其简单直观的看到目前的企业运营现状,也可以进一步提高乙方产品的卖点。
MDR类产品的进一步发展肯定是云的模式,客户沟通可能更多的是有线上进行完成。相较于传统的驻场模式,与客户的联系就大大降低了,这对于政企类客户而言是及其不舒适的。我们可以为大客户派遣技术人员的方式实现驻场,因为业务流程标准化了,驻场人员的专业水平要求降低,成本也将降低。同时我们还可以通过日报,周报,月报等不同形式的报告加强我们与客户之间的联系。从政企类客户角度而言,他们可能不太懂你做的事情是什么,但是他们更希望掌控你现在在做什么,做的怎么样了,做的结果是什么。
以上是笔者的一些粗浅认识,可能很多问题理解的比较片面,希望经验丰富的各位前辈能不吝赐教。谢谢
转载请注明:IT运维空间 » 安全防护 » 乙方安全运营服务的一些思考
发表评论