安全運(yùn)營體系的規(guī)劃建設(shè)與落地規(guī)劃

1、安全運(yùn)營體系的規(guī)劃建設(shè)與落地規(guī)劃技術(shù)創(chuàng)新，變革未來安全運(yùn)營是什么安全運(yùn)營解決什么 安全運(yùn)營體系設(shè)計(jì) 安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄安全運(yùn)營是什么么？現(xiàn)在很多公司都有安全部，也有很多優(yōu)秀的安全工程師他們可以搞定防御很高的系統(tǒng)他們可以寫出很棒的掃描器But 我們的公司真的安全了嗎？當(dāng)然沒有，我們依然有漏洞，依然被搞定 ，為什安全運(yùn)營到底是什么？那就是不斷地發(fā)現(xiàn)問題、分析問題、解決問題、檢驗(yàn)效果，持續(xù)跟蹤不停優(yōu)化迭代的過程。最終目的是持續(xù)保護(hù)企業(yè)安全安全運(yùn)營是什么安全運(yùn)營解決什么安全運(yùn)營體系設(shè)計(jì) 安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄安全運(yùn)營解決什么安全設(shè)備失

2、效（沒上架、BYPASS、默認(rèn)PERMIT、.）檢測能力低下（缺少規(guī)則、漏誤報(bào)、部署失位、）安全能力缺失（不會(huì)干、干不完、量太大、）流程閉環(huán)缺失（漏洞發(fā)現(xiàn)沒修、端口開放沒關(guān)、）安全運(yùn)營解決什么解決這些安全問題，建設(shè)好安全最后一公里，需要把安全設(shè)備用起來讓設(shè)備有效果提高威脅檢測能力讓異常被發(fā)現(xiàn)提高安全對抗能力讓異常能處置工作流閉環(huán)讓事項(xiàng)被完成安全運(yùn)營解決什么總結(jié)下來就是不斷提高安全能力和內(nèi)部服務(wù)質(zhì)量，并保持在穩(wěn)定的區(qū)間：標(biāo)準(zhǔn)化（制定SOP，保證人員能力足夠解決發(fā)現(xiàn)的問題）流程化（制定運(yùn)營流程，保證所有的問題被響應(yīng)、被處理、被解決）工程化（把能力工具化，保證安全能力快速輸出給設(shè)備和員工）自動(dòng)化（解

3、決海量的問題，結(jié)合工程師安全能力與機(jī)器快速處理能力）安全運(yùn)營是什么安全運(yùn)營解決什么安全運(yùn)營體系設(shè)計(jì)安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄安全運(yùn)營體系設(shè)計(jì)所以你需要的是一個(gè)完整的安全運(yùn)營體系防護(hù)監(jiān)測：持續(xù)性動(dòng)態(tài)監(jiān)測設(shè)備阻斷響應(yīng)分析：對事件進(jìn)行快速響應(yīng)對告警或信息進(jìn)行確認(rèn)調(diào)查處置：對安全事件分析還原快速進(jìn)行止損、善后復(fù)盤評估：復(fù)盤事件原因 提出完善修復(fù)方案完善加固：執(zhí)行修復(fù)方案增強(qiáng)防護(hù)和監(jiān)測能力安全運(yùn)營體系設(shè)計(jì)組織架構(gòu)設(shè)計(jì)1安全能力團(tuán)隊(duì)：攻防滲透、樣本分析、威脅情報(bào)、漏洞研究等核心安全能力的支撐團(tuán)隊(duì)；產(chǎn)品平臺(tái)團(tuán)隊(duì)：讓機(jī)器智能復(fù)制工程師經(jīng)驗(yàn)，解放人力，解決安全中的“海量”難題； 算法

4、規(guī)則團(tuán)隊(duì)：解決攻擊無法被檢測的“規(guī)則困境”，讓攻擊被感知；安全防護(hù)團(tuán)隊(duì)：推動(dòng)項(xiàng)目建設(shè)，實(shí)施防護(hù)措施，提高安全防御能力；安全運(yùn)營團(tuán)隊(duì)：狹義的運(yùn)營，發(fā)現(xiàn)攻擊、解決事件、處置威脅，讓工作閉環(huán)；安全運(yùn)營體系設(shè)計(jì)組織架構(gòu)設(shè)計(jì)2組織分類人員能力定位目標(biāo)一線運(yùn)營基礎(chǔ)事件響應(yīng)處置 溝通協(xié)調(diào)能力完成工作閉環(huán) 解決基礎(chǔ)問題承接對外溝通任務(wù)二線運(yùn)營高級威脅發(fā)現(xiàn)與跟蹤響應(yīng)應(yīng)急響應(yīng)具備一定的攻防能力滿足技術(shù)要求處置高級或嚴(yán)重威脅安全能力團(tuán)隊(duì)樣本分析威脅情報(bào)（逆向、動(dòng)態(tài)調(diào)試、大數(shù)據(jù)） WEB滲透、內(nèi)網(wǎng)滲透（紅隊(duì)性質(zhì)）安全研究能力提高安全能力檢驗(yàn)安全運(yùn)營效果算法規(guī)則團(tuán)隊(duì)制定算法規(guī)則，提高檢測率、減少誤報(bào)構(gòu)建攻擊或者異常檢測

5、規(guī)則安全防護(hù)團(tuán)隊(duì)項(xiàng)目推進(jìn)管理（產(chǎn)品部署、調(diào)整網(wǎng)絡(luò)架構(gòu)、域）產(chǎn)品平臺(tái)團(tuán)隊(duì)采購、自研、利用開源平臺(tái)搭建必要的系統(tǒng)、產(chǎn)品、工具安全運(yùn)營體系設(shè)計(jì)安全分類功能定位產(chǎn)品安全總控日志、告警、事件等數(shù)據(jù)聚合管理中心數(shù)據(jù)分析中心SOC類產(chǎn)品服務(wù)器與終端安全終端管控、補(bǔ)丁修復(fù)、 病毒查殺、基線合規(guī)終端安全助手 HIDS終端行為管控高級威脅發(fā)現(xiàn)攻防規(guī)則制定數(shù)據(jù)來源EDR網(wǎng)絡(luò)安全全流量分析 流量攻擊匹配 IOC過濾阻斷全流量分析系統(tǒng)應(yīng)用安全應(yīng)用層安全加固日志收集、存儲(chǔ)與檢測NGSOC數(shù)據(jù)安全數(shù)據(jù)防泄漏、防篡改等DLP、云平臺(tái)監(jiān)控等APT對抗樣本沙箱殺傷鏈聚合歸并SandBox安全防護(hù)設(shè)計(jì)安全運(yùn)營體系設(shè)計(jì)安全防護(hù)設(shè)計(jì)安

6、全運(yùn)營體系設(shè)計(jì)安全運(yùn)營驗(yàn)證與度量度量維度度量指標(biāo)檢測手段檢測意義基礎(chǔ)指標(biāo)終端安全軟件安裝率 終端安全軟件正常率 安全設(shè)備覆蓋度規(guī)則數(shù)量數(shù)據(jù)統(tǒng)計(jì)基礎(chǔ)數(shù)據(jù)是進(jìn)行安全運(yùn)營地基，沒有這些也就沒有安全運(yùn)營的可能性安全運(yùn)營效果規(guī)則覆蓋度 平均響應(yīng)時(shí)長 平均處置時(shí)長檢出率（漏報(bào)率）誤報(bào)率對抗成功率實(shí)戰(zhàn)結(jié)果 紅藍(lán)對抗?jié)B透測試（黑、白、灰）漏掃等檢驗(yàn)運(yùn)營效果、發(fā)現(xiàn)未檢出的漏洞， 未發(fā)現(xiàn)的威脅，提升高度可靠性價(jià)值維度滿意度對業(yè)務(wù)支撐能力走訪座談 調(diào)查問卷安全最終要服務(wù)于業(yè)務(wù)，為業(yè)務(wù)正常 開展保駕護(hù)航安全運(yùn)營是什么安全運(yùn)營解決什么 安全運(yùn)營體系設(shè)計(jì)安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄安全運(yùn)營的落地

7、實(shí)踐需要的基礎(chǔ)數(shù)據(jù)數(shù)據(jù)來源部門員工表行政或人力資源部門資產(chǎn)表IT部門與安全部門組織架構(gòu)表行政或人力資源部門網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)運(yùn)維部門與安全部門系統(tǒng)信息研發(fā)管理中心組件信息研發(fā)管理中心編程語言信息研發(fā)管理中心框架信息研發(fā)管理中心終端軟件信息主機(jī)運(yùn)維中心基礎(chǔ)數(shù)據(jù)平臺(tái)建設(shè)與數(shù)據(jù)積累運(yùn)營需要足夠的基礎(chǔ)數(shù)據(jù)基礎(chǔ)數(shù)據(jù)需要一個(gè)合適的系統(tǒng)進(jìn)行存儲(chǔ)查詢（S_CMDB）員工表和組織架構(gòu)表一般相對容易資產(chǎn)表：IP、OS、PORT、SERVICES、API、MIDWARE、LANGUAGE、FRAME、SOFTWARE、資產(chǎn)與員工表的關(guān)聯(lián)以上這些都是我們進(jìn)行運(yùn)營的基礎(chǔ)支撐安全運(yùn)營的落地實(shí)踐能力部門備注威脅情報(bào)安全能力中心

8、提供情報(bào)、IOC庫樣本分析安全能力中心virustotal進(jìn)行樣本判別、逆向分析等攻防滲透安全部、安服、紅隊(duì)進(jìn)行攻防對抗、實(shí)戰(zhàn)演練漏洞研究安全部、安全能力中心、漏洞庫挖掘0DAY、挖掘已知漏洞應(yīng)用安全產(chǎn)品與內(nèi)部系統(tǒng)安全團(tuán)隊(duì)WEB、移動(dòng)端進(jìn)行安全保障安全能力支撐安全運(yùn)營的落地實(shí)踐分析中心系統(tǒng)平臺(tái)搭建安全運(yùn)營的落地實(shí)踐標(biāo)準(zhǔn)動(dòng)作SOP舉例，做到標(biāo)準(zhǔn)化，快速復(fù)制安全能力安全運(yùn)營的落地實(shí)踐流程閉環(huán)的確保人不是機(jī)器，總會(huì)有能力高低、總會(huì)狀態(tài)起伏，總會(huì)有責(zé)任心強(qiáng)弱，流程保障不能靠人一靠機(jī)制：日例會(huì)，每天對前一日的事件、漏洞等進(jìn)行簡要跟進(jìn)和分析；周回顧，每周對當(dāng)周事件進(jìn)行跟進(jìn)、催促未關(guān)閉事件和未修復(fù)漏洞；月總

9、結(jié)，每月對重要運(yùn)營問題進(jìn)行總結(jié)復(fù)盤、跟進(jìn)重大加固修繕方案的進(jìn)度；二靠平臺(tái)：把制度流程嵌入平臺(tái)工單流轉(zhuǎn)邏輯，使得流程步驟沒辦法繞過；重要流程審核機(jī)制，對忽略、復(fù)驗(yàn)完成、修繕進(jìn)度結(jié)束、關(guān)閉等節(jié)點(diǎn)進(jìn)行double check；安全運(yùn)營是什么安全運(yùn)營解決什么 安全運(yùn)營體系設(shè)計(jì) 安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營基礎(chǔ)成果成果分類成績流量收集覆蓋度所有辦公區(qū)全覆蓋；所有IDC的互聯(lián)網(wǎng)方向流量全覆蓋；終端覆蓋度（1）98.52%以上的終端安裝率；（2）93.21%的實(shí)名率；（3）93.96%以上的基線合規(guī)率，補(bǔ)丁安裝率（4）基本消除重大終端漏洞和終端弱口令；服務(wù)器

10、覆蓋度（1）互聯(lián)網(wǎng)側(cè)服務(wù)器全部安裝終端安全防護(hù)軟件；漏洞事件運(yùn)維（1）事件100%關(guān)閉；（2）漏洞（中危及以上）100%修復(fù)；蜜罐（1）完成蜜罐密網(wǎng)的部署；SOP（1）創(chuàng)建100+ SOP實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營案例一紅隊(duì)日常攻擊被檢測背景：AD服務(wù)器日志收集平臺(tái)檢測到關(guān)鍵字mimikatz 隨即判定AD已經(jīng)失陷，根據(jù)Workstation和地址 信息在域內(nèi)進(jìn)行追蹤溯源，最后判定攻擊IP為 a.b.c.d ，根據(jù)該IP地址的交互認(rèn)證信息，找到其使用者，歸 屬于公司紅隊(duì)成員 ，其在進(jìn)行授權(quán)滲透測試。成果：快速發(fā)現(xiàn)關(guān)鍵服務(wù)器被攻擊，找出攻擊者，阻斷攻擊行為，避免進(jìn)一步損失。實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營

11、案例二攻防演習(xí)阻斷攻擊方進(jìn)入內(nèi)網(wǎng)背景：攻防演習(xí)期間，內(nèi)部二次認(rèn)證賬號系統(tǒng)出現(xiàn)新的移動(dòng)終端綁定事件。與帳號擁有者聯(lián)系確定為非 本人行為。立即意識到有其他人獲取到了該用戶的賬后憑證，妄圖通過二次認(rèn)證進(jìn)入內(nèi)網(wǎng)。首先，立即停 用該賬號，然后排查移動(dòng)終端唯一識別標(biāo)識，最終根據(jù)移動(dòng)設(shè)備終端標(biāo)識發(fā)現(xiàn)攻擊者。成果：阻止攻擊方進(jìn)入內(nèi)網(wǎng)，并追溯到攻擊者。最終防御方在攻防演習(xí)中取得了勝利。實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營案例二攻防演習(xí)阻斷攻擊方進(jìn)入內(nèi)網(wǎng)實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營案例三及時(shí)發(fā)現(xiàn)修復(fù)ThinkPHP5漏洞保護(hù)公司資產(chǎn)背景：TP5RCE 這個(gè)漏洞一出來，隨即安全運(yùn)營小組對內(nèi)網(wǎng)資產(chǎn)進(jìn)行了盤點(diǎn)掃描和檢查，發(fā)現(xiàn)部分系統(tǒng)

12、存在該問題，立即推進(jìn)修復(fù)，并最終緊急修復(fù)完成。后面即發(fā)現(xiàn)公網(wǎng)利用TP5RCE漏洞執(zhí)行mstha 命令反 鏈cobalt-strike的批量攻擊，由于及時(shí)跟進(jìn)修復(fù)完成，公司沒有造成損失。成果：及時(shí)修復(fù)了漏洞，避免了公司的損失。實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營案例四終端安全運(yùn)營發(fā)現(xiàn)感染無文件永恒之藍(lán)變種背景：公司服務(wù)器出現(xiàn)異常流量，排查進(jìn)程之后卻沒有找到對應(yīng)文件，進(jìn)行深入分析日志后，并根據(jù)流量進(jìn)行排查，結(jié)合威脅情報(bào)IOC，終于發(fā)現(xiàn)這是一類無文件落地的永恒之藍(lán)變種。成果：按照SOP知道，登錄服務(wù)器，進(jìn)行修復(fù)查殺等工作，避免了公司的進(jìn)一步損失。實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營安全運(yùn)營是什么安全運(yùn)營解決什么 安全運(yùn)營體系設(shè)計(jì) 安全運(yùn)營的落地實(shí)踐實(shí)戰(zhàn)效果檢驗(yàn)下的安全運(yùn)營未來展望目錄未來展望目前安全運(yùn)營的理念還沒有統(tǒng)一：就像讀者讀哈姆雷特，不同的人對安全運(yùn)營有不同的理解和認(rèn)識，更沒有統(tǒng)一的標(biāo)準(zhǔn)，這是問題也是機(jī)遇。問題是沒有統(tǒng)一