安全運營就是從Event到Accident的過程

平安運營就是從Event到Accident的過程隨著信息化與平安成熟度的提高，通過實時大數(shù)據(jù)平安分析技術(shù),從海量數(shù)據(jù)中判定攻擊失陷，已經(jīng)是平安運營的核心關(guān)注點與必然趨勢。作為一個具有多年經(jīng)驗的信息平安與IT風險管理從業(yè)者，我之所以對態(tài)勢感知、大數(shù)據(jù)分析、平安管理平臺感興趣，一個很大的原因是曾經(jīng)那些平安管理的理念與方法，正在通過管理平臺與技術(shù)手段逐步得到了落地，從而使平安管理與技術(shù)的融合度越來越高。比方態(tài)勢感知中的指標、大數(shù)據(jù)分析中的場景，都可以與信息科技風險管理的關(guān)鍵風險指標KRI,以及信息平安管理中的有效性度量很好地結(jié)合起來。平安管理平臺、自動化編排與響應(yīng)也同樣需要與事件管理、應(yīng)急響應(yīng)融合貫通。所以今天把平安運營中幾個最基本的概念，從管理與平臺兩個方面穿插理解一下。如果從字面理解，Event、Incident、Accident三個詞都是"事件"的意思，但在安全管理標準、平安管理平臺定義中卻出現(xiàn)不同的詞，可見它們之間是存在著細微差異的。一、對Event的理解Event在有些平安標準里會被翻譯成“事態(tài)"，直白理解就是事情的狀態(tài)，從風險管理角度看，它只是一種狀態(tài)而已，還不涉及到潛在的損失，可能是一種風險的潛在因素，也可能不是。舉個例子來講，一個辦公室的門沒有關(guān)，這個"門沒關(guān)"就屬于Event,只是一種狀態(tài)，不去考慮為什么沒關(guān)，或者應(yīng)不應(yīng)該關(guān)，沒有產(chǎn)生風險，也沒有帶來損失。在平安管理平臺中，S正M中的E就是這個Event了，采集上來的告警也好，日志也好，其實都是一種客觀的狀態(tài)記錄，這些都是進行平安分析所需要的原料，通過分析引擎進行分析后產(chǎn)生全新的告警。二、對Incident的理解Incident在平安標準里通常被翻譯成"事件"，也就是事件與應(yīng)急管理中的"事件"。從風險管理角度看，它不再只是一種狀態(tài)，而是變成了一種風險，可能會帶來或者已經(jīng)帶來了損失。還是上面的例子，如果這個辦公室是存放著敏感資料的話，這個門按規(guī)定是需要默認關(guān)閉的，這個門沒有關(guān)就不再只是一種狀態(tài)，而是一種風險事件了，由于可能帶來損失，所以是需要處置的。在平安管理平臺中，將多個平安告警進行聚合，按時間順序或攻擊路徑排列，這個就是SecurityIncident,有些產(chǎn)品將其命名為"平安事件"。比方一次病毒的傳播，可能影響了多臺終端，由于攻擊目的地址不同，告警是無法合并的，但可以聚合成一個SecurityIncidento三、對Accident的理解Accident在平安標準里通常被翻譯成"事故"，它不再是一種潛在風險，而是確定已經(jīng)產(chǎn)生了損失。從風險管理角度看，Incident與Accident是包含與被包含關(guān)系，Accident是程度更加嚴重的Incident還是上面的例子，如果這個辦公室是存放著敏感資料的話，有一個小偷趁著門沒有關(guān)把資料偷走了，由于確實造成了損失的既成事實，所以這個就屬于Accident,是一次平安事故了。在平安管理平臺中，目前并沒有看到單獨的Accident概念,它被包含在SecurityIncident里面了，但在作為一個好的平安管理平臺，是需要通過豐富的上下文信息來幫助分析人員，能夠快速判斷是否造成了Accident另外，如果確定已經(jīng)發(fā)生Accident的話，是需要編制針對性的專題報告的，那么平安管理平臺是否可以提供足夠的信息，方便平安分析人員完成報告編制，甚至是能夠自動化導出事故報告，這也是安管平臺的一個挑戰(zhàn)。四、總結(jié)一下隨著信息化與平安成熟度的提高，通過實