本文我們將從以下幾個方面來為您介紹?如何在30個工作日內(nèi)，基于SOAR去實(shí)現(xiàn)數(shù)字化網(wǎng)絡(luò)安全。

1. 方向評估

2. 調(diào)研分析

3. 咨詢設(shè)計

4. 實(shí)施運(yùn)營

5. 總結(jié)優(yōu)化

方向評估

首先第一步我們要明確組織的安全運(yùn)營方法，在做安全工作的時候，就怕我們知道要做，但是沒有一個明確組織的安全運(yùn)營方法。安全工作需要遵循PDCA的基本思路，我們一些甲方企業(yè)，在進(jìn)行數(shù)字安全運(yùn)營的時候，不僅需要一定的安全知識，還需要一個有一定安全能力的合作伙伴，或是供應(yīng)商，或是自身的安全團(tuán)隊(duì)，同時需要一些安全類的產(chǎn)品。在具備了這些條件后，我們就需要做一些常態(tài)化的演練，來檢測我們的安全團(tuán)隊(duì)能否及時響應(yīng)。

調(diào)研分析

接下來到第二步，我們需要評估我們現(xiàn)有的安全資源和需求，在做我們前期的評估的時候，我們需要輸出一些服務(wù)調(diào)查咨詢，需要輸出一些當(dāng)前的安全運(yùn)營流程的一個梳理，我們很多時候遇到的安全事件，其實(shí)處置起來都是為了應(yīng)急反應(yīng)。那在出現(xiàn)一個安全事件或者安全告警之后，我們企業(yè)自身的是否有一個標(biāo)準(zhǔn)的安全運(yùn)營流程呢？這是很重要的，在我們碰到的很多客戶里面，并沒有發(fā)現(xiàn)一個很成熟的標(biāo)準(zhǔn)或者體系，所以企業(yè)在前期應(yīng)該找一家專業(yè)的安全咨詢公司，進(jìn)行一個前期的專業(yè)安全咨詢服務(wù)。

這就是我們輸出的一個前期的資產(chǎn)梳理到最后的攻防演練的全流程的一個安全成熟度評估的調(diào)研表。

咨詢設(shè)計

接下來第三步就是實(shí)施之前的準(zhǔn)備，設(shè)計針對性的運(yùn)營方案。就是你的資產(chǎn)我了解，但是我又希望你能夠通過自動化的手段提升你的效率，或者更好的處置你當(dāng)前的安全事件。

我們碰到過許多實(shí)際場景或者說實(shí)際的甲方客戶企業(yè)，他們自身會存在一個困惑，就是我現(xiàn)在手上有那么多的安全產(chǎn)品，很多時候都是基于單點(diǎn)的產(chǎn)品來購買，是否有一個產(chǎn)品能將這些的產(chǎn)品聯(lián)動起來形成一個，類似于大腦中樞連接神經(jīng)的這樣一個概念。如果有一個產(chǎn)品能夠扮演這樣的角色，那我們就不需要去一個個單點(diǎn)的登陸，對單個安全產(chǎn)品高頻次的訪問了。我只需要登陸一套產(chǎn)品，就可以去聯(lián)動到我購買的多個安全產(chǎn)品當(dāng)中去。所以在咨詢設(shè)計的過程中，我們強(qiáng)調(diào)說，我們需要給他做一些針對他自身業(yè)務(wù)特點(diǎn)的一些安全運(yùn)營方案。

我們之前也碰到過一些像國字頭的大運(yùn)營商的這種客戶，我們在從POC測試開始，再到實(shí)施過程中，發(fā)現(xiàn)他們其實(shí)自己也會困惑于說“他也不知道怎么樣給他設(shè)計這個安全運(yùn)營方案是比較合理的”，他自身有去做了一些設(shè)計，去匯報給他的領(lǐng)導(dǎo)，去找一些他自己的內(nèi)部的安全運(yùn)營流程的實(shí)踐，發(fā)現(xiàn)出現(xiàn)了很多問題。

比如說他之前買了某某廠家的SIEM，可他每天處理安全報警都處理不過來，他自己也無法很好的分辨中間的安全事件中，哪些是真正的安全威脅，哪些是誤報，哪些是偽數(shù)據(jù)。他上了一些網(wǎng)絡(luò)安全邊界的終端防護(hù)的一些設(shè)備，依然是由于他的基線配置不正確或者說他的一個節(jié)點(diǎn)覆蓋面過廣，他的人員支撐不過來，造成一些單節(jié)點(diǎn)的遺漏，沒有做到立體化的防護(hù)。那它整體的安全邊界設(shè)備，中間都是孤立的一個單節(jié)點(diǎn)的安全設(shè)備的加固，并沒有形成一套整體的安全運(yùn)營方案和體系，所以說我們強(qiáng)調(diào)在前期，我們將咨詢設(shè)計做重做細(xì)做靈活，為我們后面實(shí)施SOAR這個產(chǎn)品，將它的安全中樞神經(jīng)大腦的串聯(lián)做好鋪墊。

這是一個我們最常見的梳理的一個基本拓庫，從我們底層的開始，做一些區(qū)域上面的劃分，從T1、T2到T3是我們傳統(tǒng)的一個網(wǎng)絡(luò)層面的概念。從非信任到信任區(qū)域，包括大家很多企業(yè)里面會設(shè)置專門的DMZ區(qū)。我們一直會強(qiáng)調(diào)在做咨詢設(shè)計的時候，這個拓庫一定要出來，這個拓庫決定了你后面不管是實(shí)施時的一些網(wǎng)絡(luò)邊界上的策略下發(fā)，還是最后這個數(shù)據(jù)通路上面的問題，都能夠給我們帶來很大的幫助。

實(shí)施運(yùn)營

后面就是我們的一個實(shí)施運(yùn)營的環(huán)節(jié)了，那有了科學(xué)的設(shè)計之后，我們在具體實(shí)施這些安全運(yùn)營活動，就會顯得游刃有余。

比如說我們傳統(tǒng)的殺傷鏈的一個BAS評估輔助，用了自動化攻擊機(jī)器人、自動化滲透機(jī)器人來去驗(yàn)證，我們當(dāng)前有效的殺傷鏈，能否打穿我當(dāng)前的安全防御體系。

我們通過這個系統(tǒng)，就可以天天給自己的安全運(yùn)營體系做體檢，可以天天對我們的安全運(yùn)營的水平做評估。我當(dāng)前的安全設(shè)備到底有哪些問題？我可以每天每周每兩周的去做測試，可以形成我們企業(yè)自己的一個特色的有效的頻率，去檢測當(dāng)前的一個健康程度。

那再比如說這個Usercase，這些都是基于SOAR的這樣一個平臺，有一個很好的協(xié)同作戰(zhàn)室，去響應(yīng)我們的一個人員事件任務(wù)的分工，讓大家在遇到事件的時候能夠做到應(yīng)急響應(yīng)。

總結(jié)優(yōu)化

最后就是一個總結(jié)優(yōu)化，這邊說到的就是安全經(jīng)驗(yàn)數(shù)字化能力即安全運(yùn)營。

我們很多時候站在甲方視角去說，我作為一個防御者，我處理過哪些安全事件，處理過哪些告警。我們稱之為甲方的安全運(yùn)營團(tuán)隊(duì)，這就是我們的一個安全運(yùn)營了。

但實(shí)際很多時候我們發(fā)現(xiàn)，在安全的這個領(lǐng)域里面，大家做的很多安全事情，還是一些很應(yīng)急的事情。那怎么將這些經(jīng)驗(yàn)數(shù)字化沉淀下來，那最直接的就是將能夠自動化的東西，盡量自動化。這是最直觀的，表現(xiàn)出將我們的IT手段運(yùn)用到我們的實(shí)際生產(chǎn)當(dāng)中。

我們的安全經(jīng)驗(yàn)不應(yīng)該是割裂的，如何在一個協(xié)同框架內(nèi)，將不同安全人員，甚至是外聘的安全廠商的經(jīng)驗(yàn)，進(jìn)行傳承、留痕，讓我們的甲方企業(yè)也能夠獲取到，這就是我們的安全經(jīng)驗(yàn)數(shù)字化的一個意義所在。