随着数据中心规模扩大,安全运维内生需要逐渐向安全运营进化,统一安全理念,提高服务意识,提升专业能力。安全运营是对安全运维的继承式发展,而不是颠覆,意味着以业务发展为基础,以事件核查为线索,以能力提升为关键,以持续优化为根本,跟进业务发展并提供细化分工的安全服务并持续提升。类同企业跟随外界环境进行变革,安全赋能业务也要随着信息化的发展和机构战略方向的转变持续优化。
安全运营不是一蹴而就的,九层之台,起于垒土,随着能力的不断提升,业务的扩展,不同的安全从运维向运营转变。运营进化路径可参考Robert M. Lee的安全滑动象限(The Sliding Scale of Cyber Security)模型。类似于信息安全CMMI能力成熟度模型,其将企业安全能力分五个阶段,分别是架构建设、被动防御、主动防御、智能分析和反击威慑。
第一阶段是基础架构阶段,解决的是从无到有的问题。
第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。
第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。第四阶段为智能学习,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。第五阶段指利用技术和策略对对手进行反制威慑。
对于安全运营来说,在不同阶段投入的精力不一样。在架构、被动阶段,以补全安全能力为主,属于安全运维的概念。从第三层主动防御开始,随着安全能力提升,需要开始整体规划、逐步开展自研,进入安全运营概念,用研究、建设,运维提升的思路开展。第四层引入机器学习,智能化及态势感知等技术,第五层则实现对外震慑及能力输出。
安全运营分为安全研究(孵化)(Plan)、安全建设(Do)、安全服务(Check)、安全优化(Action)四个阶段。
能力提升是循序渐进的过程,基础架构和下层建筑是性价比高的行为。而基础层不做好,上层的智能分析和情报引入会造成资源浪费在误报和低级事件上。信息安全也要基于RIO视角权衡投入产出比,统筹考虑需要考虑人员的的投入与成本之间的估算。在创始阶段,需要花更多的精力在安全运维上,补短板,就像力学结构中打地基一样,地基稳,楼才高。确实人不够,防控跟不上,要同高层达成对风险的可接受或采购信息安全保险。而随着数据中心规模发展,安全运营则必须跟上,否则无法跟上对业务对安全的需要,造成对业务的禁锢。
信息安全的初心是保证正常履职,其使命是安全保障业务。安全运营的价值所在不是铁板一块的绝对安全,是基于业务反馈和防控效果进行改进,是对业务持续创新的保障和增值。