introducción
En el complejo y severo entorno de seguridad de la red actual, las principales empresas nacionales han comenzado a formar sus propios equipos de seguridad de la red, fortalecer sus propias capacidades de seguridad y avanzar hacia la integración de las operaciones de seguridad de la red. Sin embargo, las operaciones de seguridad empresarial también han cambiado gradualmente de pasivas a activas y se han convertido en un proceso dinámico que combina personas, administración y tecnología para cubrir completamente el monitoreo, la alerta temprana, la protección, la detección, la respuesta y la eliminación de la seguridad de la red. Para realizar plenamente este proceso, las empresas deben combinar un sistema de gestión, un sistema tecnológico y un sistema de personal, y llevar a cabo la construcción de un sistema operativo de seguridad empresarial "haciendo hincapié en la gestión y la tecnología, la prevención y la protección al mismo tiempo". En los últimos años, muchos estudios sobre el sistema de operación de seguridad se han centrado en la plataforma tecnológica para la protección del personal de seguridad, lo que traerá limitaciones a la automatización y la inteligencia de la gestión de la operación de seguridad una vez finalizada la construcción del sistema. Este artículo comienza con el concepto de "operación segura" basado en la confiabilidad, escenarios completos y combate real, y combina la situación real de la empresa y las mejores prácticas de operación segura en la industria para proponer el marco general del sistema de operación segura. y detalla las características de las capacidades de operación segura. Los procesos estandarizados y las garantías de soporte brindan orientación para lograr la integración de las operaciones de seguridad de la red empresarial.
1 Marco general del sistema de operación de seguridad.
Realizar la construcción del sistema operativo de seguridad empresarial desde tres dimensiones: tecnología, gestión y personal. Utilizando big data, inteligencia artificial, SOAR y otras tecnologías, y mediante la colaboración de expertos en la nube y en tierra, proporcionamos "ocho tipos de capacidades de seguridad" que son continuas, prácticas y automatizadas para todo clima. Partiendo de múltiples perspectivas, como la normalidad, la situación general, la supervisión y el cumplimiento, construimos un centro de operaciones de seguridad a través de un enfoque "de adentro hacia afuera" para brindar a las empresas "ocho soportes de seguridad".
2 Objetivos de operación y construcción seguras
Las empresas deben partir de su propia situación actual y diseñar un plan integrado de construcción de operaciones de seguridad empresarial para lograr los siguientes objetivos:
-
Hacer que las operaciones de seguridad empresarial cumplan con los requisitos de protección de las leyes y regulaciones nacionales e industriales pertinentes y, al mismo tiempo, lograr los objetivos comerciales de monitoreo de seguridad de "percepción dinámica, monitoreo inteligente, respuesta proactiva y visibilidad panorámica" para garantizar que los incidentes de seguridad de la red sean visibles. Preciso y mira profundamente.
-
Puede gestionar y controlar continuamente los riesgos de seguridad de la red que enfrenta cada módulo comercial de la empresa y reducir los riesgos de seguridad. Construir un sistema operativo de seguridad con "tecnología avanzada, seguridad y confiabilidad, y servicios completos" para garantizar mejor el funcionamiento seguro, estable y confiable de redes, comunicaciones y sistemas de información.
-
Es necesario cubrir toda la cadena de "garantía de operación básica, gestión de seguridad de activos, detección y control de riesgos de amenazas, detección y control de vulnerabilidades, informes y procesamiento de riesgos de seguridad, verificación y medición de riesgos de seguridad, inspección de seguridad y prevención de riesgos" de la empresa para formar una gestión de todo el ciclo de vida de las operaciones de seguridad empresarial. El circuito cerrado permite a las empresas poseer plenamente las capacidades de soporte operativo de "advertencia de amenazas, confrontación colaborativa, manejabilidad y controlabilidad, y defensa inteligente".
3 Capacidades y características de las operaciones seguras
Las operaciones de seguridad empresarial deben tener las siguientes cuatro capacidades clave:
3.1 Capacidades de inteligencia de amenazas locales y en la nube
Debería poder rastrear eventos de puntos de acceso en el ciberespacio de manera oportuna y realizar calificaciones de reputación de amenazas, recuperar eventos de seguridad como vulnerabilidades de puntos de acceso en cualquier momento y comprender el análisis de tendencias de seguridad a nivel de expertos, especialmente la correlación en profundidad y el análisis multivariado. Es necesario poder rastrear el origen de los incidentes de seguridad, identificar al culpable del incidente y finalmente mostrarlo a través de una plataforma de visualización.
3.2 Capacidad para percibir la situación de seguridad de la red.
Debería poder realizar una visualización general de la seguridad del sistema empresarial, el conocimiento de la situación, la trazabilidad de los eventos de ataque y las funciones de alerta temprana de amenazas potenciales. Puede sentir el presente y captar la situación de seguridad actual; puede investigar el pasado y restaurar procesos de ataque históricos; puede predecir el futuro y proporcionar alertas tempranas sobre amenazas futuras.
3.3 Capacidades de análisis y monitoreo de amenazas en todo clima
Cuando ocurre un incidente de seguridad, debe poder detectar amenazas de seguridad a tiempo a través del monitoreo o auditoría de eventos, y proporcionar sugerencias operativas la primera vez para reducir las pérdidas y los impactos; después de que ocurra un incidente de seguridad, debe poder rastrear el origen del incidente. ataque, confirmar la causa raíz del incidente de seguridad y tomar medidas. Eliminar los riesgos de seguridad y evitar la recurrencia de incidentes.
3.4 Capacidades integrales de operación de seguridad colaborativa
Debería poder lograr una integración efectiva de personas, nube, tierra y máquinas a través de operaciones de seguridad del sistema y protección de seguridad básica. El equipo de seguridad en la nube debe tener capacidades de defensa activa, conciencia de amenazas, análisis de vulnerabilidades, advertencia de riesgos, intercambio de inteligencia y transmisión de información, y realizar operaciones de seguridad colaborativas integrales con el equipo de seguridad local de la empresa.
4 Proceso estandarizado para operaciones seguras
4.1 Planificación de operaciones de seguridad
Como dice el refrán: "Todo se hace con antelación, de lo contrario se arruinará". Sólo con operaciones planificadas y seguras podemos estar ocupados sin caos y obtener el doble de resultado con la mitad de esfuerzo. La planificación de operaciones de seguridad requiere pensamiento lógico y una combinación de realidad y realidad, y recuerde acumular. Los objetivos y direcciones generales de las operaciones de seguridad pueden ser pragmáticos, la visión debe ser a largo plazo y las metas deben ser altas, pero las medidas y acciones específicas deben ser pragmáticas, realistas y desglosadas en planes de acción. uno por uno para asegurar la efectividad del plan final y garantizar la seguridad de la empresa Idoneidad operativa. La idea general de la planificación de operaciones de seguridad se puede dividir en cinco etapas: análisis de la demanda, investigación del status quo, evaluación de la madurez de la seguridad, análisis de riesgos y descripción del plan:
Etapa de análisis de la demanda: de acuerdo con los requisitos de diferentes industrias y estándares regulatorios, se lleva a cabo una comunicación suficiente en la etapa inicial de la encuesta y se clasifica el formulario de la encuesta de demanda.
Etapa de investigación de la situación actual: realizar investigaciones y análisis sobre el estado actual de las operaciones de seguridad empresarial, clasificar los riesgos de seguridad existentes y las estrategias de control de seguridad, etc.
Evaluación de la madurez de la seguridad: combinando el estado actual de la industria y las mejores prácticas, se realiza un análisis comparativo para evaluar el nivel de madurez de la seguridad de la red de la empresa.
Análisis de riesgos: resuma los puntos de riesgo existentes de la empresa, priorice los puntos de riesgo alto y medio y proponga un plan general de optimización de la seguridad.
Descripción del plan: Prospectar el desarrollo futuro y los requisitos de la empresa, y describir un plan general de planificación de operaciones de seguridad que se ajuste a las convocatorias nacionales, los requisitos de la industria y el desarrollo futuro.
4.2 Diseño de plan de operación segura
El sistema de operación de seguridad incluye tres elementos básicos: personas, tecnología y proceso. Las "personas" son el núcleo, la "tecnología" es la infraestructura y el soporte, y el "proceso" es la orientación. Los tres elementos básicos se complementan, influyen y restringen. entre sí, y determinar conjuntamente la seguridad La eficacia del sistema operativo. El elemento básico "personas" enfatiza la organización del personal, resalta el importante papel de las personas en cualquier sistema, establece responsabilidades del personal y formula estrategias de seguridad, especificaciones de seguridad y funciones de seguridad. La "tecnología" cubre todo el ciclo de vida de la construcción del sistema operativo de seguridad: desde una perspectiva empresarial, clasifica los activos corporativos, clasifica los flujos comerciales clave, determina los vínculos clave en el control de riesgos y, en última instancia, implementa funciones de seguridad específicas. El "proceso" es el puente entre las "personas" y la "tecnología". A cada proceso se le asignan objetivos, alcances y responsabilidades específicos, lo que puede proporcionar una garantía favorable para la posterior gestión segura de las operaciones. Los planes operativos de seguridad empresarial deben diseñarse en torno a los tres elementos básicos: personas, tecnología y procesos.
4.3 Gestión de operaciones de seguridad
Establecer un sistema de gestión de seguridad basado en diversos contenidos de gestión en las actividades de gestión de seguridad y, finalmente, implementarlo en los procedimientos diarios de gestión y operación para formar un sistema de operación de seguridad de red integral compuesto por políticas de seguridad, sistemas de gestión y procedimientos operativos, a fin de guiar y estandarizar eficazmente la operación y gestión de seguridad de la red de los departamentos en todos los niveles dentro de la empresa. Las empresas no solo deben formular regulaciones estrictas para el sistema de gestión y procedimientos, métodos y alcance de liberación, sino también revisar y revisar periódicamente el sistema de gestión de operaciones de seguridad.
5 indicadores operativos para operaciones seguras
5.1 Indicadores básicos de seguridad
Combinando evaluaciones de seguridad empresarial, indicadores de evaluación y requisitos legales y reglamentarios, como la Ley de ciberseguridad, la Ley de seguridad de datos y Class Assurance 2.0, se formulan especificaciones básicas para sistemas, redes, equipos de seguridad y gestión de seguridad empresariales. Con la ayuda de las herramientas de automatización de la línea base de seguridad, se pueden lograr requisitos de configuración de seguridad específicos en el entorno empresarial y se puede lograr una gestión de bucle cerrado: evaluación inicial -> refuerzo -> reevaluación -> nuevo refuerzo -> revisión para mejorar y mejorar el flujo de trabajo de revisión.
5.2 Indicadores de gestión de vulnerabilidad
Es necesario hacer un uso completo de la información de inteligencia de vulnerabilidades, la inteligencia desencadena la operación de los procesos de gestión de vulnerabilidades, la inteligencia participa en el análisis del nivel de respuesta de reparación de vulnerabilidades y establece un mecanismo de respuesta rápida. Capacidad para completar análisis de seguridad, actualizaciones de la biblioteca de vulnerabilidades de dispositivos, solución de problemas de vulnerabilidades y reparaciones de parches a tiempo y según sea necesario para garantizar una tasa de reparación de vulnerabilidades del 100 %. Una vez que se revela la vulnerabilidad, debería poder completar la rectificación dentro del tiempo especificado y enviar comentarios al departamento de gestión de información empresarial. Por ejemplo, las vulnerabilidades de alto riesgo deben completarse dentro de los 3 días hábiles y las vulnerabilidades de riesgo medio deben completarse dentro de los 3 días hábiles. dentro de 7 días hábiles, y las vulnerabilidades de bajo riesgo deben completarse dentro de un mes, formando una gestión de vulnerabilidades de circuito cerrado.
5.3 Deber de seguridad diario
Realizar inspecciones periódicas y emitir informes sobre el estado operativo de todos los sistemas en línea, redes y equipos de seguridad de la empresa. Combinado con avisos del departamento de gestión de información corporativa, avisos de la industria, avisos de seguridad de proveedores de seguridad, etc., coopere con los departamentos comerciales para llevar a cabo diversos trabajos de refuerzo de seguridad lo antes posible para minimizar el impacto de vulnerabilidades, virus y troyanos, y garantizar la continuidad. y seguridad de los negocios clave de la compañía Operación estable.
5.4 Monitoreo y gestión de equipos
Desarrollar planes de inspección diarios, prestar atención a la información del registro de operación de equipos importantes a través del centro de gestión de operaciones de seguridad, analizar las condiciones de operación del equipo y manejar rápidamente las alarmas de eventos de seguridad de varios equipos de seguridad y sistemas comerciales importantes; cooperar con los departamentos comerciales para completar la rectificación. y revisión de diversos elementos de riesgo, proporcione proactivamente sugerencias de rectificación para problemas técnicos comunes, como administración de parches, administración de registros, administración de políticas, etc.
5.5 Gestión de seguridad de equipos
Ordene periódicamente el libro de contabilidad de equipos de seguridad corporativos y aclare las responsabilidades de gestión en todos los niveles. Siga estrictamente los requisitos del sistema de gestión de operaciones de seguridad, actualice el sistema de gestión de equipos de seguridad al menos una vez al año, divida claramente las responsabilidades de gestión de activos y actualice simultáneamente las etiquetas de la persona responsable del equipo para que quien esté a cargo sea responsable.
5.6 Detección de riesgos de seguridad
Debería poder identificar posibles amenazas a la seguridad en el sistema operativo de la empresa, utilizar la detección de vulnerabilidades, la detección de amenazas, el monitoreo de eventos sospechosos y otros métodos para realizar la detección de riesgos de seguridad de posibles amenazas, y realizar análisis de amenazas sobre esta base (incluido el análisis de amenazas a la seguridad, seguridad Análisis de peligros ocultos, análisis del estado de seguridad de sistemas de información importantes, etc.) para formar un informe de análisis de amenazas. Los sistemas de aplicaciones comerciales recientemente lanzados por la compañía deberían poder realizar pruebas de seguridad, incluida la detección de vulnerabilidades del host, verificación de la línea base de seguridad, etc., generar informes de pruebas de seguridad en línea del sistema y ayudar a los líderes empresariales a realizar rectificaciones.
5.7 Control de riesgos de seguridad
Debería poder realizar periódicamente escaneos de vulnerabilidades, detección de seguridad y evaluación de seguridad de acuerdo con los requisitos comerciales de la empresa. Proporcione sugerencias de actualización necesarias y sugerencias de optimización de configuración basadas en la situación real de la empresa, así como planes de optimización para sugerencias de refuerzo relacionadas. Combinado con la importancia de los módulos comerciales empresariales, la protección de activos y otros factores para realizar una evaluación integral, brinde rápidamente recomendaciones prioritarias para la reparación de vulnerabilidades para minimizar los riesgos de seguridad.
6 Respaldo y garantía para operaciones seguras
Para garantizar el funcionamiento estable a largo plazo del sistema empresarial y la seguridad de los datos empresariales, se debe mejorar el mecanismo de garantía de seguridad para operaciones seguras y gestión de personal para mejorar continuamente la gestión de seguridad de la información. Esto incluye formular la política y estrategia de seguridad general para el trabajo de seguridad de la información y aclarar los objetivos generales, el alcance, los principios y el marco de seguridad del trabajo de gestión de la seguridad. Establecer un sistema de gestión de seguridad basado en diversos contenidos de gestión en las actividades de gestión de seguridad y establecer procedimientos para las operaciones de gestión diaria realizadas por los operadores. Formar un sistema integral de gestión de seguridad que consta de políticas de seguridad, sistemas de gestión, procedimientos operativos, etc. para guiar y estandarizar la gestión de seguridad de la información dentro de la empresa. El sistema de gestión de la seguridad debe estar de acuerdo con estrictas regulaciones del sistema de gestión y procedimientos, métodos y alcance de liberación, y debe revisarse y revisarse periódicamente.
6.1 Garantía del sistema de procesos
Establecer un conjunto de procesos de seguridad, planes de trabajo de formulación, operación y mantenimiento y estándares de inspección aplicables a todos los niveles del entorno empresarial, a fin de estandarizar y agilizar las operaciones de seguridad de la red en el entorno objetivo y garantizar el funcionamiento seguro de cada sistema empresarial en de manera estable y a largo plazo. La implementación de la garantía del proceso de seguridad debe tener un modelo relativamente fijo, es decir, "las personas continúan operando bajo la guía de políticas de seguridad con la ayuda de ciertos medios técnicos de seguridad". Si los medios de gestión de la seguridad no pueden expresarse claramente, será difícil que los medios técnicos de seguridad se utilicen eficazmente. Por lo tanto, las ideas y métodos de gestión de la seguridad primero deben aclararse en forma de un documento de política y luego los procesos de seguridad deben formularse adecuadamente en función de la política. La gestión de la seguridad debe adherirse a los principios de responsabilidades claras, división del trabajo y gestión unificada, y coordinar el trabajo de gestión de la seguridad en diferentes niveles y diferentes alcances de gestión bajo un mecanismo de gestión de comando centralizado. Específicamente, debe incluir, entre otros, la gestión estratégica, las organizaciones y el personal de gestión, la operación del sistema, la construcción del sistema, etc.
6.2 Soporte de capacidad de plataforma técnica
La garantía de capacidad de la plataforma de operaciones de seguridad incluye principalmente dos tipos: uno es mejorar en gran medida la cobertura de la gestión de vulnerabilidades, la gestión de amenazas y la gestión de eventos, y el otro es mejorar las capacidades técnicas de la eficiencia de las operaciones de seguridad. La primera categoría se refiere principalmente a la vinculación de equipos de seguridad, que realiza la automatización del monitoreo de vulnerabilidades, amenazas y eventos a través de equipos y mejora la cobertura del monitoreo efectivo. La última categoría se refiere a las plataformas de gestión de operaciones de seguridad, que principalmente implementan capacidades de gestión automatizada de vulnerabilidades, amenazas y eventos.
6.3 Apoyo a la capacidad del personal
Las capacidades del personal son el elemento central de un sistema operativo seguro, y un sistema operativo eficiente es inseparable de un equipo de servicio operativo de alta calidad. La empresa debe contar con un entorno de trabajo completo, la dotación de personal necesaria y una estructura organizativa razonable. Es necesario cultivar un escalón de talento operativo integral que domine el conocimiento empresarial y sea capaz de resolver problemas complejos, y mejorar la gestión organizacional, la respuesta a emergencias y la comunicación. y coordinación del personal operativo Capacidades de vinculación, esfuerzos para construir un equipo de soporte de operaciones cuasi militar profesional, estandarizado para proteger las operaciones de seguridad de la red corporativa.
7. Conclusión
Este documento presenta el marco general del sistema operativo de seguridad empresarial y detalla los objetivos de construcción, las cuatro características y los procesos estandarizados del sistema operativo de seguridad. También resume los indicadores operativos y las garantías de respaldo detrás del sistema operativo de seguridad, ayudando a las empresas a superar de manera efectiva las limitaciones de la inteligencia y la automatización de la gestión de operaciones de seguridad después de la construcción, y brindando orientación para que las empresas realmente construyan un sistema operativo de seguridad inteligente e integrado.
El sistema de operación de seguridad es la base para la construcción de seguridad de la red empresarial. Apoya y orienta las necesidades y la dirección de la construcción de seguridad empresarial en el futuro. La forma de mejorarlo continuamente, brindar a la empresa mayores capacidades de seguridad y crear más valor para la empresa ser la clave para el desarrollo sostenible de las operaciones de seguridad de la red Pensando y optimizando propuestas.