本文來自微信公眾號“安全牛”。
現(xiàn)代企業(yè)網(wǎng)絡(luò)安全運營的核心并不是部署防火墻和殺毒軟件等安全工具,而是要真正理解安全防御的機制、人員分工和協(xié)作流程。正如Google Maps(谷歌地圖)徹底改變了駕車出行時的導航模式一樣,通過流程映射繪制一張指導網(wǎng)絡(luò)安全運營的“電子地圖”,可以徹底改變組織理解和管理網(wǎng)絡(luò)安全運營工作的方式。
什么是網(wǎng)絡(luò)安全運營“谷歌地圖”?
我們過去常常依靠紙質(zhì)地圖來進行導航,這種行為既危險又不方便。出于便捷和安全考慮,Garmin和TomTom等公司花費巨資研發(fā)“逐向”(turn-by-turn)導航GPS系統(tǒng)。而當“谷歌地圖”問世后,紙質(zhì)地圖的時代被徹底終結(jié),逐向?qū)Ш侥J阶兊貌豢苫蛉薄?/p>
除了更加便捷和智能,“谷歌地圖”還演變出了很多新的用例,人們可以像使用搜索引擎一樣使用地圖,獲取目標單位的評級、營業(yè)時間、服務(wù)類型或商品數(shù)量等。
而在網(wǎng)絡(luò)安全的場景中,多數(shù)組織目前仍在使用“紙質(zhì)地圖”來指導網(wǎng)絡(luò)安全運營工作,例如:以手動方式更新的任務(wù)表格;以人工方式解析日志文件;依靠安全專家的人工分析實現(xiàn)事件串聯(lián);通過集中式的會議部署安全事件響應(yīng)流程。這正是網(wǎng)絡(luò)安全運營工作既痛苦又耗時的根本原因所在,同時也是當今網(wǎng)絡(luò)安全防護效率低下和偏差的重要原因。
從本質(zhì)上說,組織的網(wǎng)絡(luò)安全能力建設(shè)是一個持續(xù)的運營過程,而不是大量產(chǎn)品的堆疊。而無數(shù)的實踐表明,人類在處理視覺信息時會比處理其他格式的信息更高效。對于網(wǎng)絡(luò)運營領(lǐng)域的“谷歌地圖”,運營人員會有一種與生俱來的“導航”(mapping)感。
在線地圖工具是歷史上最受歡迎的應(yīng)用之一,這是有原因的。通過將這些經(jīng)驗應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,我們可以利用地圖的力量來提高網(wǎng)絡(luò)安全團隊的效率,并最終清晰地獲得一幅可以讓我們不斷學習和改進的安全運營“行動指南”。
網(wǎng)絡(luò)安全“谷歌地圖”構(gòu)建指南
那么,如何才能將網(wǎng)絡(luò)安全運營工作從“紙質(zhì)化”和碎片化的低效模式,轉(zhuǎn)變?yōu)橐粋€可提供類似于“谷歌地圖”的“逐向”可見性和智能規(guī)劃模式呢?答案就是采用流程映射思維并構(gòu)建安全旅程的實時可視化表示,即建立一個智能化安全工作流的“谷歌地圖”。而組織可以參考以下步驟,繪制適合自己的網(wǎng)絡(luò)安全“谷歌地圖”。
步驟1
定義關(guān)鍵路徑
企業(yè)并不需要映射組織中所有的數(shù)字化活動內(nèi)容,只需跟蹤和關(guān)鍵安全流程或工作流相關(guān)的重要元素和工具即可,其中包括:
?確定關(guān)鍵流程:從最重要的安全工作流開始。這可能包括事件響應(yīng)、漏洞管理、威脅獵殺、重要數(shù)據(jù)保護或合規(guī)性審計等。
?繪制地形:將每個流程分解為單獨的步驟,并準確了解誰牽涉其中?采取了什么行動?使用了什么工具?確保對每個流程的分解要細致入微。
步驟2
設(shè)計安全地圖
“谷歌地圖”的奇妙之處在于通過強大的視覺體驗就能夠直觀地展示并簡化目標路徑。對于安全運營工作而言同樣是這樣,組織需要遵循如下原則:
?選擇合適的繪圖工具:有許多選項可供選擇,從具有動態(tài)節(jié)點的簡單流程圖軟件到專門的網(wǎng)絡(luò)安全流程繪圖平臺。理想的工具將允許安全運營者創(chuàng)建動態(tài)的、交互式的流程圖,可以實時更新,并根據(jù)任何關(guān)鍵屬性(角色、條件、位置、流程類型)對其進行過濾。
?與重要安全工具集成:要將地圖鏈接到SIEM、訪問控制、端點管理、電子郵件和安全編排等工具。這才能使這份“地圖”實時反映當前的安全運營操作狀態(tài),并以可視化的方式展現(xiàn)誰做了什么,以及是在什么時候發(fā)生的。工具集成的同時,還應(yīng)該在可視化流中提供交互的時間軸,以便運營者可以輕松快速地瀏覽感興趣的流程。
?構(gòu)建地圖:這份地圖必須提供完整的活動鏈以及對嵌套操作和反應(yīng)的可見性,以正確捕捉網(wǎng)絡(luò)安全團隊導航其工作的方式。因此,需要將每個過程的步驟連接成一個可視化的流程,使用顏色編碼來突出不同的團隊、狀態(tài)或潛在的瓶頸,還可通過添加注釋和標記來提供上下文。
步驟3
通過映射校準安全流程
當已經(jīng)建立關(guān)鍵安全流程的地圖和可視化任務(wù)后,組織可以部署一個功能強大的安全商業(yè)智能(BI)工具,以實現(xiàn)可視化地檢查和分析不同的流程如何導致不同的結(jié)果。這是安全性能調(diào)節(jié)中很關(guān)鍵的部分——優(yōu)化人的因素,要真正了解運營人員你實際在做什么,而不是儀表板顯示他們在做什么。為此,組織可以遵循如下方法:
?按類型分析流量模式:映射特定類型的事件如何流經(jīng)流程以及如何執(zhí)行不同的任務(wù)。哪里有延誤?有沒有什么不在設(shè)計中的實現(xiàn)路徑?運營人員是否會跳過規(guī)定步驟或不遵守規(guī)定?他們是否在自作主張地“優(yōu)化”流程?
?調(diào)查特定事件:使用當前的電子地圖調(diào)查特定事件或操作,從響應(yīng)妥協(xié)指標(IoC)到修復(fù)高危零日漏洞??纯淳烤拱l(fā)生了什么?或者錯過了什么?
?識別流程風險并優(yōu)化劇本:更新您的流程以簡化工作流,消除不必要的步驟,并自動執(zhí)行重復(fù)的任務(wù)。
步驟4
根據(jù)安全環(huán)境演變持續(xù)不斷優(yōu)化
對于改善網(wǎng)絡(luò)安全運營成效,“谷歌地圖”是一個了不起的產(chǎn)品。但是就像在使用“谷歌地圖”時,我們也不可避免地會遇到過錯誤。類似地,組織的安全運營流程地圖也需要不斷更新,才能跟上組織、工具和流程中的變化。組織的安全環(huán)境在不斷變化,因此需要定期檢查和更新網(wǎng)絡(luò)安全地圖,以映射新的威脅、工具或流程。