安全運營體系的規(guī)劃建設與落地規(guī)劃

1、安全運營體系的規(guī)劃建設與落地規(guī)劃技術創(chuàng)新，變革未來安全運營是什么安全運營解決什么 安全運營體系設計 安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄安全運營是什么么？現(xiàn)在很多公司都有安全部，也有很多優(yōu)秀的安全工程師他們可以搞定防御很高的系統(tǒng)他們可以寫出很棒的掃描器But 我們的公司真的安全了嗎？當然沒有，我們依然有漏洞，依然被搞定 ，為什安全運營到底是什么？那就是不斷地發(fā)現(xiàn)問題、分析問題、解決問題、檢驗效果，持續(xù)跟蹤不停優(yōu)化迭代的過程。最終目的是持續(xù)保護企業(yè)安全安全運營是什么安全運營解決什么安全運營體系設計 安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄安全運營解決什么安全設備失

2、效（沒上架、BYPASS、默認PERMIT、.）檢測能力低下（缺少規(guī)則、漏誤報、部署失位、）安全能力缺失（不會干、干不完、量太大、）流程閉環(huán)缺失（漏洞發(fā)現(xiàn)沒修、端口開放沒關、）安全運營解決什么解決這些安全問題，建設好安全最后一公里，需要把安全設備用起來讓設備有效果提高威脅檢測能力讓異常被發(fā)現(xiàn)提高安全對抗能力讓異常能處置工作流閉環(huán)讓事項被完成安全運營解決什么總結下來就是不斷提高安全能力和內部服務質量，并保持在穩(wěn)定的區(qū)間：標準化（制定SOP，保證人員能力足夠解決發(fā)現(xiàn)的問題）流程化（制定運營流程，保證所有的問題被響應、被處理、被解決）工程化（把能力工具化，保證安全能力快速輸出給設備和員工）自動化（解

3、決海量的問題，結合工程師安全能力與機器快速處理能力）安全運營是什么安全運營解決什么安全運營體系設計安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄安全運營體系設計所以你需要的是一個完整的安全運營體系防護監(jiān)測：持續(xù)性動態(tài)監(jiān)測設備阻斷響應分析：對事件進行快速響應對告警或信息進行確認調查處置：對安全事件分析還原快速進行止損、善后復盤評估：復盤事件原因 提出完善修復方案完善加固：執(zhí)行修復方案增強防護和監(jiān)測能力安全運營體系設計組織架構設計1安全能力團隊：攻防滲透、樣本分析、威脅情報、漏洞研究等核心安全能力的支撐團隊；產品平臺團隊：讓機器智能復制工程師經驗，解放人力，解決安全中的“海量”難題； 算法

4、規(guī)則團隊：解決攻擊無法被檢測的“規(guī)則困境”，讓攻擊被感知；安全防護團隊：推動項目建設，實施防護措施，提高安全防御能力；安全運營團隊：狹義的運營，發(fā)現(xiàn)攻擊、解決事件、處置威脅，讓工作閉環(huán)；安全運營體系設計組織架構設計2組織分類人員能力定位目標一線運營基礎事件響應處置 溝通協(xié)調能力完成工作閉環(huán) 解決基礎問題承接對外溝通任務二線運營高級威脅發(fā)現(xiàn)與跟蹤響應應急響應具備一定的攻防能力滿足技術要求處置高級或嚴重威脅安全能力團隊樣本分析威脅情報（逆向、動態(tài)調試、大數(shù)據(jù)） WEB滲透、內網滲透（紅隊性質）安全研究能力提高安全能力檢驗安全運營效果算法規(guī)則團隊制定算法規(guī)則，提高檢測率、減少誤報構建攻擊或者異常檢測

5、規(guī)則安全防護團隊項目推進管理（產品部署、調整網絡架構、域）產品平臺團隊采購、自研、利用開源平臺搭建必要的系統(tǒng)、產品、工具安全運營體系設計安全分類功能定位產品安全總控日志、告警、事件等數(shù)據(jù)聚合管理中心數(shù)據(jù)分析中心SOC類產品服務器與終端安全終端管控、補丁修復、 病毒查殺、基線合規(guī)終端安全助手 HIDS終端行為管控高級威脅發(fā)現(xiàn)攻防規(guī)則制定數(shù)據(jù)來源EDR網絡安全全流量分析 流量攻擊匹配 IOC過濾阻斷全流量分析系統(tǒng)應用安全應用層安全加固日志收集、存儲與檢測NGSOC數(shù)據(jù)安全數(shù)據(jù)防泄漏、防篡改等DLP、云平臺監(jiān)控等APT對抗樣本沙箱殺傷鏈聚合歸并SandBox安全防護設計安全運營體系設計安全防護設計安

6、全運營體系設計安全運營驗證與度量度量維度度量指標檢測手段檢測意義基礎指標終端安全軟件安裝率 終端安全軟件正常率 安全設備覆蓋度規(guī)則數(shù)量數(shù)據(jù)統(tǒng)計基礎數(shù)據(jù)是進行安全運營地基，沒有這些也就沒有安全運營的可能性安全運營效果規(guī)則覆蓋度 平均響應時長 平均處置時長檢出率（漏報率）誤報率對抗成功率實戰(zhàn)結果 紅藍對抗?jié)B透測試（黑、白、灰）漏掃等檢驗運營效果、發(fā)現(xiàn)未檢出的漏洞， 未發(fā)現(xiàn)的威脅，提升高度可靠性價值維度滿意度對業(yè)務支撐能力走訪座談 調查問卷安全最終要服務于業(yè)務，為業(yè)務正常 開展保駕護航安全運營是什么安全運營解決什么 安全運營體系設計安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄安全運營的落地

7、實踐需要的基礎數(shù)據(jù)數(shù)據(jù)來源部門員工表行政或人力資源部門資產表IT部門與安全部門組織架構表行政或人力資源部門網絡拓撲網絡運維部門與安全部門系統(tǒng)信息研發(fā)管理中心組件信息研發(fā)管理中心編程語言信息研發(fā)管理中心框架信息研發(fā)管理中心終端軟件信息主機運維中心基礎數(shù)據(jù)平臺建設與數(shù)據(jù)積累運營需要足夠的基礎數(shù)據(jù)基礎數(shù)據(jù)需要一個合適的系統(tǒng)進行存儲查詢（S_CMDB）員工表和組織架構表一般相對容易資產表：IP、OS、PORT、SERVICES、API、MIDWARE、LANGUAGE、FRAME、SOFTWARE、資產與員工表的關聯(lián)以上這些都是我們進行運營的基礎支撐安全運營的落地實踐能力部門備注威脅情報安全能力中心

8、提供情報、IOC庫樣本分析安全能力中心virustotal進行樣本判別、逆向分析等攻防滲透安全部、安服、紅隊進行攻防對抗、實戰(zhàn)演練漏洞研究安全部、安全能力中心、漏洞庫挖掘0DAY、挖掘已知漏洞應用安全產品與內部系統(tǒng)安全團隊WEB、移動端進行安全保障安全能力支撐安全運營的落地實踐分析中心系統(tǒng)平臺搭建安全運營的落地實踐標準動作SOP舉例，做到標準化，快速復制安全能力安全運營的落地實踐流程閉環(huán)的確保人不是機器，總會有能力高低、總會狀態(tài)起伏，總會有責任心強弱，流程保障不能靠人一靠機制：日例會，每天對前一日的事件、漏洞等進行簡要跟進和分析；周回顧，每周對當周事件進行跟進、催促未關閉事件和未修復漏洞；月總

9、結，每月對重要運營問題進行總結復盤、跟進重大加固修繕方案的進度；二靠平臺：把制度流程嵌入平臺工單流轉邏輯，使得流程步驟沒辦法繞過；重要流程審核機制，對忽略、復驗完成、修繕進度結束、關閉等節(jié)點進行double check；安全運營是什么安全運營解決什么 安全運營體系設計 安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄實戰(zhàn)效果檢驗下的安全運營基礎成果成果分類成績流量收集覆蓋度所有辦公區(qū)全覆蓋；所有IDC的互聯(lián)網方向流量全覆蓋；終端覆蓋度（1）98.52%以上的終端安裝率；（2）93.21%的實名率；（3）93.96%以上的基線合規(guī)率，補丁安裝率（4）基本消除重大終端漏洞和終端弱口令；服務器

10、覆蓋度（1）互聯(lián)網側服務器全部安裝終端安全防護軟件；漏洞事件運維（1）事件100%關閉；（2）漏洞（中危及以上）100%修復；蜜罐（1）完成蜜罐密網的部署；SOP（1）創(chuàng)建100+ SOP實戰(zhàn)效果檢驗下的安全運營案例一紅隊日常攻擊被檢測背景：AD服務器日志收集平臺檢測到關鍵字mimikatz 隨即判定AD已經失陷，根據(jù)Workstation和地址 信息在域內進行追蹤溯源，最后判定攻擊IP為 a.b.c.d ，根據(jù)該IP地址的交互認證信息，找到其使用者，歸 屬于公司紅隊成員 ，其在進行授權滲透測試。成果：快速發(fā)現(xiàn)關鍵服務器被攻擊，找出攻擊者，阻斷攻擊行為，避免進一步損失。實戰(zhàn)效果檢驗下的安全運營

11、案例二攻防演習阻斷攻擊方進入內網背景：攻防演習期間，內部二次認證賬號系統(tǒng)出現(xiàn)新的移動終端綁定事件。與帳號擁有者聯(lián)系確定為非 本人行為。立即意識到有其他人獲取到了該用戶的賬后憑證，妄圖通過二次認證進入內網。首先，立即停 用該賬號，然后排查移動終端唯一識別標識，最終根據(jù)移動設備終端標識發(fā)現(xiàn)攻擊者。成果：阻止攻擊方進入內網，并追溯到攻擊者。最終防御方在攻防演習中取得了勝利。實戰(zhàn)效果檢驗下的安全運營案例二攻防演習阻斷攻擊方進入內網實戰(zhàn)效果檢驗下的安全運營案例三及時發(fā)現(xiàn)修復ThinkPHP5漏洞保護公司資產背景：TP5RCE 這個漏洞一出來，隨即安全運營小組對內網資產進行了盤點掃描和檢查，發(fā)現(xiàn)部分系統(tǒng)

12、存在該問題，立即推進修復，并最終緊急修復完成。后面即發(fā)現(xiàn)公網利用TP5RCE漏洞執(zhí)行mstha 命令反 鏈cobalt-strike的批量攻擊，由于及時跟進修復完成，公司沒有造成損失。成果：及時修復了漏洞，避免了公司的損失。實戰(zhàn)效果檢驗下的安全運營案例四終端安全運營發(fā)現(xiàn)感染無文件永恒之藍變種背景：公司服務器出現(xiàn)異常流量，排查進程之后卻沒有找到對應文件，進行深入分析日志后，并根據(jù)流量進行排查，結合威脅情報IOC，終于發(fā)現(xiàn)這是一類無文件落地的永恒之藍變種。成果：按照SOP知道，登錄服務器，進行修復查殺等工作，避免了公司的進一步損失。實戰(zhàn)效果檢驗下的安全運營安全運營是什么安全運營解決什么 安全運營體系設計 安全運營的落地實踐實戰(zhàn)效果檢驗下的安全運營未來展望目錄未來展望目前安全運營的理念還沒有統(tǒng)一：就像讀者讀哈姆雷特，不同的人對安全運營有不同的理解和認識，更沒有統(tǒng)一的標準，這是問題也是機遇。問題是沒有統(tǒng)一