freebuf 2021企业安全运营实践研究报告

h t i g b u m o c . 5 01 02 process status 前言企业安全建设发展到现在，基础安全已逐步完善，大部分企业都在向更加体系化的成熟企业安全形态前行。在此过程中，便出从被动防御到持续改进现了安全运营的概念。安全运营是通过人、工具(平台、设备)、流程，发现安全问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化的过程。在此过程中，人、工具、流程，共同构成了安全运营的基本元素。以威胁发现为基础，以分析处置为核心，以发现隐患为关 m o 键，以推动提升为目标，通常是现阶段企业的安全运营主旨。不管是基于流量、日志、资产的关联分析，还是部署各类安全设备的处置阻断，都只是企业安全运营的手段，安全运营最终还是要能够清晰的了解企业自身安全情况、发现安全威胁、敌我态关于FreeBuf咨询 c . 5 势、规范安全事件处置情况，提升安全团队整体能力，逐步形成适合企业自身的安全运营体系，并通过成熟的运营体系驱动安全工作质量、效率的提高。 FreeBuf . COM是斗象科技旗下国内领先的网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。 b u 由于安全运营涉及面较广、组成也非常庞杂，对于大部分企业来讲，安全运营仍旧模糊且不得其法。对此，FreeBuf咨询特别策 FreeBuf咨询集结了全行业经验丰富的安全专家和分析师，常年对网络安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。 h t i g 划《从被动防御到持续改进：2021企业安全运营研究报告》，旨在通过详细可靠的调研走访、优秀安全运营案例分享、行业安全专家指导等，持续完善企业安全运营体系化建设。研究方法结合定量分析与定性分析方法，对调研资料进行归纳与概括，对数据进行分析与综合，从而展现2021年企业安全运营能力现状与整体发展态势。 • 问卷调研 • 甲方专家指导&编写 • 安全运营乙方采访 • 资料整合 • 专家分析企业安全运营实践研究报告 2 0 2 1 2 0 2 1 企业安全运营实践研究报告 01 1 process status CHAPTER ONE 国内安全运营发展现状 DIRECTORY 企业安全运营实践心得：CS O 说安全运营 i g 06 （二）国内企业安全运营实践现状 06 1 、企业安全运营平台部署现状 08 2 、企业安全产品部署现状 08 3 、安全信息和事件管理产品应用现状 10 4 、自动化工具应用现状 10 5 、企业攻防演练 / 红蓝对抗参与现状 12 6 、企业安全运营人员现状 13 7 、企业安全运营 & 威胁发现能力现状 m o 15 （一）聂君 | 金融业企业安全运营建设思考 15 1 、安全观建设 19 2 、安全运营之路 3 、企业安全建设思考（二）胡珀 | 基于红蓝对抗验证的安全运营体系优化 1 、安全运营平台的定位 33 36 36 38 3 、使用开源组件搭建 42 4 、挑战 3 28 37 2 、安全运营平台组件企业安全运营建设能力提升前瞻 2 0 2 1 04 2 、安全运营价值：以持续运营促长效安全发展（三）何艺 | 如何基于开源工具建设企业安全运营平台 CHAPTER THREE 企业安全运营实践研究报告 03 1 、安全运营前提：政策合规指引 c . 5 2 b u th 目录 CHAPTER TWO 03 （一）企业纳入安全运营工作的必要性 02 43 （一）企业安全运营建设能力提升前瞻 2 0 2 1 企业安全运营实践研究报告 03 04 process status 国内安全运营发展现状此外，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“围绕高质量发展阶段良好数字生态的网络安全保障诉求，从网络安全保障体系、关键信息基础设施安全战略、数据安全保护、数字产业安全、社会治安与国防信息化建设等方面，强调数字化转型下的网络安全规划与部署”。（一）企业纳入安全运营工作的必要性种种形势表明，安全已不只是合规的要求，更多地需要考虑业务全流程保障要求，从体系化角度去进行安全建设。基于此，越来随着云计算、大数据、物联网、移动互联、人工智能等新技术的深度发展，业务应用和安全环境都发生了巨大变化。业越多的企业开始从顶层设计定义安全体系、规划安全建设。在此背景下，安全运营的理念在国内逐渐受到重视。务系统规模越来越大、信息管理日趋复杂、资产数据爆发式激增，企业对安全产品的需求正在演变为对安全能力的需求，安全运营已经成为国内企业安全发展新的需求热点。 2、安全运营价值：以持续运营促长效安全发展 1、安全运营前提：政策合规指引企业纳入安全运营工作是顺应时代发展不断优化的过程。越来越多的企业将网络安全关注点从以往的安全运维到现在兴起的安近年来，随着网络安全法、等保2.0、数据安全法等安全顶层法规不断出台和完善，企业对安全建设愈加重视。等保2.0相关标化。 m o 全运营，乙方视角转变为甲方视角、基础网络安全变化为业务风险安全、网络安全设备交付到安全能力交付等都在不断更新变 c . 5 准采用“一个中心，三重防护”的理念，从等保1.0被动防御安全体系向事前防御、事中响应、事后审计的动态保障体系转变。因此要求各行业亟需对被动、静态、碎片化的安全防护体系进行革新。围绕业务场景构建全方位的立体安全防护体系，从防安全运营的目标仍旧是保障企业安全，围绕业务系统开展，以解决安全风险为诉求，从管理、技术、制度、流程、人员等多方御、监测、响应三个维度积极有效联动，实现快速预警、高效处置以及策略联动的闭环管理，使安全防护体系从产品堆砌、政面进行优化及改进安全建设，从而实现业务动态安全的建设目标。它本身不是一个产品，也不是单一的技术使用，更不是某类 b u 平台建设，而是一种安全服务模式的独特体现。在安全运营各阶段要求的指导下，企业各个业务系统需能够围绕同一目标进行策合规提升为安全能力输送。上述革新的本质为了打破传统安全运维理念，向安全运营转变。国家网络安全等级保护制度定级备案安全建设等级测评安全整改监督检查网络安全综合防御体系风险管理体系安全管理体系安全技术体系网络信任体系安全管理中心通信网络区域边界计算环境等级保护对象经费保障教育培训队伍建设安全可控技术检测能力建设态势感知应急处置通报预警安全监测安全规划机制建设组织管理国家网络安全法律法规政策体系总体安全策略国家网络安全等级保护政策标准体系 h t i g 网络安全战略规划目标工程化建设，同时需要制定满足各阶段及业务特色的安全管理及技术相关制度，让产品、技术、平台、人员各司其职，协同发挥最大作用。在瞬息变换的环境中，持续改进、不断优化是安全运营赋予企业动态安全防护的重要价值。详细来讲，安全运营持续优化的价值从以下三点体现：应对合规变化网络安全行业属于典型的政策强驱动型行业，根据FreeBuf咨询发布的《2021企业安全建设预算调研报告》：有65%的企业认为合规影响、安全监管是促使其安全建设不断前行的动力来源。其他安全监管 2% 31% 企业高层重视 29% 合规影响 34% 无任何驱动来源，安全部门在内部可有可无 4% 网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等 *等级保护安全框架（资料来源：FreeBuf咨询）企业安全运营实践研究报告 2 0 2 1 企业安全建设驱动因素（资料来源：FreeBuf咨询） 2 0 2 1 企业安全运营实践研究报告 05 06 process status 随着政策环境逐步完善增强，合规标准也在发生变化。如随着等保2.0颁布，等级保护也有了一定的调整和改变，细化到不同行在此背景下，快速发现威胁、响应和恢复已成为企业信息安全团队的普遍诉求。为了实现快速、持续的响应，安全人员不得不业、甚至是不同业务组成，都具备指向性的安全要求。除此之外，监管单位和被监管单位也在出现新的变化，作为监管单位，与复杂的操作流程以及匮乏的资源、技能和预算做斗争，以往的安全运营手段显得捉襟见肘。因此不断更新优化相应规则、迭其合规监管和考核标准需要根据环境变化和政策调整进行持续的优化、调整，而被监管单位也应该对于自身网络安全合规性情代安全技术方式和管理手段，就是在提高工作效率和工作准确率，从被动式安全防护转变为主动式安全运营，也是企业优化安况进行定期自审和优化，以满足国家法律法规及主管部门规定和要求。全建设的目标之一。在此背景下，则需要企业具备敏锐的触角，在安全运营中融入新的安全基准，持续提升企业安全合规能力。（二）国内企业安全运营实践现状应对业务变化随着数字化转型的深入和企业商业模式的改革，企业安全战略从稳定为主、架构安全逐渐演变为综合信息安全、业务安全和数企业安全运营平台部署现状据安全的集合体，因此需要企业具备持续优化的能力，面对业务策略不断更新，随势而变、及时调整、持续优化，保障业务系 m o 统的新发展。传统只关注单一技术的方式已经不能满足现有安全的需求，企业需要站在业务视角，关联业务、资产、责任人调研结果显示，79%的企业已部署安全运营平台。其中，34%的企业通过向外部供应商采购建立，33%的企业则基于开源组件员，具备持续迭代优化的网络安全运营能力。开发，还有12%的企业选择定制化开发项目建立。 c . 5 应对安全防护规则更新 b u 随