谈谈救火与安全运营

作者: 康康 分类: 企业安全 发布时间: 2019-12-27 22:24

应急响应、安全运营这项工作很考验安全工程师的综合素质。这里将应急响应和安全运营的价值、做事标准、发展方向写下来。具体做法细节不做叙述。

一、价值

每一次的应急响应、事件处置不仅是例行的跟进好,更多是作为一个甲方安全建设的体验官和判卷人,看看安全监控、制度流程的效果怎么样、还缺什么、哪还可以改进。

应急响应、安全运营的价值

  1. 给业务线带来价值。利用自己的安全知识帮业务线解决了问题,及时止损。这也是最基本的价值。
  2. 给安全风险治理带来价值。从救火中挖掘并解决了一类问题(比如消灭了一类漏洞、补上了一处隔离策略缺失)。同样的事情做且仅做一次,避免反复投入。
  3. 帮助安全能力成长。 安全能力做出来了,做的究竟好不好?这里就需要完善制度、提升流程效率、弥补规则和日志的缺失、反馈和改进漏报。 每一次救火,在安全制度流程、监控、扫描方面多少都会发现些问题。珍惜机会,好好复盘。改进闭环了就是收益。

有大佬说好的安全在于”运营“,还有大佬说安全运营就是解决”最后一公里“。我认为都总结的非常好。 就好比应急0day时资产抓瞎,指纹平台应需而生一样,安全运营和应急响应只有走在最前面、最一线,才能知道当前安全建设还缺什么、痛点在哪里、哪里体验还不够好。

二、有哪些能力要求

在不停的趟坑后感悟到,甲方做救火和运营,光是掌握漏洞知识还远不够。安全工程师需要从”受气“中走出来,巧妙结合好人、技术、流程。

应急响应、安全运营工作对安全工程师的要求:

  1. 首先是知识的积累,需要有足够的深度和广度,能快速学习处理不擅长的漏洞或事件。
    • 通过已有的知识积累做支撑,来快速学习,分析问题、危害并给出处置方案,这个能力十分必要。 公司大了,需要紧急的可不仅是常见web漏洞和系统攻击。有各类安全事件、咨询、业务碰到的疑难杂症都可能找上来。
    • 救火的战术也很重要。 安全事件的鉴别、溯源取证、决策、响应处置要十分专业。自己需要对危害和紧急性有充足的把握,什么资产、什么数据最重要,应当优先止损。
  2. 具备与业务线沟通的技巧,和处理矛盾能力
    • 不是所有业务都愿意配合工作。 首先要自己明确好安全工程师是“医生”和“警察”,而不是“保姆”和“拦路虎”。是“好意提醒”不是“找茬使绊”。倘若出了损失,是业务线感到疼, 这些利害关系都和业务线打比方,讲清楚,业务线才会高优配合 。
    • 对于”锅“,业务线难免下意识去回避。不妨把归属和职责、修复方案、危害后果,给到足够级别的人来确认风险和责任,做我们安全工程师该做的事和正确的事。
  3. 对于复盘的耐心以及项目管理能力。
    • 行百里者半九十,如果一个漏洞或事件不做好复盘,那么可能后面很快就会陷入重复无意义的漏洞处理,这不是我们期望看到的。
      同样,做一个报警可能花不了多长时间, 但把报警做准确,是需要安全运营和耐心的投入 。
    • 对业务线、对安全能力方都会涉及到协同。在风险治理、处理漏洞、安全能力复盘过程中,方案给到位了,如何跟进对方完成? 作为安全工程师则需要借助自动化编排和项目管理,把精力从这类低级别的跟进中解放出来。

三、运营要达到的标准

处理漏洞不是拉群修复了、发个单、评分了就结束了。救火和安全运营也不是”大事化小,小事化了“,我认为应是恰恰相反。SRC像是安全建设最后的一把沙子,也是一面镜子。 不妨也问问自己:

  • WAF、安全监控、安全扫描等能力都发挥了相应的用处了吗?事件处理的顺畅么?安全方要做什么改进?
  • 攻击者都干嘛了,有啥损失?
  • 如何让业务线下次避免出现这漏洞,这类漏洞能不能治理掉?业务线还需要做哪些“善后”

应急响应、安全运营需要满足的标准:

  1. 闭环与复盘 。 在保证时效性的同时要完整的复盘,这样才能驱动安全建设进步,”吃一堑长一智“。 退一步讲,这次漏洞处理没做好复盘、没治理、相同问题还会反复出现,安全工程师的精力就会耗费在重复的事情。
  2. 提供的解决方案要专业、可落地 提供给业务线的修复方案是正确的、可执行的、足够迅速解决问题的。提出修复思路的同时,也提供些现成可直接集成的代码样例,而不是仅是给业务提需求。这样才是帮助业务线,而不是让业务线觉得在给他使绊子。不妨参考OWASP的安全备忘: https://cheatsheetseries.owasp.org/index.html
  3. 安全编排和漏洞事件流程要有一定自动化程度,SOAR概念最近大火,这个确实重要。 其核心是将人、技术、流程做编排,使得安全事件鉴别、溯源分析、决策、响应做的更快更好。这样可以尽量减少人工介入的时间 ,尽量避免将安全工程师的时间花在低级别的流程和沟通上。 漏洞与告警、知识库、制度、权责、资产归属要打通自动化,现成也有不少开源漏洞管理、工单管理的轮子,不做赘述

四、不妨做的更好

应急响应和安全运营工作如何继续深入,深耕做精?

  1. 应急响应演练。没事练一练,免得护网时手忙脚乱。譬如:
    • 假如现在weblogic/shiro/fastjson/windows 某一又突然出现0day,可导致RCE。该怎么应急?
    • 如果现在有一个员工办公电脑疑似有安全违规行为,如何排查取证不打草惊蛇?
    • 如果某个知名办公软件被曝有后门,如何快速排查受影响范围?
  2. 效率与效果的深耕。进一步提升SOAR程度、应用一些自动化流程,提升MTTR
    • 提升效率:工单与playbook的目标是减少安全工程师的对于低级别漏洞或沟通的干预和介入,使得安全工程师将精力放在流程建立、规则运营、安全分析上。同时还能避免单方的跟进不及时导致损失扩大
    • 效果提升: 各种日志、agent都是应急响应的强大武器,应用起来在漏洞影响范围、修复进展的可见度方面有提升。

发表评论

电子邮件地址不会被公开。 必填项已用*标注