安全运营及体系建设落地

暂时能想到的点

欢迎大家一起交流

推荐一个大佬的博客:

安全运营之路

img.png

  1. 安全事件分类分级

    根据《GB/T 20986—2023 信息安全技术 网络安全事件分类分级指南》,网络安全事件分类考虑起因、威胁、攻击方式、损害后果等因素,共分为10类,每类之下再分若干子类,包括恶意程序事件、网络攻击事件、数据安全事件等。分级则是基于事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素,分为特别重大事件、重大事件、较大事件和一般事件四个级别。

  2. 安全事件优先级排序

    安全事件优先级排序通常基于事件的严重性、紧急性和影响范围。可以采用风险评估模型,如DREAD(损害、可重复性、可利用性、影响、确定性)或CVSS(通用漏洞评分系统)来评估和排序安全事件的优先级。

  3. 怎么做好与业务的触达和合作

    与业务的触达包括确保安全措施与业务目标一致,通过定期的安全培训、沟通会议和共享安全报告来实现。此外,建立一个跨部门的沟通机制,确保安全团队与其他业务部门之间的信息流通和协作。

  4. 确保事件的闭环处置

    闭环处置涉及从事件发现到处置、记录、关闭和总结的全过程管理。可以采用智能化的安全事件闭环处置系统,实现事件采集、漏洞检测、关联分析、风险预警、应急响应和安全整改的闭环处理流程。

  5. 安全运营体系怎么建设

    安全运营体系的建设包括安全合规及监管服务、安全运营服务、安全管理服务。涉及安全基线评估加固、运维管理与安全审计、系统上线安全检查等多个方面。体系建设应包括关键角色定义、管理组织架构、运营层、功能层、数据层和基础层。

  6. 宣导、晾晒、上升在运营工作中的价值

    • 宣导:提高全员的安全意识和能力。

    • 晾晒:公开安全问题,促进问题解决和改进。

    • 上升:将安全问题提升到战略层面,确保安全措施得到足够的重视和资源支持。

  7. 运营团队的分工:1线、1.5线、2线

    • 1线:负责日常的安全监控和响应,处理常规安全事件。

    • 1.5线:负责更复杂的事件分析和初步的调查工作,可能涉及跨部门协作。

    • 2线:负责深入的事件调查、响应策略制定和高级威胁的对抗,通常需要高级安全专家。

  8. 情报建设的评判标准

    • 及时性:情报的获取和分发速度。

    • 漏报率:未被检测到的威胁比例。

    • 准确率:情报的准确性。

    • 覆盖范围:情报覆盖的威胁和漏洞的广度。

    • 相关性:情报与组织业务和资产的相关性。

    • 行动性:情报能够指导具体行动的能力。

  9. 安全情报的生命周期和体系建设

    • 四个阶段:情报策略制定、情报采集与分析、情报成品交付与情报运营、事后的复盘分析及后续动作;

    • 五个层次:规划、数据研判、情报处理、情报分析、情报运营和闭环处理。

  10. 情报能力评价指标:

    • 低延时:减少安全应急团队的等待时间,提高自动化率和有效情报转化率。

    • 高精度:采集高质量的威胁情报数据,通过高准确度的算法提高情报精准度。

    • 可运营:情报成品(FINTEL)需高可读、高可用,并具备闭环特性。

    • 能闭环:考核闭环成功工单的数量。