一、安全运营目标是什么?
笼统来说运营是为了达到某一目标而进行人为干预的一个过程,而安全运营是对安全工作中流程、系统的不断优化,运营思路、策略不断改进的过程。安全运营的目标是将安全工作的质量维持在一个稳定的范围,提高安全工作的工程化能力。在日常的工作中有时候会因为很多原因需要部署各种设备,当安全产品的数量和总类都增加了但是人员没有增加的情况下,需要保证工作质量的稳定;当有安全人员离职更替时,不会因为某个人的原因影响安全工作的质量和进展,组织系统要拥有工程化能力。
二、具体来说
1、SRC漏洞运营
提起SRC,对外界来说可能第一印象是哪家的小姐姐最漂亮、谁家的奖金最丰厚,其实对于企业来说SRC的意义绝不仅仅于此。从技术角度或者漏洞角度来说,SRC是内部安全系统的映射、是漏洞复盘的维度之一,从第三方视角审视系统的安全性。为什么在内部安全人员投入如此之多的情况下外部仍然会发现漏洞,是平常工作中哪个环节出了问题?从PR公关的角度来说,SRC是企业对外的窗口,对外传递企业对安全的态度,给客户以安全感和责任感;也是安全影响力输出的渠道之一,安全工作的经验、开源工具等的分享;也是人才招聘的渠道之一,昔日的白帽子可能就是现在的甲方安全人员。
以上是SRC的意义,稍微说的有点多。在日常的工作中SRC更多的是漏洞审核、排查、复盘以及与业务沟通修复、与白帽子沟通漏洞细节。当白帽子把漏洞提交过来后,第一时间是要确认漏洞是否存在,若有,立刻给业务发告警修复。然后是对漏洞的排查,白帽子提交的问题大多都只涉及一个点/一台机器,企业的业务广、资产多,需要横行排查。比如别的机器上是否有这个问题,使用了这个系统/组件的机器有哪些?这个漏洞的功能点/利用点可能在哪些地方还会出现,这些都需要去review。从纵向来排查,一般就是深入漏洞分析白帽子的利用手法、攻击思路和路径、以及webshell等的排查。这个过程可以防止同一漏洞的二次利用、以及发现在整个防御体系中薄弱的环节。日常工作中接触更多的人除了自己身边的同事就是业务了,会遇到形形色色的问题。有时候告警发过去老半天业务那边没有响应,或者积极响应了也提交修复了,但是一验证漏洞根本就没有修。这个时候就要反思一下,问题有可能出在业务联系人找不准确、修复方案看不懂或者根本就不会修、还有的就是不重视这个问题,这就需要和业务耐心友好的沟通,内部通信工具或邮件来推动。事情结束还要总结反思,这个问题、某个环节有哪些是可以改进完善的,形成闭环。
2、安全产品
在甲方工作了大约三个月的时间,对安全产品的认识尚处在使用者的角度。比如当我们在复盘的时候发现某个漏洞原本是扫描器可以发现的,然而由于少了相关的poc或指纹而被遗漏,这时候就会联系研发的同学完善这部分。这是从产品本身来说,任何产品和系统都不应该是孤立的,还有产品与产品、产品与系统的联动、数据打通等方面的改进。
作为一个安全运营,个人觉得对于安全产品方面,还应该更多的去了解产品的设计细节、工作流程,分析产品的各项数据指标,如:安装率、发现率、误报率、漏报率等,结合实际的业务状况来改进产品。
3、数据分析与优化改进
其实这个过程是贯彻在日常工作的方方面面的。运营就是要对数据很敏感,学会分析数据。比如从每月的告警数据中可以得出:哪些漏洞是业务最常出现的、哪些业务线漏洞数量最多、哪些功能处最易出现何种漏洞,我们应该在工作流程/安全工具等方面如何改进。
三、心得体会
在甲方待的这段时间总的来说还是比较充实的,一方面是因为自身知识系统不够完善,这里可以边工作边学习新东西,很满足;另一方面是之前都是在各种文章中学习甲方安全体系是如何建设的,实际工作环境中还是依据自身情况有所差别。比如不是所有公司都会使用SDL和SIEM/SOC,安全产品多是结合业务需求服务的。内部安全需要和业务打交道,沟通能力真的很重要。自我驱动不断学习的能力也很重要,安全行业的发展是很快的,昨天还在流行卖盒子,现在都讲AI/机器学习、自动化了。希望大家都能保持初心,不断前行,共勉!
网友评论