《2021企業安全運營實踐報告》發布:從被動防御到主動出擊

發布時間 2022-02-22

近年來,企業網絡安全基礎設施建設已逐步健全,數字經濟催生新的業務場景,也為企業安全建設帶來新的挑戰。傳統的基于漏洞修補、防火墻部署、入侵檢測等手段進行安全維護的被動防御體系已難以應對日趨繁雜的網絡攻擊環境。

緊隨等保2.0的腳步,企業的安全運營或類似理念也開始從被動防御轉向主動治理。構建一套能夠有效管理威脅預警、發現、響應、處置各個安全環節并確保人、工具、流程發揮最大協同效應的安全管理體系逐漸成為企業的主要安全目標。

安全運營涉及面廣、體系龐雜的特點使國內大部分企業的安全運營體系仍處在萌芽的階段。為了進一步了解我國企業安全運營建設現狀并幫助企業完善安全運營體系,Freebuf咨詢與頭部大廠安全負責人展開深入研究,結合智庫專家指導,特別發布《2021企業安全運營實踐研究報告》,內容亮點如下:

一、國內安全運營發展現狀

1. 安全運營前提及價值

毫無疑問,網絡安全行業屬于政策強驅動行業,調研結果顯示,65%企業把合規影響作為發展安全建設的首要驅動因素。等保2.0系列政策圍繞“一個中心、三重防護”為核心思想,旨在倡導企業通過對安全計算環境、安全區域邊界、安全通信網絡的三重防護來構建主動式的安全管理中心,等保1.0的被動防御安全體系逐步被事前防御、事中響應、事后審計的動態保障體系取代。針對政策要求的變化作及時調整,是企業發展安全運營的首要前提。

1640832024_61cd1c187203bca528974.png

除合規因素以外,應對業務變化、應對安全防護規則更新是發展安全運營的另外兩大主要價值。在近年來企業數字化轉型的大環境下,業務模式革新的同時,企業面臨的攻擊源、攻擊面也在不斷增大。根據FreeBuf咨詢發布的《中國網絡安全信息與事件管理類產品研究與測試報告(2021年)》,38.5%的受訪企業在過去一年間的安全事件警報數量顯著增加(增加1倍-2倍),19.2%的企業在過去一年間的安全警報數量呈現大幅增加。過往被動防御式的安全管理已不足以對抗無處不在的攻擊。在此背景下,企業需針對業務場景,將人、工具、流程有機結合,同時更新優化相應規則,迭代安全技術管理手段,具備持續迭代優化的網絡安全運營能力。

2.國內企業安全運營實踐現狀

(1)企業安全運營平臺部署現狀

根據本次調查,大部分企業(79%)已部署安全運營平臺,然而在這些部署了安全運營平臺的企業中,多數調研對象反饋其實際應用效果一般。

【網絡管理能力】、【事件采集能力】、【資產管理能力】、【事件處理和分析能力】、【漏洞管理能力】及【工單管理能力】是大部分部署安全平臺的企業已具備的6項核心能力。

1640832110_61cd1c6e2f8e5f06361d0.png

(2)安全信息和事件管理產品應用現狀

安全信息和事件管理(SIEM)是目前多數企業安全運營的核心產品,主要包括數據采集、解析處理、集中存儲、關聯分析幾項核心能力。隨著“Smart SIEM”理念的發展,新一代安全信息和事件管理(SIEM)解決方案趨向于打通各項安全需求,融合多項安全能力。根據本次調查,企業用戶對現階段SIEM產品不滿意的問題主要集中在【與第三方安全工具的集成性較差】、【內置關聯分析規則或場景較少】、【占據大量安全資源,需要較高的安全運營成本】、【無法有效檢測未知/新型威脅】四個方面。

1640832195_61cd1cc3b8ed1b122db02.png

(3)企業安全運營人員現狀

總體來看,大部分企業在安全運營人員配置方面投入較大,僅有14%的企業由其他安全人員兼任運營專職。企業主要期望安全運營人員需要補充【安全事件處置能力】、【威脅檢測與分析】、【漏洞驗證和恢復能力】及【豐富的安全合規知識】四項核心能力。

1640832245_61cd1cf5e0d90146251d8.png

(4)企業安全運營&威脅發現能力現狀

僅有14%的受訪用戶具備自信并表示自己【建立了全面和縱深防御體系,可快速發現入侵者】,多數企業雖有完善防御體系或在部分路徑部署了入侵檢測設備,但仍存在改進空間。同時,國內企業安全運營能力兩極分化情況明顯,【攻擊源及暴露面不斷增加】、【沒有足夠的人力和時間進行安全運營流程梳理】是大多數企業面臨的運營問題。

1640832296_61cd1d28bcc06dac5fda1.png

很顯然,多數企業已有意識將安全防護體系由被動轉向主動,然而受制于安全產品對未知/新型威脅水平的檢測力及安全人員對安全事件的處置能力不足、安全流程管理成本高等因素,安全運營平臺的實際運營效果仍需進一步完善優化。

二、企業安全運營實踐心得:CSO說安全

為進一步了解安全運營現狀及在企業中的實踐情況,我們特別邀請了智庫專家:京東集團信息安全部 高級總監聶君、騰訊安全平臺部總監胡珀、持安科技CEO何藝分享他們對于安全運營的心得。

三、企業安全運營建設能力提升前瞻

1. 安全運營產品能力待優化

現階段,不少安全產品已經能夠在單一的安全能力上達到較高的水準,而多數企業普遍面臨的產品問題在于產品之間集成度低,具備整合化安全能力的安全產品少。市面上那些少數已具備了整合化能力的安全產品,也存在實際落地案例少,使用效果與預期存在差距的問題。此外,安全產品在進行安全事件關聯分析的過程中,存在由高誤報率導致的告警過量的問題,從而降低了安全運營的效率。

企業在未來需盡可能部署相同供應商的安全產品,使得龐大的內部網絡安全產品相互作用。而在技術層面,優化安全事件關聯分析效率、整合多項安全能力于同一產品,將會是未來安全產品發展的主要方向。

2. 安全運營流程待完善

Gartner 在 2014 年提出了自適應安全架構(Adaptive Security Architecture,ASA),強調安全防護是一個自適應式的、持續、循環的過程。然而目前大部分企業的安全運營流程無論是從各要素自適應調整的能力,還是各個環節的協同效應,都與這一安全目標尚存差距。

大多數企業仍需持續優化其安全運營流程,培養安全人員的全局視角,針對業務場景的變化作持續調整,在有限的資源及預算內,最大化發揮企業已有安全產品的安全能力。

四、總結

合規、業務模式革新、防護規則更新是企業由被動防御轉向主動治理,發展安全運營的三重驅動因素。根據我們的調查,現階段多數平臺已部署或部署了部分安全防護路徑,并配備安全運營專職人員。

由此可見,大多數企業已形成主動治理的安全理念,然而安全產品集成性差、安全運營專職人員自身的安全威脅識別能力、事件處置能力尚待改善,使得其安全防御體系尚存較大優化的空間。

企業需要與復雜的操作流程以及匱乏的資源、技能和預算做持久斗爭。提升安全產品之間的集成性、優化內置關聯場景分析、培養安全管理人員的安全意識及綜合能力,將會是未來企業發展安全運營的主要方向和目標。