浅谈安全运营中心

年初三。有点安静的一个上午。路面是湿的，但已经出了太阳。

要不断的自我鼓励，把立意定的更为高远，心中有梦，才能有更多的耐心和毅力把理想坚持下去。

---

最近两年安全运营中心这个概念被提到的次数越来越多了，虽然没有一个建设的标准模式，但很多大厂都在提，也号称有了各种落地。那么，到底是怎样呢，经过一番学习和不太成熟的消化，我也这里笔记一样记录一下吧。从行业专家和几个大厂的实践经验进行一下描述。

为嘛不断提及安全运营？我比较认同这个说法：

1、安全风险的直观化。能够有一个统一的平台或者方式，把各种安全风险隐患集中进行可视化的关联呈现。

2、建设成果的理念化。国家对网络安全要求明确，配套政策落地，各企业都相应上了各种等保合规的设备等，或者说大部分该有的东西都有了，所以现在安全服务越来越被接受，5年前，大家还不知道该怎么理解安全服务。安全运营中心，可以理解为一个集中展示展现安全建设成果和能力的平台，可以把前期各层面的安全设备或者安全要求和制度平台化，这个平台就是运营中心，通过可持续运行的方式，把各项安全工作更为透明高效的完成。

上面两个原因，可能促使了安全运营被不断提出，而且如果真的是做安全运营，很难讲清楚是做平台还是产品，但是一定是个大项目，复杂的项目。

通常意义安全运营中心要做什么？

• 发现和修复安全问题
• 防御体系建设和快速响应攻击
• SDL落地推动（从源头降低安全风险）

前面两点相对已经被接受，SDL需要为更多的企业所接受要个过程，因为对原有的业务或者工作模式可能会有相当的影响，但是这应该最终是一条必经之路。

运营中心应该有的能力：
1、快速响应能力

2、威胁情报挖掘能力

3、漏洞全生命周期管理能力

4、7*24小时不间断服务能力

看看大厂腾讯的安全实验室关于运营中心的建议，分为四点。大数据、行为分析、应急响应、反向校验。

1. 大数据：高效的安全数据处理能力是企业安全运营中心运转的起点。安全大数据能力要兼具数据广度和深度。广度上需要全覆盖所保护资产，深度上则需要和攻击者保持同一个深度或者更深，否则就会出现看不到已有攻击情况。
2. 行为分析：通过情报发现安全威胁的踪迹至关重要。“专家规则+机器学习”双管齐下，充分融合人脑和机器的优势，通过行为分析，让隐藏在海量威胁情报中的敌人行为动向无可藏匿。
3. 应急响应：企业安全运营中心建设还需要构建有效及时的应急响应体系。一方面为安全人员提供规则告警、处置工具、样本分析、入侵溯源等平台化工具，支持其在每一个流程环节能实时处置安全威胁;另一方面，也需要借助SOAR的思想，支持非安全人员开展安全运营，通过内置的安全编排响应剧本，对安全事件进行自动化响应处置并提供响应报告详情，提升安全事件响应处置效率。
4. 反向校验：成熟的安全运营中心需要持续性的迭代和进化，这需要引入常态化的红蓝对抗机制。

通过将安全运营体系分为事前安全预防、事中威胁检测和事后响应处置三个部分，结合全局安全态势的可视体系，帮助运维人员更加简洁明了地认知和构建智能的企业安全运营体系。