浅谈安全运营前言自2020年起，我已在安全运营建设领域深耕四年。自学生时代加入CTF社团，深入探索密码学开始，我便对网络安全产生了浓厚的兴趣。毕业后，我放弃了原本的网络工程专业，坚定地选择了网络安全作为我的职业道路。在求职过程中，我历经多轮面试，最终进入了一家金融公司担任安全管理角色。这是我首次接触安全运营，也标志着我职业生涯的新起点。进入安全行业后，我发现它远比CTF竞赛中的WEB、PWN、MISC、Crypto、Reverse、IOT等更为广泛和复杂。它涵盖了安全运营、安全服务、渗透测试、数据审计、代码审计、威胁分析、病毒分析等多个职业角色，并且根据不同的平台和应用场景，如IOT、车联网、云安全等，形成了多样化的细分领域。然而，我始终坚守在安全运营的道路上，因为它在我所在的一线城市依然具有相当的竞争力，相对于其他安全领域来说，就业压力并不那么严峻。在过去的几年里，我的知识分享主要局限于集团或企业内部。现在，我想借此机会向更广泛的读者分享我对安全运营的一些见解。如有不当之处，还请各位前辈不吝赐教。安全运营介绍安全运营是什么在我初涉职场时，对安全运营的理解尚显模糊，仅有一个大致的概念。简而言之，安全运营是人员、技术和流程的有机结合，旨在有效防护网络安全威胁并持续提升运营安全工作的效率。用更通俗的话来说，就是将企业的安全设备、安全工作人员以及相关的安全流程协同起来，共同提升企业的安全防护能力。随着行业的不断发展，安全运营也逐渐细化，大致可分为以下几类：安全架构运营安全事件处置与响应运营安全风险评估与管理运营合规与审计运营数据安全运营由于时代的发展，根据企业具体的需求，同为安全运营岗位但实际工作内容可能千差万别。笔者工作主要为安全架构运营和安全事件处置与响应运营，因此下面主要跟大家聊聊这两类（欢迎大佬指出不足与进行补充）。我们本篇主要讲讲安全事件处置与响应运营。在2022年字节安全运营大佬的知识分享中，对此类运营的概念定义为：负责公司反入侵相关安全事件的运营，包括告警和规则运营、分析研判、溯源取证、调查整改，并为结果负责这个概念我是非常认同的，结合本人工作经验来看，所运营的项目基本都是按照此流程去走的。但是只看概念我们是非常模糊的，在实际场景中我们应该如何去做好安全运营呢。安全事件运营体系笔者主要从流程和思路两个方面来讲一下安全运营如何去做，也就是去构建我们的安全运营体系。流程大致分为如下：资产监控风险发现风险隔离取证溯源复盘加固资产监控：在此阶段方面，我们主要去做的是梳理资产，增加我们的监控广度，确保我们的资产在安全设备的监控之下，避免发生安全事件产生，但是安全设备由于监控不严导致的漏报此类问题。根据我们资产分类，以及安全设备能力覆盖的范围，大致分为如下：服务器：HIDS 网络（流量）：NTA、WAF、FireWall、IOC、流量监测设备（态势感知）终端：防病毒、EDR 应用：行为分析和异常检测、邮件网关、身份认证风险发现：在此阶段方面，我们主要去做动态策略和感知风险，也就是我们经常听到的动态化防御，主要去解决企业降低对告警的平均检测时间（MTTD）。在这阶段我们主要可以做的工作主要有如下几点：可视化检测（安全大屏、告警通知）机器学习（通过机器学习对安全设备策略进行补充，来定制化防护企业安全）关联分析（各个安全设备结合来确定安全事件） UEBA 资产定位其中我们要重点关注的是关键威胁的展示、事件的追踪处理以及事件归档，方便进行回溯。风险隔离和取证溯源：这两方面放一起讲的原因是这两块主要职责都为降低我们的告警平均响应时间（MTTR）。风险隔离这块我们主要的运营职责是进行切断入侵路径，降低恶意攻击对企业的风险威胁程度，来进行及时止损。取证溯源这块我们主要运营指责为查找蛛丝马迹，寻找入侵源头。复盘加固：这个就根据字面意思，主要就是我们发生了安全事件，对此类安全事件进行复盘，避免下次有同类安全事件产生。主要职责为降低风险面，提高我们企业的安全防护门槛。根据本人的经验，在安全运营实施困难点主要如下（由于处理步骤多样化，后面会出个专栏来跟大家讲解一下）：资产覆盖、规则完整度不足告警太多无法第一时间定为到有效的告警处置响应时间过长，导致发现安全事件时都已经无济于事了然后继续讲一下我们的思路方面，主要如下几点：基础安全覆盖重点保护核心资产专项收敛风险基础安全覆盖：在这我们简单讲一下，第一步就是做资产收集，去发现我们互联网中开放了多少资产，内网开放了多少资产，正式环境、测试环境、灰度环境等此类资产是否都记录在案，确保我们所有的资产都是在管控范围内的，像现在很多厂商都推出了资产管理类安全设备，有此类设备可事半功倍。第二部就是去做拨测，确定此类资产都在安全防护中，根据上面提供的安全设备去拨测测试，现在有测试类安全设备可以一键测试，还是比较方便的。重点保护核心资产：安全设备防护是有等级的，核心资产一般都是最高防护等级，大部分企业管理者可能会比较懒，所有资产都使用同一安全等级进行防护，但是为了规范化管理，以及提升安全能力、处置检测效率，最好还是对核心资产进行最高等级防护，然后根据业务情况来对最高等级防护进行定制化管理，避免影响正常业务运行。专项收敛风险：互联网方面主要就是收敛暴露的高危端口和服务。内网方面主要是检查是否有自行搭建的一些存在漏洞的平台，以及办公网、生产网、测试网中间的隔离是否完善。共性和经常发生的问题不能只是处理单个case，需要进行根因分析并对症下药。持续化安全运营当我们做好如上工作时，后面将会进入到一个平稳的持续化运营时间。当我们在持续化运营中具体主要是做什么呢？笔者这边根据以往的经验总结出主要是如下几点： 1、安全能力的持续覆盖：持续完善各类安全产品和能力的资产及策略覆盖，持续提升单点检出及防御能力 2、运营效率的持续提升：持续关注MTTD、MTTR，提升运营团队综合作战能力 3、风险的持续收敛：持续不断的分析根因，从根源收敛风险 4、平台的持续建设：结合业务和运营需求，持续完善 SOC平台能力，为运营做好支撑尾语以上便是我四年工作生涯中对安全事件运营的一些总结。接下来，我计划与大家分享安全架构运营的相关内容以及在实际安全运营中遇到问题的处理方法。由于个人经验和知识有限，我的见解可能存在不足之处，非常欢迎各位专业人士指出并补充，期待与大家的深入交流和探讨。

浅谈安全运营

54707

浅谈安全运营

前言

自2020年起，我已在安全运营建设领域深耕四年。

自学生时代加入CTF社团，深入探索密码学开始，我便对网络安全产生了浓厚的兴趣。毕业后，我放弃了原本的网络工程专业，坚定地选择了网络安全作为我的职业道路。

在求职过程中，我历经多轮面试，最终进入了一家金融公司担任安全管理角色。这是我首次接触安全运营，也标志着我职业生涯的新起点。

进入安全行业后，我发现它远比CTF竞赛中的WEB、PWN、MISC、Crypto、Reverse、IOT等更为广泛和复杂。它涵盖了安全运营、安全服务、渗透测试、数据审计、代码审计、威胁分析、病毒分析等多个职业角色，并且根据不同的平台和应用场景，如IOT、车联网、云安全等，形成了多样化的细分领域。

然而，我始终坚守在安全运营的道路上，因为它在我所在的一线城市依然具有相当的竞争力，相对于其他安全领域来说，就业压力并不那么严峻。

在过去的几年里，我的知识分享主要局限于集团或企业内部。现在，我想借此机会向更广泛的读者分享我对安全运营的一些见解。如有不当之处，还请各位前辈不吝赐教。

安全运营介绍

安全运营是什么

在我初涉职场时，对安全运营的理解尚显模糊，仅有一个大致的概念。

简而言之，安全运营是人员、技术和流程的有机结合，旨在有效防护网络安全威胁并持续提升运营安全工作的效率。

用更通俗的话来说，就是将企业的安全设备、安全工作人员以及相关的安全流程协同起来，共同提升企业的安全防护能力。

随着行业的不断发展，安全运营也逐渐细化，大致可分为以下几类：

安全架构运营
安全事件处置与响应运营
安全风险评估与管理运营
合规与审计运营
数据安全运营

由于时代的发展，根据企业具体的需求，同为安全运营岗位但实际工作内容可能

千差万别。笔者工作主要为安全架构运营和安全事件处置与响应运营，因此下面主要跟大家聊聊这两类（欢迎大佬指出不足与进行补充）。

我们本篇主要讲讲安全事件处置与响应运营。

在2022年字节安全运营大佬的知识分享中，对此类运营的概念定义为：

负责公司反入侵相关安全事件的运营，包括告警和规则运营、分析研判、溯源取证、调查整改，并为结果负责

这个概念我是非常认同的，结合本人工作经验来看，所运营的项目基本都是按照此流程去走的。

但是只看概念我们是非常模糊的，在实际场景中我们应该如何去做好安全运营呢。

安全事件运营体系

笔者主要从流程和思路两个方面来讲一下安全运营如何去做，也就是去构建我们的安全运营体系。

流程大致分为如下：

资产监控
风险发现
风险隔离
取证溯源
复盘加固
资产监控：在此阶段方面，我们主要去做的是梳理资产，增加我们的监控广度，确保我们的资产在安全设备的监控之下，避免发生安全事件产生，但是安全设备由于监控不严导致的漏报此类问题。

根据我们资产分类，以及安全设备能力覆盖的范围，大致分为如下：

服务器：HIDS

网络（流量）：NTA、WAF、FireWall、IOC、流量监测设备（态势感知）

终端：防病毒、EDR

应用：行为分析和异常检测、邮件网关、身份认证

风险发现：在此阶段方面，我们主要去做动态策略和感知风险，也就是我们经常听到的动态化防御，主要去解决企业降低对告警的平均检测时间（MTTD）。

在这阶段我们主要可以做的工作主要有如下几点：
- 可视化检测（安全大屏、告警通知）
- 机器学习（通过机器学习对安全设备策略进行补充，来定制化防护企业安全）
- 关联分析（各个安全设备结合来确定安全事件）
- UEBA
- 资产定位
  
  其中我们要重点关注的是关键威胁的展示、事件的追踪处理以及事件归档，方便进行回溯。
风险隔离和取证溯源：这两方面放一起讲的原因是这两块主要职责都为降低我们的告警平均响应时间（MTTR）。风险隔离这块我们主要的运营职责是进行切断入侵路径，降低恶意攻击对企业的风险威胁程度，来进行及时止损。取证溯源这块我们主要运营指责为查找蛛丝马迹，寻找入侵源头。
复盘加固：这个就根据字面意思，主要就是我们发生了安全事件，对此类安全事件进行复盘，避免下次有同类安全事件产生。主要职责为降低风险面，提高我们企业的安全防护门槛。

根据本人的经验，在安全运营实施困难点主要如下（由于处理步骤多样化，后面会出个专栏来跟大家讲解一下）：

资产覆盖、规则完整度不足
告警太多无法第一时间定为到有效的告警
处置响应时间过长，导致发现安全事件时都已经无济于事了

然后继续讲一下我们的思路方面，主要如下几点：

基础安全覆盖
重点保护核心资产
专项收敛风险
基础安全覆盖：在这我们简单讲一下，第一步就是做资产收集，去发现我们互联网中开放了多少资产，内网开放了多少资产，正式环境、测试环境、灰度环境等此类资产是否都记录在案，确保我们所有的资产都是在管控范围内的，像现在很多厂商都推出了资产管理类安全设备，有此类设备可事半功倍。第二部就是去做拨测，确定此类资产都在安全防护中，根据上面提供的安全设备去拨测测试，现在有测试类安全设备可以一键测试，还是比较方便的。
重点保护核心资产：安全设备防护是有等级的，核心资产一般都是最高防护等级，大部分企业管理者可能会比较懒，所有资产都使用同一安全等级进行防护，但是为了规范化管理，以及提升安全能力、处置检测效率，最好还是对核心资产进行最高等级防护，然后根据业务情况来对最高等级防护进行定制化管理，避免影响正常业务运行。
专项收敛风险：互联网方面主要就是收敛暴露的高危端口和服务。内网方面主要是检查是否有自行搭建的一些存在漏洞的平台，以及办公网、生产网、测试网中间的隔离是否完善。共性和经常发生的问题不能只是处理单个case，需要进行根因分析并对症下药。

持续化安全运营

当我们做好如上工作时，后面将会进入到一个平稳的持续化运营时间。

当我们在持续化运营中具体主要是做什么呢？

笔者这边根据以往的经验总结出主要是如下几点：

1、安全能力的持续覆盖：持续完善各类安全产品和能力的资产及策略覆盖，持续提升单点检出及防御能力

2、运营效率的持续提升：持续关注MTTD、MTTR，提升运营团队综合作战能力

3、风险的持续收敛：持续不断的分析根因，从根源收敛风险

4、平台的持续建设：结合业务和运营需求，持续完善 SOC平台能力，为运营做好支撑

尾语

以上便是我四年工作生涯中对安全事件运营的一些总结。接下来，我计划与大家分享安全架构运营的相关内容以及在实际安全运营中遇到问题的处理方法。由于个人经验和知识有限，我的见解可能存在不足之处，非常欢迎各位专业人士指出并补充，期待与大家的深入交流和探讨。