一、引言
度量是安全運營的重要部分,對安全過程的度量使運營工作有的放矢,對安全態勢的度量使安全運營的成果視覺化。
在2021 RSA大會中,《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》列舉了網路安全能力度量中常見的問題:缺少對網路安全風險的全域性視角、缺少衡量風險的一致性方法、缺少不同組織間的比較基準、缺少業務角度的風險測量以及針對安全開支的判斷能力等,導致評估結果無法充分發揮作用;此外,CRO、CISO、執行領導等多種角色在網路安全上有各自的關注點,單一維度的安全狀態評估通常無法同時滿足各相關方的需求;建議綜合多個維度建立全域性度量模型,形成可靠的評估結論。
《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》
FireEye的議程《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》則談到傳統的MTTR指標並不能有效地幫我們發現運營工作的缺陷,有意義的指標應為我們提供信心並推動變革。議程建議引入分析工作、健康度、過程偏差等指標,更有針對性地評估安全運營工作的有效性。
《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》
可見安全的模糊既是安全運營要解決的問題,也是安全運營本身存在的問題。同時,“智慧安全3。0”理念提出了全場景、可信任、實戰化的特性,對安全運營提出更高的要求。
因此,我們提出網路安全運營能力成熟度模型,嘗試客觀地評估安全運營的能力,並能在運營能力建設和發展過程中作為參考。本文“網路安全”皆對應“Cybersecurity”,而不特指網路的安全。
二、模型概述
安全運營是為了實現組織的安全目標,提出安全解決構想、驗證效果、分析問題、診斷問題、協調資源、解決問題並持續迭代最佳化的統籌管理過程,滿足組織資訊保安的動態性、持續性和整體性需求。對比“安全運營”與“安全”,我們認為安全運營是保持和提升安全狀態與安全能力的過程。
國際上已經有多個比較完善的安全能力成熟度模型,例如CMMC、C2M2、NIST CSF、SSE-CMM。參考這些模型,我們在安全運營的語境下提出成熟度級別、過程域、能力型別三個維度,將安全運營能力劃分為五個成熟度等級和多個過程域,各個過程域又從組織體制、流程規範、人員能力、技術工具四個方面拆分為基本實踐,各自按照統一的方式評估過程成熟度。總體結構如下:
三、 成熟度級別
參考CMM類模型,本模型包含的五個成熟度級別總體上按照基本執行、計劃跟蹤、充分定義、量化控制、持續改進的思路來劃分,帶入到安全運營的語境下。然而安全的持續改進本身就是安全運營的主要內容,因此級別的執行、定義、量化和改進也都是針對安全能力提升的過程,而不直接等同於安全(執行)過程。例如傳統CMM的級別4要求實現過程的量化控制,而本模型在級別3要求實現安全執行過程的量化控制,因為這本就屬於安全運營的核心能力,在級別4實現安全運營過程與結果的量化管理。各成熟度級別如下:
ML0 初始狀態
無安全運營活動,安全能力不發展甚至可能隨著威脅的發展而衰退。
一般特徵:特事特例地執行安全工作,沒有制度化。
注:這是沒有開展安全運營工作的狀態,不在五個成熟度等級內,為了明確區分也列在此處,基本對應SSE-CMM、CMMC等模型的一級。
ML1 基礎運維
執行最基本的安全運營工作,由外部因素推動維持基礎安全狀態。
一般特徵:
a。 被動、區域性識別安全需求
b。 面向合規建設安全能力
c。 安全工作形成流程規範
d。 有計劃地執行安全工作
e。 提供基本的資源保障
典型狀態:根據合規要求部署了一些安全裝置、設計了管理制度,定期巡檢安全裝置、處置發現的事件。
ML2 過程改進
有計劃地執行部分安全運營工作,對安全提升有一定的主動投入,能確保基本的能力提升。
一般特徵:
a。 識別主要網路安全威脅
b。 領導層牽頭安全建設
c。 安全過程標準化
d。 安全過程包含改進環節
e。 為安全能力提升提供必要的資源
典型狀態:安全裝置和流程制度比較完備,有獨立的安全團隊,實現一些跨團隊流程,能夠識別執行過程的問題並嘗試改進。
ML3 體系構建
全面建立安全運營體系,充分定義運營過程,管理和執行運營過程,有效提升安全狀態。
一般特徵:
a。 主動、全面地識別網路安全威脅
b。 系統地規劃安全能力
c。 安全能力提升形成標準化過程
d。 對安全過程實現量化控制
e。 驗證並保障安全機制的有效性
f。 安全工作成果視覺化
g。 內外部相關方充分參與安全工作
h。 持續提升安全人員能力
典型狀態:有一定規模的獨立安全團隊,建立了安全運營中心,有安全運營團隊持續監控安全態勢,根據資料定期評估、改進流程。
ML4 運營量化
對安全運營過程實現量化的認知和控制,可定量評估運營成果,實現安全與業務的同步發展。
一般特徵:
a。 充分識別業務風險
b。 將業務目標轉化為量化的安全目標
c。 形成系統的安全能力發展方法
d。 評估和控制安全能力提升過程有效性
e。 安全發展與業務發展保持同步
f。 體現安全對業務的支撐作用
典型狀態:建立了較大規模的安全團隊,崗位分工明確細緻,實現了豐富的業務安全能力,積極引入安全運營的新技術新方法並有效應用,內外部安全資料被充分挖掘利用。
ML5 運營最佳化
持續有效改進運營過程。
一般特徵:
a。 建立持續提升運營能力的機制
b。 在業務領域具備安全的開拓能力
c。 安全深度整合在組織的制度中
典型狀態:建立了龐大的安全團隊,安全能力長期保持在行業領先位置,能夠按照業務發展方向準確識別和實現自身安全需求。
四、能力型別
模型從組織體制、流程規範、人員能力、技術工具四個能力型別出發量化過程能力。其中流程、人員、技術是業內普遍接受的安全運營組成部分,但在這三者組成的體系成立之前,還需要確定安全目標、資源調配、溝通協調等工作,因此模型增加了組織體制這一能力型別。
1。 組織體制:組織體制對於設計並實現安全運營體系的保障能力,如架構調整、資源保障、職責分配、業績考核等。
2。 流程規範:安全運營過程相關的流程的規範性、完善性和有效性。
3。 人員能力:安全運營過程相關人員的專業能力和安全通識能力,以及相關的能力建設。
4。 技術工具:支撐安全運營中人員與流程運轉以實現安全功能的技術或工具。
五、過程域
根據模型的關注點,由一般的安全運營工作總結梳理出15個過程域,每個過程域代表安全運營中的一類工作過程,各過程內容不重疊,但相互關聯配合共同實現安全運營目標。
各過程域的內容在此暫不詳細展開,僅以資產管理為例展示各成熟度級別下的實踐內容。
PA01 資產管理
ML1 基礎運維
組織體制
1。 安全策略包含資產管理
流程規範
2。 建立並維護資產清單
人員能力
3。 人員充分了解資產清單維護的過程
技術工具:無
ML2 過程改進
組織體制
1。 業務方配合資產管理流程
2。 建立事故處罰機制
流程規範
3。 建立資產基線並有計劃地發現異常資產
4。 分析異常並調整資產管理策略
5。 建立資產上下線安全管理流程
6。 明確資產責任人
人員能力
7。 能夠識別異常資產情況出現的原因
技術工具
8。 資產基線資訊模板
9。 基於資產基線發現異常資產的技術
ML3 體系構建
組織體制
1。 設計覆蓋資產管理的安全體系,並將資產管理納入組織級制度
2。 資產管理納入各相關方考評體系
3。 建立專職團隊承擔資產管理職責
流程規範
4。 基於業務情況建立資產分類分級管理規範和流程
5。 資產基線覆蓋元件、版本、配置等詳細資訊並實施管理
6。 建立資產全生命週期管理流程
7。 建立資產管理過程的度量指標
8。 定期評估資產管理中各項措施的有效性
9。 資產管理流程標準化並覆蓋全部相關方
10。 識別資產管理過程存在的問題並改進
人員能力
11。 建立覆蓋資產管理的知識庫
12。 能夠基於流程和知識庫評估資產級別
13。 能夠評估資產變更可能產生的風險
14。 能夠基於資產管理的記錄結合業務情況發現制度存在的問題
技術工具
15。 識別資產元件、版本、配置等詳細資訊並與基線對比差異的技術
16。 支撐各相關方參與資產全生命週期管理流程的平臺
ML4 運營量化
組織體制
1。 資產管理過程的改進效果納入考評體系
2。 明確業務發展目標
流程規範
3。 將業務發展目標拆解為量化的資產管理最佳化目標
4。 評估知識庫對資產管理的提升作用
5。 針對各項提升資產管理能力的過程建立度量指標
人員能力
6。 人員具備運營過程執行和管理能力
7。 人員具備針對運營過程建立度量模型的能力
技術工具
8。 準確、全面記錄資產管理執行和改進過程資料的系統
9。 提供資料分析能力的系統
ML5 運營最佳化
組織體制
1。 設立長期安全目標
2。 設立運營最佳化崗位
流程規範
3。 持續分析業務演化對資產管理的需求
4。 持續評估資產管理提升機制的有效性
5。 基於業務和資料分析改進資產管理運營機制
人員能力
6。 運營體系最佳化設計能力
技術工具
7。 運營最佳化體制支撐技術與平臺
五、 總結
近年來網路安全環境快速變化,技術發展催生出雲計算、大資料、工業物聯網等安全新場景,威脅的演進導致勒索軟體、供應鏈威脅等新形態,網路安全法、關基條例、資料安全法等法律法規相繼出臺,在國產化、新基建、數字化等浪潮中,客戶需要能夠靈活應對安全環境變化、快速響應、自適應的安全能力,而這正是安全運營要面對的問題。
圍繞智慧安全3。0“全場景 可信任 實戰化”的理念體系,我們也在重新審視和理解安全運營,本文的模型是一次初步的嘗試,我們將在今後的運營工作中進一步探索、實踐和完善。
