发布时间: 2024-07-01 来源:阳光房系列
历经八年,聚合行业安全专家智慧,凝练行业安全最佳实践,《数字时代:基于行业最佳实践的生态化安全能力基础库》于2024年6月22日在第四届数字安全大会上正式发布。
该研究成果是在中国信息协会信息安全专业委员会的指导下,由PCSA安全研究院、联盟成员,联合行业用户和产业各方,深刻总结提炼安全能力管理与应用面临的共性问题和顽疾,基于行业最佳实践提出生态化安全能力基础库(以下简称“安全能力基础库”),旨在为网安产业、行业用户和安全从业者提供一个安全能力管理与应用方法。
本研究工作自2016年10月开始,历经八年累积沉淀,在实践中已完成19大安全领域、43种安全能力、245个安全能力(以API为主)对接,主要实现:
长期推动网络安全产品互通互联、信息共享,清晰化类别与代码政策及标准出台,推动创新发展
主要解决网络安全产品统一管理、生态能力聚合、互通互联、信息共享、数据质量、实战效果、自动化/智能化效能提升、投资有效性等
期望有明确的统一互通互联、信息共享、能力接入标准,打破行业壁垒,能够互信互利
PCSA秉承“质由新生,信仰共造”的理念,聚合中国关键安全能力赋能数字智能时代。
要求为国产原创(非OEM),至少两年技术投入,产研技术团队不低于10人,并且已在实网环境有运行并产生实际效果,接入的接口形式以API为主,通过PCSA安全专家团队能力评审、技术接口评估、数据质量评估,验证通过后,面向公众发布一图一描述一评价。
产业研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、数世咨询、数说安全、CIO时代/安全学院、FREEBUF、特大号、斯元商业、国信政务云等
注:本文约1.6万字,预计阅读时间 10 分钟。欢迎各行业和产业安全专家反馈改进、共同完善、交流合作。
本文《数字时代:基于行业最佳实践的生态化安全能力基础库》中涉及的内容,包括但不限于文本、图片、数据、表格、观点等各种各样的形式,已取得相关著作权,严格遵循国家网络安全法律和法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性经验,意在开展深度交流、学习及研讨。科学技术创新、学无止境,尊重原创、尊重创新,转载、摘编使用本文图片、文字或观点等的应标注明确来源。没有经过授权许可,任何法人单位及个人不得用于商业目的使用。违反上述声明者,我司可追究其有关规定法律责任。
十几年安全合规建设与近些年攻防实战演练,数字化组织购买了大量的安全能力,经历不同历史时期,呈现出品类众多、安全异构、孤岛式、碎片式等状态,根据从监管单位、行业用户、产业领域的众多调研,共计总结提炼了三大困惑八个关键视角,阐述如下:
从调研情况去看,众多行业用户的安全决策者、管理者和运营人员安全能力管理工作缺乏全局视角,无法快速掌握与评价安全能力应用效果,无法高效决策安全能力投资需求,在面对安全实战与日常运营工作时,面临诸多挑战。
面临安全能力效果作用评估难:随着数字化组织购买的安全产品和服务日益增多,安全决策者需要评估这些安全能力在实际应用中的效果。然而,由于安全能力的多样性和复杂性,很难准确衡量它们对企业整体安全状况的贡献。
面临是否持续投入决策难:在安全领域,持续投入是必不可少的。然而,怎么样确定哪些安全能力值得长期投入,哪些需要调整或替换,是安全决策者面临的难题。
安全管理者负责整个网络安全防御体系架构,负责组织队伍应用安全能力开展网络安全工作。
面临安全能力供应商多:随着安全市场的加快速度进行发展,安全能力供应商如雨后春笋般涌现。这些供应商提供的安全产品和服务种类非常之多,功能各异。对于安全管理者来说,选择正真适合的供应商与产品成为很重要的工作。
面临安全能力层次不齐:不同的安全能力供应商提供的产品和服务在技术水平、功能覆盖和效果表现上存在一定的差异。这种能力层次的不齐要消耗大量的时间和精力去评估和筛选合适的安全能力。
面临安全能力成熟度不易评价:安全能力的成熟度评价没有统一的标准,更多基于实际环境和实战应用效果,很难用具体的指标来衡量。不同的能力大部分是基于在数字化组织的实际应用情况来进行评价。
面临分类不清、数量不清、部署不清:随着安全能力的持续不断的增加和更新,安全管理者要建立一套完善的管理体系,用来对各种安全能力清晰的分类和标识。在真实的操作中,由于安全能力的多样性和复杂性,使得分类和统计变得十分困难。同时,部署安全能力也需要仔细考虑多个因素,如网络环境、硬件设备、人员配置等,这一些都会影响到安全能力的部署效果和效率。
安全运营人员负责安全能力的日常运营和维护,负责实战攻防监测、分析、研判、防御。
面临安全能力烟囱式状态:由于历史原因和业务需求的不同,安全能力往往呈现出烟囱式的分布状态。导致需要很多的安全运营人员管理多个独立的安全系统。
面临安全能力在线运作情况不明:安全运营人需要实时了解安全能力的在线运作情况,以便及时有效地发现和处理安全问题。由于安全能力的多样性和复杂性,很难准确掌握它们的实时状态。
面临安全能力策略执行效果不清:安全策略是安全防御体系的核心组成部分。在实际执行过程中,由于各种各样的因素的影响,安全策略的执行效果往往难以达到预期。
面临安全能力实战效果不佳:能力分散反应不及时,在面对真实的安全威胁时,安全能力的实战表现较差。
实战化检验下,通过技术层面实现安全能力的互通互联,形成高效的整体防护,已是运营单位安全工作的基础要求,更是真实刚需。安全产业呼吁十余年,但仍未突破“互通互联”壁垒,持续困扰着众多数字化组织。
政策标准的制定是一个复杂而漫长的过程,标准的制定者通常是监督管理的机构、行业专家、院校学者以及产业单位,基于对整个行业的理解和判断,提出对应的标准和规范。然而,这些标准和规范往往滞后于实际的安全需求和技术发展,因为它们需要经过长时间的讨论、修改和批准过程。同时,标准制定者和实际应用者之间也存在一定的行业的群体性差异,标准制定者可能更注重整体性和规范性,而实际应用者则更关注具体性和实用性。这种差异导致标准制定与实际的需求之间有一定的偏差。
从行业视角来看,实现安全能力的快速生态聚合与互通互联慢慢的变成了迫切刚需。在实战化、体系化、常态化的背景下,数字化组织需要构建一个全面的、多层次的安全防护体系,方可应对各种复杂的安全威胁,做到迅速响应并有效应对。
从产业视角来看,安全能力互通互联要建立在相互信任的基础上。然而当前安全产业之间有天然的信任鸿沟,这是由于不同的安全厂商、服务提供商和运营商之间在技术标准、产品性能、服务的品质等方面存在一定的差异和竞争关系所导致的。这种信任鸿沟不仅影响了安全能力的互通互联效果,还增加了整个安全生态的复杂性和不确定性。
安全业务平台化已是业内共识,无论是SOC、SIEM、XDR、态势感知,还是安全中枢/安全大脑,都依赖于“可信数据”、“黄金数据”,但现实情况下,安全能力数据聚合难、安全数据治理难、安全经验固化难慢慢的变成了行业用户面临的三座大山。
在安全业务平台化的趋势中,数据聚合是构建有效安全防护体系的关键环节。然而,现实情况下,安全能力数据聚合面临多重挑战。
选择大而全的数据聚合策略意味着尝试收集所有可能相关的安全数据。这种做法看似全面,但实践中往往存在“脏数据”的问题。由于数据来源广泛、格式不一、质量参差不齐,大量的无效、冗余甚至错误数据会被引入,给后续的数据分析和处理带来极大困难。此外,存储这些庞大且复杂的数据集也需要高昂的成本。
选择精而细的策略则注重选择高质量、关键性的数据来进行聚合。这种策略能够在很大程度上避免“脏数据”的问题,但要专业人员对数据源进行精心筛选和评估,并对数据来进行专项治理。此外,由于数据精细化程度高,对人员的要求也相应提高,需要具备深厚的安全知识背景和丰富的实践经验。
在聚合安全能力数据之前,需要对各种安全能力做评估,确定其适合使用的范围、有效性以及与其他能力的兼容性。这样的一个过程需要深入理解各种安全技术的原理和特点,并结合实际的安全需求来做综合分析。
由于安全能力数据通常来自不同的系统和设备,需要开发相应的接口来实现数据的互联互通。然而,由于不同系统和设备的技术差异和接口标准不一,接口开发往往需要耗费大量的时间和精力。同时,为了能够更好的保证数据的准确性和可靠性,还有必要进行严格的上线验证测试,这也进一步延长了数据聚合的周期。
安全能力数据治理是确保安全数据质量、提升数据价值的关键环节。在现实中,安全能力数据治理面临诸多挑战。
安全能力数据治理是一个持续性的工作过程,需要定期对数据来进行清洗、整合、分析和评估。同时,由于安全威胁的一直在变化和数据量的一直增长,数据治理的工作量也会相应增加,需要固定的团队、人员和工作环境和平台固化,形成自动化;
安全能力数据治理需要投入大量的人力、物力和财力,而且效果往往不是立竿见影的。这要求数字化组织具备坚定的决心和持久的耐心,以结硬寨打呆仗的精神来推进安全能力数据治理工作。只有持之以恒地投入和努力,才能逐步改善数据质量、提升数据价值。
安全能力数据治理需要具备深厚的数据分析能力和安全专业相关知识的高级人才来支持。然而,在现实中,这类人才往往供不应求。缺乏算法工程师、高级别分析工程师等高级人才将严重影响数据治理的效果和效率。
即使已经产生了一定的数据集,但由于缺乏有效的模型固化机制,这一些数据往往难以形成有效的安全防御模型。
《数字时代:基于行业最佳实践的生态化安全能力基础库》的核心思想总结为“6-1-3-N”架构
以API方式为主进行安全能力对接;持续建立多品类、多生态的安全能力互通互联服务模式
全维全域监测中心、快速持续响应中心、智能分析算法对抗、精准研判预测中心、动态纵深防御中心、战略决策指挥协同
统一管理不同来源、不同分类、不同厂商的安全能力,实现安全能力“看得清、管的住、实时监控”
内置标准的安全能力对接机制,提供200+生态化能力对接模板,实现安全能力“秒级接入、精准采集、高效服务”
通过能力一体管理和能力数据工程,构建安全能力管理和评价机制,落实安全数据治理,形成高质量安全数据集,为打牢安全工作基座提供有效支撑
建立生态安全能力互通互联模式,有效共享高质量安全数据,协同安全产品功能应用,提升安全防护能力和网络安全事件处置效率
基于安全数据集,结合特征工程,固化专家经验,形成场景化的数据模型,快速从海量数据中定位、发现、感知异常状态,为上层系统、专家分析决策提供支撑保障
持续积累实战经验,构建多类型的安全能力、安全数据集的有效工作机制,为用户挑选、评价与验证“真”能力,为体系对抗和日常运营提供有力支撑
以API方式为主进行安全能力对接,实现安全能力的互通互联;八年期间(2016年2024年),聚合对接245个安全能力,未来,将继续以安全工作需求为导向,持续对接并强化安全能力管理应用
API:不同应用可以共享数据,实现无缝集成,允许第三方应用通过API接入,扩展应用程序的功能和服务,数据质量高、结构统一,适用于需要大量、高质量数据的数据分析等领域
Syslog:主要记录系统或应用程序的日志信息,包括错误、警告、通知等,适用于系统监控、故障排查等场景
基于安全数据集及能力管控机制,形成能力服务门户,涵盖服务市场、用户服务、系统服务、服务流程4类内容,为上层应用提供一站式服务。
结合最佳实践建立能力数据工程,涵盖数据基线、数据治理、数据集、特征工程、数据建模、数据管理6类内容,覆盖安全能力数据收集、存储、处理、分析、应用的全过程,形成高质量的安全数据集。
通过标准机制形成安全能力一体化管理,涵盖能力全景、能力分类、能力评估、能力闪接、能力管理、能力画像和能力监测7类内容,简化能力接入、使用、跟踪、评价的复杂性,构建标准的网络安全能力管理机制。
夯实安全数字化安全基石,提供高质量安全数据,在实战化、常态化、体系化背景下为各行业用户安全运营工作场景有效赋能:
数字时代:基于行业最佳实践的生态化安全能力基础库编制过程中得到了很多专家意见。