安全运营的价值在于安全专业人员

发布时间 2019-10-10
对于安全运营中心来说,专业人员在“安全运营5P”中占据核心地位。合理地配置专业人员能够保证策略可有效实行、平台可有效使用、产品可合理管理、流程可正常运转。



配备合适的专业人员至关重要


在建立安全运营中心的时候,大家常常会遇到这样的问题:

?从零开始组建团队、构建安全体系时,安全运营中心人员该如何配备呢?
?怎么配备专业人员才能保证运营中心的基础运行?
? ……

为了保证安全运营中心能开展基本的工作,至少需要配备三类不同的角色。

? 运营管理:在运营规划、策略实行、流程梳理、团队管理等方面的专家;
? 安全分析师:在事件响应、威胁情报、攻防对抗、日志分析等方面的专家;
? 数据治理师:在SIEM管理、数据处理、策略优化、告警规则等方面的专家。

一个基础的安全运营中心至少需要运营管理、安全分析师、数据治理师三类专业人员,才能正常开展运营工作。同时遵循可闭环的工作流程和可计量的考核指标,并根据不同的运营中心规模配置不同数量的专业人员。


明确人员角色与职责


在安全运营中心内部,除了上文中提到的三类角色外,其他的角色也应该有明确的定义并履行相应职责。在日常运营中,存在一个较大的问题是对不同角色和责任的理解出现偏差。为了解决这个问题,安全运营中心中所涉及的所有角色的职责与工作内容必须文档化、标准化。

运营管理

建立有效的管理体系是安全运营中心的首要任务。运营管理负责实现安全运营中心的目标,通过实施与管理体系中相关的流程、工作项和指标来完成目标。

运营管理将承担安全运营中心的管理所有权,负责保证平稳的运营,确保运营工作满足服务级别协议(SLA),并遵守相关的法律法规。此外,运营管理还包含以下工作内容:
1、管理日常运营,确保运营工作遵守既定的流程;
2、监督安全分析师、数据治理师等人员的日常任务;
3、管理团队的工作计划、值班排班;
4、识别运营工作中的问题,并确保它们得到适当管理;
5、担任安全运营工作人员的引导者;
6、与外部团队和客户的接口、协作;
7、管理安全运营中心流程并不断改进。

安全分析师

安全分析师负责日常最基本的运营工作。他们将负责监控安全运营主体对象中的安全事件,分析安全事件的详细过程,并根据流程进行相应的处置。具体来说,安全分析师有以下工作内容:
1、监控各类安全日志来快速识别、分类、优先排序和分析安全事件,日志种类包括但不限于防火墙、系统和网络设备、WEB应用防火墙、IPS/IDS、防病毒系统;
2、对潜在安全事件进行初步分析和分类,并根据需要实行或关闭事件处置流程;
3、分析结果文档化,确保相关细节传递到高级分析人员进行最终事件定性。 

安全分析师(高级)

安全分析师(高级)在安全事件流程中有更高的权限,他们负责对安全事件的过程进行深入分析,对已识别的威胁情报进行分类,包括来源和真实性,以及在安全日志中挖掘更多潜在的安全威胁。具体来说,安全分析师(高级)有以下工作内容:
1、对接受到安全事件进行深入分析;
2、培训初级分析师,提高安全运营的监控能力;
3、管理安全运营中心事件和信息摄入,收集威胁情报;
4、利用威胁情报挖掘潜在的安全威胁;
5、作为支撑专家,对初级分析师提供引导;
6、对新出现的威胁和漏洞进行安全研究和情报收集;
7、担任备份分析师,以确保运营连续性。

数据治理师

数据治理师主要负责安全数据的管理,如防火墙、防病毒、IDS/IPS和其他产品工具。他的职责范围包括各个产品工具的可用性,并保证各类安全数据能有效进行采集,同时进行数据质量管理、优化安全数据,对安全数据进行分发。具体来说,数据治理师将包含以下工作内容:
1、实行常规设备检查和定期维护;
2、检查各类安全数据源的有效性;
3、负责新增数据源的接入,并进行标签化、范式化等处理;
4、维护安全运营数据清单,管理各类数据的用途;
5、管理安全数据的质量,并不断优化数据的可用性;
6、根据其他角色的需求,进行数据分发。

响应中心

响应中心负责处理运营中心的内外协调工作,职责主要包括:
1、报告、跟踪、监控和关闭安全事件的处理流程;
2、与外部部门或客户沟通协调以处理事件;
3、处理、响应和记录需要从初级分析人员升级的所有安全事件;
4、分析和审查升级的案例,进行归档,并维护安全运营中心常识库。

人员考核评价

人员考核的核心是度量指标。在安全运营的人员管理过程中,度量指标为安全运营的长期趋势方面提供度量人员能力成熟度的价值。通过考核度量指标,为安全运营能力的成长和提升,提供了支撑性的引导,以下是度量指标仅供参考:
1、案例的状态值(阶段);
2、周期内单一案例的严重程度系数;
3、周期内案例的事件类别分布;
4、周期内安全关闭原因分布;
5、周期内案例严重程度的解决时间(TTR)。

度量指标的建立

以时间轴为基础来建立度量指标是建立度量指标的常态方法。以安全分析师为例,如每位分析师每小时分析事件(EPAH)、每天的事件数量、每天的事件的升级占总事件数的比值等都可以作为度量指标,来度量人员的能力与效率,为安全运营能力等成长与优化提供帮助。

度量指标的周期值,直接影响了度量指标的有效性。使用每秒事件(EPS)指标来度量人员能力,计算人员的效 率是不正确的。正确的方法需要监测一定周期下的度量指标值,这种监测的有效性将直接关系到度量指标的有效性,从而导致结论性的偏差:添加更多的人数或提升人员的能力,会不会使安全运营更加有效和优秀?

度量指标的指标值,通常由事件数量、重要性值、比值等可量化的数值构成。如EPAH应在6-12之间,来度量分析人员是否可以有效地对事件进行处理和升级,低于这个值时,需要注意提升人员的能力或对事件的升级;而高于这个值时,则需要去验证人员效率和事件的有效性等问题。

度量指标建立原则

人员度量指标的建立,有一个重要的SMART原则,它保障了度量指标的透明、客观、可衡量的基础,以保证度量指标能够为安全运营的成长与优化提供实际的贡献。SMART是5个英文单词首字母的缩写:
S 具体(Specific),指度量指标的指标值要有详细和具体的定义,不能笼统;
M 可度量(Measurable),指度量指标是可量化,度量指标的判断数据或信息是可以获得的;
A 可实现(Attainable),指度量指标在付出努力的情况下可实现的且没有超过人员能力上限的,避免设立过高或过低的目标;
R 真实性(Realistic),指度量指标是现实存在的,可以证明和观察的;
T 有时限(Timebound),指完成度量指标是有特定期限的。

不同的安全运营中心虽在其安全专长、安全状态、风险容忍度、合规性要求和预算方面有一定差别,但具有相同的目标,即符合政策法规、响应安全威胁和事件、抵御攻击等。因此, “安全运营5P”中的专业人员至关重要,直接影响安全运营的效果,体现安全运营的价值。