网络安全运营能力建设思路（二）.docxVIP

网络安全运营能力建设思路（二） 四、技术能力建设 安全技术能力建设工作并非从零开始，而是以组织基础设施安全建设为基础，围绕组织机构的安全目标，建立与制度流程相配套并保证有效执行的技术和工具集，技术工具建议使用标准的安全产品或平台，也可以是自主开发的组件或工具，技术能力建设需要进行整体规划和实现，且要和组织的业务系统和信息系统等进行衔接。同时，安全技术能力需要保证覆盖组织业务使用的各个场景中的安全需求。根据OWASP提出的Cyber-defense-matrix，将各项安全技术分别映射到不同层次的安全对象中。 4.1 资产测绘 随着组织越来越多的资产需要暴露在互联网空间，更大的网络空间暴露面带来了更多的网络空间安全威胁。特别是分支机构较多的大型组织，对资产及高危脆弱性的检查效率、准确性以及详尽的报告内容有着极高的要求，同时各监管机构要求组织能够预防并快速处置网络空间安全隐患，因此，组织需要理清资产，确定资产暴露面，快速定位并准确验证漏洞以提升网络和业务系统的健壮性和稳定性。同时，从运营者的视角出发，采用专业收集手段进行组织未知资产发现，以及对资产信息的变化和异动进行监测和管理，并分析资产间的关联性，自动梳理资产类型、服务与框架，帮助组织对资产进行透明化、智能化管理。 资产发现识别能力 资产发现能力是资产测绘的基础能力，必须在组织的某种环境或场景中发现存活资产，并且通过分析资产的所属业务属性来识别资产详情，包括资产所使用的操作系统、中间件、数据库、应用程序、开放端口以及与其他资产的关联关系等。资产发现能力还应是全面和精准的，避免因不完善的甚至错误的资产发现造成重大风险隐患。 资产持续监控能力 资产详细信息形成资产配置清单，这种清单并不是一成不变的，资产配置会随着业务需求的变更而不断变化，变化的范畴和频率是由业务的变更需求所引导的。要保证资产配置清单的持续有效，必须具备对资产配置变更的持续监控能力。安全运营人员一般可通过周期性资产发现和复查，及时发现资产信息的变化情况，进而对资产变更信息的确认和管理，确保后续安全运用过程中资产配置信息的准确性。 资产漏洞检测能力 安全运营人员通过定期的资产漏洞检测，特别是在出现0day、1day漏洞出现时，能够结合威胁情报信息全面、有效地识别资产存在的漏洞及风险情况，并利用安全运营团队技术实力和管理能力，持续进行整改加固，形成及时有效的漏洞响应处理能力。 4.2 IAM 身份识别与访问管理IAM（Identity and Access Management）技术是一套全面建立和维护数字身份，提供有效安全的IT资源访问的业务流程和管理手段，实现组织资产统一的身份认证、授权和身份数据集中管理与控制。身份和访问管理是一套业务处理流程，也是一个用于创建、维护和使用数字身份的支持基础结构。 IAM是实现零信任网络架构的基础，组织中应用IAM主要是定义和管理个人网络用户的角色和访问权限，以及规定用户获得授权（或被拒绝授权）的条件。IAM系统的核心目标是为每个用户赋予一个身份。该数字身份一经建立，在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。因此，身份管理的首要目标就是：从用户登录系统到权限授予到登出系统的整个过程中，根据需要在恰当的条件下及时赋予正确的用户对组织内适当资产的访问权。 IAM具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、可管理性等功能。IAM系统为各个管理员提供了修改用户角色、跟踪用户活动、创建用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了能够管理整个组织内的用户访问，并确保用户活动符合组织规章制度与监管规定。 针对用户对访问组织业务服务的安全使用要求的多样性，结合访问需求和特点，IAM可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术，通过制定基于主体属性和客体属性的访问控制授权策略来灵活设定用户对服务的使用权限，从而实现访问细粒度的访问控制。 4.3 EDR 端点（PC、服务器、移动设备和嵌入式设备等）作为构建信息化网络的基本组成单元和重要元素，具有部署范围广、使用数量多、承担业务功能多样、存储重要信息数据等特点，容易成为攻击的对象。攻击者往往首先利用目标网络中的脆弱端点建立据点，再通过进一步的漏洞利用构筑长期驻留条件，最终迈向既定目标。端点检测与响应（Endpoint Detection and Response，EDR），相比于传统的端点安全防护手段，EDR一方面借助于云计算和人工智能的威胁分析来解决传统端点防护产品无法解决的APT攻击问题；另一方面重点加强自动化的智能响应能力，大大降低了应急响应的技术门槛，使其依赖系统就可以自动实现攻击阻止、隔离修复、取证分析和追踪溯源。 EDR的核心在于，一方面利用已有的黑名