智慧安全3.0下的网络安全运营能力成熟度模型

一、引言

度量是安全运营的重要部分,对安全过程的度量使运营工作有的放矢,对安全态势的度量使安全运营的成果可视。

日前举办的RSAC2021大会中,安全度量问题同样是一个讨论重点。如《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》列举了网络安全能力度量中常见的问题:缺少对网络安全风险的全局视角、缺少衡量风险的一致性方法、缺少不同组织间的比较基准、缺少业务角度的风险测量以及缺少针对安全开支的判断能力等,导致评估结果无法充分发挥作用;此外,CRO、CISO、执行领导等多种角色在网络安全上有各自的关注点,单一维度的安全状态评估通常无法同时满足各相关方的需求; 建议综合多个维度建立全局度量模型,形成可靠的评估结论。

《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》

FireEye的议程《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》则谈到传统的MTTR指标并不能有效地帮我们发现运营工作的缺陷,有意义的指标应为我们提供信心并推动变革。议程建议引入分析工作、健康度、过程偏差等指标,更有针对性地评估安全运营工作的有效性。

《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》

可见安全的模糊既是安全运营要解决的问题,也是安全运营本身存在的问题。同时,智慧安全3.0提出了全场景、可信任、实战化的特性,对安全运营提出更高的要求。

因此,我们提出网络安全运营能力成熟度模型,尝试客观地评估安全运营的能力,并能在运营能力建设和发展过程中作为参考。本文“网络安全”皆对应“Cybersecurity”,而不特指网络的安全。

二、模型概述

安全运营是为了实现组织的安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程,满足组织信息安全的动态性、持续性和整体性需求。

对比“安全运营”与“安全”,我们认为安全运营是保持和提升安全状态与安全能力的过程。

国际上已经有多个比较完善的安全能力成熟度模型,例如CMMC、C2M2、NIST CSF、SSE-CMM。参考这些模型,我们在安全运营的语境下提出成熟度级别、过程域、能力类型三个维度,将安全运营能力划分为五个成熟度等级和多个过程域,各个过程域又从组织体制、流程规范、人员能力、技术工具四个方面拆分为基本实践,各自按照统一的方式评估过程成熟度。总体结构如下:

三、成熟度级别

参考CMM类模型,本模型包含的五个成熟度级别总体上按照基本执行、计划跟踪、充分定义、量化控制、持续改进的思路来划分,但是带入到了安全运营的语境下。而安全的持续改进本身就是安全运营的主要内容,因此级别的执行、定义、量化和改进也都是针对安全能力提升得过程,而不直接等同于安全(执行)过程。例如传统CMM的级别4要求实现过程的量化控制,而本模型在级别3要求实现安全执行过程的量化控制,因为这本就属于安全运营的核心能力,在级别4实现安全运营过程与结果的量化管理。

各成熟度级别如下:

ML0 初始状态

无安全运营活动,安全能力不发展甚至可能随着威胁的发展而衰退。

一般特征:特事特例地执行安全工作,没有制度化。

注:这是没有开展安全运营工作的状态,不在五个成熟度等级内,为了明确区分也列在此处,基本对应SSE-CMM、CMMC等模型的一级。

ML1 基础运维

执行最基本的安全运营工作,由外部因素推动维持基础安全状态。

一般特征:

  1. 被动、局部识别安全需求
  2. 面向合规建设安全能力
  3. 安全工作形成流程规范
  4. 有计划地执行安全工作
  5. 提供基本的资源保障

典型状态:根据合规要求部署了一些安全设备、设计了管理制度,定期巡检安全设备、处置发现的事件。

ML2 过程改进

有计划地执行部分安全运营工作,对安全提升有一定的主动投入,能确保基本的能力提升。

一般特征:

  1. 识别主要网络安全威胁
  2. 领导层牵头安全建设
  3. 安全过程标准化
  4. 安全过程包含改进环节
  5. 为安全能力提升提供必要的资源

典型状态:安全设备和流程制度比较完备,有独立的安全团队,实现一些跨团队流程,能够识别执行过程的问题并尝试改进。

ML3 体系构建

全面建立安全运营体系,充分定义运营过程,管理和执行运营过程,有效提升安全状态。

一般特征:

  1. 主动、全面地识别网络安全威胁
  2. 系统地规划安全能力
  3. 安全能力提升形成标准化过程
  4. 对安全过程实现量化控制
  5. 验证并保障安全机制的有效性
  6. 安全工作成果可视化
  7. 内外部相关方充分参与安全工作
  8. 持续提升安全人员能力

典型状态:有一定规模的独立安全团队,建立了安全运营中心,有安全运营团队持续监控安全态势,根据数据定期评估、改进流程。

ML4 运营量化

对安全运营过程实现量化的认知和控制,可定量评估运营成果,实现安全与业务的同步发展。

一般特征:

  1. 充分识别业务风险
  2. 将业务目标转化为量化的安全目标
  3. 形成系统的安全能力发展方法
  4. 评估和控制安全能力提升过程有效性
  5. 安全发展与业务发展保持同步
  6. 体现安全对业务的支撑作用

典型状态:建立了较大规模的安全团队,岗位分工明确细致,实现了丰富的业务安全能力,积极引入安全运营的新技术新方法并有效应用,内外部安全数据被充分挖掘利用。

ML5 运营优化

持续有效改进运营过程。

一般特征:

  1. 建立持续提升运营能力的机制
  2. 在业务领域具备安全的开拓能力
  3. 安全深度集成在组织的制度中

典型状态:建立了庞大的安全团队,安全能力长期保持在行业领先位置,能够按照业务发展方向准确识别和实现自身安全需求。

四、 能力类型

模型从组织体制、流程规范、人员能力、技术工具四个能力类型出发量化过程能力。其中流程、人员、技术是业内普遍接受的安全运营组成部分,但在这三者组成的体系成立之前,还需要确定安全目标、资源调配、沟通协调等工作,因此模型增加了组织体制这一能力类型。

  1. 组织体制:组织体制对于设计并实现安全运营体系的保障能力,如架构调整、资源保障、职责分配、业绩考核等。
  2. 流程规范:安全运营过程相关的流程的规范性、完善性和有效性。
  3. 人员能力:安全运营过程相关人员的专业能力和安全通识能力,以及相关的能力建设。
  4. 技术工具:支撑安全运营中人员与流程运转以实现安全功能的技术或工具。

五、 过程域

根据模型的关注点,由一般的安全运营工作总结梳理出15个过程域,每个过程域代表安全运营中的一类工作过程,各过程内容不重叠,但相互关联配合共同实现安全运营目标。

各过程域的内容在此暂不详细展开,仅以资产管理为例展示各成熟度级别下的实践内容。

PA01 资产管理

ML1 基础运维

组织体制

  1. 安全策略包含资产管理

流程规范

  • 建立并维护资产清单

人员能力

  • 人员充分了解资产清单维护的过程

技术工具:

ML2 过程改进

组织体制

  1. 业务方配合资产管理流程
  2. 建立事故处罚机制

流程规范

  • 建立资产基线并有计划地发现异常资产
  • 分析异常并调整资产管理策略
  • 建立资产上下线安全管理流程
  • 明确资产责任人

人员能力

  • 能够识别异常资产情况出现的原因

技术工具

  • 资产基线信息模板
  • 基于资产基线发现异常资产的技术
ML3 体系构建

组织体制

  1. 设计覆盖资产管理的安全体系,并将资产管理纳入组织级制度
  2. 资产管理纳入各相关方考评体系
  3. 建立专职团队承担资产管理职责

流程规范

  • 基于业务情况建立资产分类分级管理规范和流程
  • 资产基线覆盖组件、版本、配置等详细信息并实施管理
  • 建立资产全生命周期管理流程
  • 建立资产管理过程的度量指标
  • 定期评估资产管理中各项措施的有效性
  • 资产管理流程标准化并覆盖全部相关方
  • 识别资产管理过程存在的问题并改进

人员能力

  1. 建立覆盖资产管理的知识库
  2. 能够基于流程和知识库评估资产级别
  3. 能够评估资产变更可能产生的风险
  4. 能够基于资产管理的记录结合业务情况发现制度存在的问题

技术工具

  1. 识别资产组件、版本、配置等详细信息并与基线对比差异的技术
  2. 支撑各相关方参与资产全生命周期管理流程的平台
ML4 运营量化

组织体制

  1. 资产管理过程的改进效果纳入考评体系
  2. 明确业务发展目标

流程规范

  • 将业务发展目标拆解为量化的资产管理优化目标
  • 评估知识库对资产管理的提升作用
  • 针对各项提升资产管理能力的过程建立度量指标

人员能力

  • 人员具备运营过程执行和管理能力
  • 人员具备针对运营过程建立度量模型的能力

技术工具

  • 准确、全面记录资产管理执行和改进过程数据的系统
  • 提供数据分析能力的系统
ML5 运营优化

组织体制

  1. 设立长期安全目标
  2. 设立运营优化岗位

流程规范

  • 持续分析业务演化对资产管理的需求
  • 持续评估资产管理提升机制的有效性
  • 基于业务和数据分析改进资产管理运营机制

人员能力

  • 运营体系优化设计能力

技术工具

  • 运营优化体制支撑技术与平台

六、总结

近年来网络安全环境飞速变化,技术发展产生出云计算、大数据、工业物联网等安全新场景,威胁的演进催生出勒索软件、供应链威胁等新形态,网络安全法、关基条例、数据安全法等法律法规相继出台,在国产化、新基建、数字化等浪潮中,客户需要能够灵活应对安全环境变化、快速响应、自适应的安全能力,而这正是安全运营要面对的问题。提出智慧安全3.0的同时,我们也在重新审视和理解安全运营,本文的模型是一次初步的尝试,我们将在今后的运营工作中进一步探索、实践和完善。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment