最近因?yàn)橛许?xiàng)目涉及到安全運(yùn)營(yíng)，所以抽時(shí)間了解了下。和身邊正轉(zhuǎn)行做安全運(yùn)營(yíng)的小伙伴也深入的探討了下關(guān)于乙方安全運(yùn)營(yíng)服務(wù)的一些思路，覺(jué)得如果能把自己的想法寫下來(lái)向更多的朋友進(jìn)行請(qǐng)教肯定會(huì)學(xué)到更多，所以有了這篇文章。

本文只是從個(gè)人角度出發(fā)進(jìn)行描寫的，肯定有地方寫得和現(xiàn)實(shí)有所出入，希望朋友們能多加指正。謝謝!

[[333562]]

傳統(tǒng)乙方安全運(yùn)營(yíng)服務(wù)

在傳統(tǒng)的乙方安全運(yùn)營(yíng)模式中，最常見(jiàn)的莫過(guò)于直接派遣員工進(jìn)行駐場(chǎng)的安全服務(wù)。對(duì)于駐場(chǎng)服務(wù)而言，客戶對(duì)象一般是國(guó)企事業(yè)單位居多。駐場(chǎng)員工除了處理一般的安全事件外，更多的是為甲方提供多種不同的信息安全方面的支持，包括但不限于技術(shù)，也有很多匯報(bào)，文檔等類工作。

在這一階段的乙方安全運(yùn)營(yíng)，水平可謂是參差不齊，服務(wù)能力嚴(yán)重依賴于駐場(chǎng)人員的個(gè)人能力。實(shí)際上很多駐場(chǎng)人員能解決的問(wèn)題有限，更多的需要依賴于遠(yuǎn)程的專家團(tuán)隊(duì)進(jìn)行支持。

但是不可否認(rèn)，駐場(chǎng)模式的安全服務(wù)能夠更好的去跟客戶溝通，充分了解客戶的需求，更容易贏得客戶的信賴，能為后續(xù)的續(xù)約成單打下堅(jiān)實(shí)的基礎(chǔ)。

互聯(lián)網(wǎng)的安全運(yùn)營(yíng)解決方案

17年筆者實(shí)習(xí)時(shí)曾接觸過(guò)公司的一個(gè)安全運(yùn)營(yíng)項(xiàng)目，主要是為客戶建立起一套基于OSSIM的安全架構(gòu)體系。筆者認(rèn)為這也是一種安全運(yùn)營(yíng)的方式，乙方通過(guò)為甲方提供安全產(chǎn)品來(lái)進(jìn)行安全運(yùn)營(yíng)，后續(xù)也有可能是乙方派人駐場(chǎng)運(yùn)維這套系統(tǒng)。

這一階段有很多優(yōu)秀的解決方案，很大程度上提升了安全運(yùn)營(yíng)的水平。其中不得不說(shuō)的就是soc的方案，但是筆者接觸到的人大多對(duì)于soc的方案持中立態(tài)度，認(rèn)為設(shè)想很好但是落地很難。因?yàn)榇蠹铱赡芤驗(yàn)椴少?gòu)等多種原因，購(gòu)買了多個(gè)廠商的多種不同產(chǎn)品，而再想將這些產(chǎn)品的日志等產(chǎn)出物都集成到一個(gè)soc中可能就會(huì)出現(xiàn)多種不同的問(wèn)題。

從筆者接觸到的情況來(lái)看，現(xiàn)在更多的互聯(lián)網(wǎng)企業(yè)都采用了自建安全運(yùn)營(yíng)平臺(tái)的方案，沒(méi)錢就基于ELK來(lái)不斷完善日志收集功能和報(bào)警規(guī)則，有錢就購(gòu)買更好的splunk等商業(yè)產(chǎn)品，自建安全運(yùn)營(yíng)平臺(tái)，招收專門的安全運(yùn)營(yíng)人才成為目前互聯(lián)網(wǎng)企業(yè)的主流解決方案。

新出現(xiàn)的安全運(yùn)營(yíng)服務(wù)思路

MDR(Managed Detection & Response)Gartner在2016年首次提出了了“(MDR)”一詞。筆者簡(jiǎn)單的理解，該服務(wù)的重點(diǎn)為Managed，甲方直接將安全運(yùn)營(yíng)業(yè)務(wù)托管給了專業(yè)的乙方。這很符合專業(yè)的人做專業(yè)的事的邏輯，23333。乙方自建系統(tǒng)，收集來(lái)自不同的企業(yè)的日志，并提供7*24小時(shí)的安全監(jiān)控服務(wù)。

這一服務(wù)類型的出現(xiàn)極大的提高了安全運(yùn)營(yíng)的專業(yè)化水平。對(duì)于雙方而言都是有所裨益的：

• 甲方可以更專注在安全建設(shè)上來(lái)，安全人員不用為了報(bào)警而疲于奔命;
• 乙方可以通過(guò)多個(gè)甲方的情況來(lái)完善自身服務(wù)，打造出一套完整的標(biāo)準(zhǔn)流程;
• 通過(guò)乙方的標(biāo)準(zhǔn)流程，可以極大降低安全運(yùn)營(yíng)水平對(duì)于個(gè)人能力的依賴;
• 從市場(chǎng)角度而言，將安全運(yùn)營(yíng)服務(wù)進(jìn)一步推向了極致，后續(xù)甲方對(duì)MDR提供商的依賴將會(huì)進(jìn)一步升高。

乙方安全運(yùn)營(yíng)服務(wù)的業(yè)務(wù)價(jià)值

前面談了不同類型服務(wù)的個(gè)人理解，接下來(lái)讓我們探討下安全運(yùn)營(yíng)服務(wù)對(duì)于乙方來(lái)說(shuō)的意義。對(duì)于乙方來(lái)說(shuō)的，所有的方案最終目的都是錢，那我們各種不同安全運(yùn)營(yíng)方案的價(jià)值點(diǎn)又在哪里呢?

傳統(tǒng)的駐場(chǎng)服務(wù)很簡(jiǎn)單，就是賺的人天以及持續(xù)訂單的產(chǎn)出。價(jià)值賺取的效率偏低，成本是提高利潤(rùn)率的最大敵人。而進(jìn)一步通過(guò)產(chǎn)品售賣來(lái)提高利潤(rùn)分?jǐn)偝杀臼潜厝坏倪x擇，再加上后續(xù)的由于產(chǎn)品帶來(lái)的供應(yīng)商綁定效應(yīng)，為企業(yè)帶來(lái)源源不斷地訂單收益，這是一條被普遍實(shí)施的戰(zhàn)略。

那更進(jìn)一步呢?

由筆者之前所說(shuō)的MDR，筆者認(rèn)為可以從兩方面為企業(yè)創(chuàng)造價(jià)值。大家在不同的安全實(shí)踐中能很清晰的感知到，技術(shù)和管理是一對(duì)不可分割的孿生兄弟，在安全運(yùn)營(yíng)中也是這樣。對(duì)于乙方來(lái)說(shuō)，完全可以從這兩點(diǎn)出發(fā)為甲方提供服務(wù)。

在一般的安全運(yùn)營(yíng)過(guò)程中，我們首先基于報(bào)警信息進(jìn)行跟進(jìn)，查找報(bào)警原因，跟蹤黑客軌跡，整理完整路徑并出具報(bào)告。然后將漏洞傳遞給運(yùn)維，開發(fā)同事進(jìn)行修補(bǔ)。但是在實(shí)際的推進(jìn)過(guò)程中，可能會(huì)遇到多方面的問(wèn)題。

所以在管理上，可以首先為甲方提供安全運(yùn)營(yíng)的咨詢服務(wù)。從告警到發(fā)現(xiàn)問(wèn)題，定位漏洞，出具報(bào)告，修復(fù)漏洞，修復(fù)測(cè)試等一連串的標(biāo)準(zhǔn)流程。比如告警事件的級(jí)別定義，什么樣級(jí)別的事件要在什么樣的時(shí)間內(nèi)進(jìn)行處理等。因?yàn)橐曳侥芙佑|到多個(gè)不同的場(chǎng)景，遇到多種復(fù)雜的情況，所以乙方能夠從自身角度出發(fā)整理出一套標(biāo)準(zhǔn)的處理流程，這一套流程可以為甲方自身運(yùn)營(yíng)流程的建立起到重要的參考作用。同時(shí)，在有著大量實(shí)踐基礎(chǔ)上，乙方也可以從甲方實(shí)際需求出發(fā)，為甲方量身制定一套流程，自定義的東西一向都是值錢的。同時(shí)，對(duì)于甲方的安全人員來(lái)說(shuō)，內(nèi)部人員也許做了很多努力想要將安全流程貫徹，但真的不如外部的咨詢服務(wù)做出來(lái)的結(jié)果有效，咨詢也可以成為重要的甲方內(nèi)部推動(dòng)力。

技術(shù)上，乙方可以通過(guò)海量的日志積累，打造出一套完善的規(guī)則匹配庫(kù)，再輔以標(biāo)準(zhǔn)的業(yè)務(wù)流程，極大的弱化運(yùn)營(yíng)人員個(gè)人能力帶來(lái)的服務(wù)差距。隨著具體實(shí)踐經(jīng)驗(yàn)的增加，可以更準(zhǔn)確的消除誤報(bào)實(shí)現(xiàn)事件的有效分級(jí)處理。在進(jìn)一步的安全運(yùn)營(yíng)過(guò)程中，可以接入威脅情報(bào)，從來(lái)源判斷是否存在威脅，存在什么類型的威脅，再結(jié)合業(yè)內(nèi)領(lǐng)先的諸如SOAR等概念，充分發(fā)揮MDR集聚效應(yīng)的優(yōu)勢(shì)，用最小的成本來(lái)得到最大的業(yè)務(wù)價(jià)值實(shí)現(xiàn)。

同時(shí)，我們還可以結(jié)合目前的上云趨勢(shì)，將安全運(yùn)營(yíng)服務(wù)saas化。將多個(gè)企業(yè)的安全運(yùn)營(yíng)平臺(tái)上云，同一套系統(tǒng)框架給不同企業(yè)賦予不同權(quán)限，讓其簡(jiǎn)單直觀的看到目前的企業(yè)運(yùn)營(yíng)現(xiàn)狀，也可以進(jìn)一步提高乙方產(chǎn)品的賣點(diǎn)。

MDR類產(chǎn)品的進(jìn)一步發(fā)展肯定是云的模式，客戶溝通可能更多的是有線上進(jìn)行完成。相較于傳統(tǒng)的駐場(chǎng)模式，與客戶的聯(lián)系就大大降低了，這對(duì)于政企類客戶而言是及其不舒適的。我們可以為大客戶派遣技術(shù)人員的方式實(shí)現(xiàn)駐場(chǎng)，因?yàn)闃I(yè)務(wù)流程標(biāo)準(zhǔn)化了，駐場(chǎng)人員的專業(yè)水平要求降低，成本也將降低。同時(shí)我們還可以通過(guò)日?qǐng)?bào)，周報(bào)，月報(bào)等不同形式的報(bào)告加強(qiáng)我們與客戶之間的聯(lián)系。從政企類客戶角度而言，他們可能不太懂你做的事情是什么，但是他們更希望掌控你現(xiàn)在在做什么，做的怎么樣了，做的結(jié)果是什么。

以上是筆者的一些粗淺認(rèn)識(shí)，可能很多問(wèn)題理解的比較片面，希望經(jīng)驗(yàn)豐富的各位前輩能不吝賜教。謝謝