安全态势建设需“十年磨一剑显锋芒”

依据黑客攻击的路径和手段，建立基于Threat Hunting安全攻击威胁分析方法，对安全事件结果提供以攻击技术为分类的展示功能。将攻击过程简化为探测、攻击、安装、控制四个级别，在攻击过程中快速了解目标资产的伤害程度、攻击者的意图、利用的工具等等，实现针对性的策略响应，比如黑IP禁用、攻击范围限定等，必要时配合蜜罐蜜网进行主动欺骗防护，帮助管理人员争取更多的响应时间，避免威胁的范围扩散和资产价值的进一步损失。

探测阶段：攻击者通过扫描、钓鱼及社工等方式来获取主机、应用系统及网络设备存在的漏洞。 攻击阶段：针对探测阶段发现的漏洞，制定攻击策略及攻击工具，实施有针对的攻击。攻击活动包括暴力破解、访问控制漏洞利用、业务逻辑漏洞利用及系统可用性攻击等。 安装阶段：攻击者进行文件上传及漏洞利用的过程。攻击活动包括上传脚本、上传木马、上传病毒、访问绕行及权限提升等。 控制阶段：攻击者发起潜伏、隐藏行迹及发起攻击等过程。攻击活动包括横向移动、嗅探、数据收集、外部通讯等。

安全威胁可视化，洞察网络环境和资产安全动态 问题导向 – 从一个客观存在的安全问题，深入、细化到问题内部的方方面面，分解出问题考量的安全指标。 数据分析 – 将海量的、复杂的、看起来无法关联的数据通过数据挖掘建立关联关系，获得具有分析价值的信息。 可视设计 – 将抽象的数据转化为可见的图形符号，用人可理解的图形语言来描述数据的内涵。

通过在海量数据中提取真正需要关注的碎片化内容，与用户的个性化安全场景、业务安全指标的关联，利用图表工具简单直观的去描述网络环境和资产方面的安全状态、安全趋势来发现和解决问题。

江湖侠客VS黑红客

安全的攻与防犹如江湖侠客过招，通过了解对方的名讳，观察对方的样貌、服饰、兵器、口音甚至感观气场等，快速搜索所掌握的信息，判断对方为何派别，擅长使用的招式、功法，功力达到什么层次，结合对战周边的环境信息，根据自身修炼情况选择对招致胜的策略。这不就是态势感知在收集有效数据，利用分析引擎对安全威胁进行检测，快速查询威胁情报中有关风险信息，综合分析出攻击者的攻击意图、攻击工具、攻击手段、攻击路径以及预测攻击，在网络杀伤链（Kill chain）被成功攻击之前，联动自身防御能力进行阻拦、截断，也就是所谓的“破招”。

三、制定安全威胁处置手段

跨部门协作，实现处置“五步”闭环

安全事件处理流程应定义不同级别的事件需要什么样的人，在多长时间内按什么标准处理完成。当发现安全威胁时，能以邮件、短信、微信等方式提醒通知平台运维人员，通过前期的预判分析，明确威胁类型和级别，按照事先定义好的处理流程，以工单类形式发送给相关责任人进行处理；在规定时间内完成处理和反馈，平台运维人员核查处置效果，并对安全威胁进行风险评估，判断是否存在残余风险，如存在，则继续分析、抑制和恢复整改；最后对发生的安全事件、处置方法、处置效果等进行总结记录加入知识库，当发生相似事件时为处置人员提供参考依据。

在此基础上制定安全威胁应急处置预案，对影响范围广、影响程度高的高级安全威胁提前做好应对措施，形成行之有效的网络安全协同处置机制，最终实现根据事件的类型与级别把事件处理工作分流到对应的责任单位或人，完成从“预判-派发-反馈-核查-总结”五步闭环。

安全任务统一管理，完善安全台账工作

通过安全任务管理模块实现安全督促、安全检查和安全汇总，做好协调和安全台账完善工作，起到自我督促、强化安全管理的作用。安全任务管理模块包括消息推送、事件通报、计划管理、策略管理、报告报表等。

消息推送与事件通报：按需向各管理人员推送安全消息，比如业务安全指标情况、行业安全资讯、监管政策等，高效挖掘与业务价值有关的信息；对表彰性、批评性和政策性的安全事件/活动进行通报，传达管理层“重要精神或情况”，提高网络安全保护意识，明确哪些事情该做哪些不该做。 计划管理：结合PMP进度管理思想，将重大安全任务（如攻防演练、重大活动保障等）分割细化，明确任务完成的时间和负责人，让管理层实时了解任务进展情况，在任务推动困难时，可进行资源的调度。 策略管理：统一制定全网安全策略，下发给各相关部门进行配置落实；结合业务的变化、各部门反馈来的意见，不断调整、优化安全策略。 报告报表：面对管理层和管理员需提供不同的安全报告，对安全事件综合分析，把控全局安全状况和安全态势信息，提供不同层级的安全决策支持。 第三方安全服务协调机制 安全响应支撑服务

基于第三方提供的安全事件响应及技术支持服务，服务内容可为远程协助服务、安全分析服务、策略优化服务、应急响应服务、重大活动保障服务等。以保障业务系统可用性及业务连续性为目标，提高安全事件排查效率，并通过事件分析和整改建议来降低安全事件发生率。

行业威胁信息管理

基于第三方安全厂商威胁监测的知识库共享，监测全球安全事件和行业威胁，及时发现针对行业的安全事件，实时推送预警和防护方案，快速调整策略应对安全威胁，形成“行业威胁监测-风险主动预警-防护策略调优”处置链。

定期巡检和培训

定期巡检服务除了信息系统健康检查、设备系统故障排除，更应辅助用户对威胁检测规则进行优化，提高威胁检测率；更新最新威胁检测模型，及时应对新型威胁等。

定期展开产品的专业技术交流、新技术新应用等培训，通过知识传递，让平台管理人员能够掌握相关知识并具有相关技能。

四、 安全人才队伍培养

借助在平台系统化实施工作的过程中，培养一支有素质、有水平、作风优良的复合型人才队伍，以“人”为本，依据平台的建设、流程的制定实现安全运营，，运营团队的人员配备和能力培养考验的是安全责任人或首席安全执行官（CSO）的经验与学识，所以安全责任人或首席安全执行官（CSO）是整个运营团队最重要的一个角色，为了更好的贯彻安全策略以及完成日常的运营工作，其他人才也必不可少，至少包含安全运维人员、安全分析人员、安全运营人员等。

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!