freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[甲方投稿]一个人的安全部-安全运营平台
  • 关注
[甲方投稿]一个人的安全部-安全运营平台
2023-05-14 12:33:57
所属地 四川省

0x00 背景

安全运营,是一个甲方安全人员必须要做的事情,没有安全运营,就没有企业安全。企业安全运营是指在企业中建立和维护一个全面、协调和持续的安全管理体系,以确保企业的信息、资产和运营活动免受内外部威胁的侵害。它涵盖了一系列策略、措施和实践,旨在保护企业的机密信息、客户数据、财务资源、设备和设施等重要资产。通过有效的企业安全运营,企业能够保护自身的利益和声誉,减少安全事故的发生,并增强客户信任。

互联网上现在也有很多文章介绍了很多安全运营上的东西,但是多数是某些大厂或者一些乙方为了卖产品搞的东西,跟我这种无权力,无经费,无人员的“三无”选手来说,是很难建立起来的。当然小公司也有相比于大厂的“安全优势”,更少的业务,更少的互联网资产,更少的网络攻击频率,部门人员相对简单,安全运营的压力相对小,这并不代表安全人员就可以高枕无忧了,安全风险依然是存在的,也是必须持续的投入安全建设,才能减少风险。

0x01 需求

了解什么是安全运营后,接下来就是要对一个安全运营平台的需求收集,这方面可先调研网上多种安全运营平台建设案例,吸取精华结合目前公司状况进行融合设计。为什么说网上的运营平台是不能通用的?因为在设计安全运营平台时,需要与企业的安全团队、IT团队和其他相关利益相关者进行紧密合作,确保平台能够满足企业的安全需求,并与现有的业务流程和系统集成。简单来说,涉及到部门合作,业务卡点,资产/漏洞/xx生命周期管理,自动化工具研发等。下面是我根据互联网上总结的一个比较通用的设计需求如下:

  1. 确定安全目标和需求:首先,明确企业的安全目标和需求,例如保护关键数据、减少安全事件的影响等。这有助于确定平台设计的方向和重点。

  2. 进行安全风险评估:进行全面的安全风险评估,识别和评估可能的威胁和漏洞,以确定平台需要提供的安全功能和控制措施。

  3. 架构和技术选择:根据企业的技术架构和业务需求,选择合适的安全技术和工具。这可能包括安全信息和事件管理系统、入侵检测系统、漏洞扫描工具等。

  4. 数据收集和分析:设计平台的数据收集和分析机制,以实时监测和检测潜在的安全事件和威胁。这可以包括日志收集、网络流量分析、行为分析等技术手段。

  5. 自动化和集成:利用自动化技术和集成能力,提高安全运营的效率和响应速度。例如,自动化安全事件响应、集成安全监测和报警系统等。

  6. 可视化和报告:设计平台的可视化界面和报告功能,以便管理员和安全团队能够清晰地了解安全状态和趋势,并能够生成适用于决策和报告的安全数据。

  7. 培训和意识推广:在平台中集成培训和意识推广模块,以提高员工对安全的意识和理解,帮助他们识别和应对潜在的安全风险。

  8. 持续改进和演进:安全运营平台需要定期进行评估和改进,以适应不断变化的安全威胁和技术发展。考虑引入新的安全技术和最佳实践,持续提升平台的功能和性能。

0x02 实现

我都是基于上述需求进行设计和实现这套安全运营系统,把需求转化为具体的功能模块分为如下,以及实现的难度等级(以我当前公司情况的评价),一星最简单,五星最难:

系统侧功能:

  1. 【*】用户管理:主要关注用户权限管理,精确到菜单和API级别。

  2. 【***】系统日志:主要记录系统操作日志,用户登录日志,任务执行等信息。

  3. 【**】API文档:一个好的系统必须有个好的文档手册,方便对接其他系统。

  4. 【*】安全知识库:记录一些疑难杂症,经常忘的问题,常见命令的使用,应急响应手册等。

  5. 【**】风险报告管理:定期生成有条理和美观的风险报告,汇报到上级。

  6. 【***】系统前端设计:一个好的系统必须要有个好看的前端界面展示和操作。

系统模块:

  1. 【*】安全态势大屏:直观的反应当前安全状态,大屏里面的内容可自己思考要展示些什么数据,主要是炫酷。

  2. 【**】安全告警:通过平台聚合多种安全系统、设备的安全告警进行推送。

  3. 【*****】资产中心:掌握各个区域的服务器、网络设备、数据库、中间件等资产信息,具体怎么划分见仁见智。

  4. 【****】安全漏洞:主要是漏洞生命周期管理。

  5. 【*】安全巡检:记录巡检安全告警,系统运维等问题,每日推送。

  6. 【****】泄露监测:监测暗网、git、互联网等公司重要信息。

  7. 【****】威胁情报:这里我觉得中文老师说得不错,有兴趣可看看

  8. 【**】安全活动:定期举办的网络安全类活动展示和安全资料手册下载,比如公司的网络安全宣传,国家网络安全宣传周。

  9. 【**】安全看板:公布公司每个部门的漏洞修复情况,重大漏洞的通知展示等信息。

  10. 【***】任务下发功能:定期安全的漏洞扫描任务,资产发现任务等。

总结了一个思维导图如下:

image

0x03 总结

这篇文章也是针对公司只有一个安全人员的情况下,实现一套系统前后端,数据库设计,网络结构设计等需要做的具体功能。如果要独自完成所有功能,开发时间周期会比较长,可根据自身情况来做个评估,建立平台开发进度规划表,优先完成觉得难度低容易展示的部分,让领导认可当前所作的工作。当然这都只是参考,这一套功能在小型公司目前是够用的,实践需要结合自身公司实际情况,进行迭代优化。小型企业应先打好安全的基础,在考虑很多看着高大上的东西,避免引入后变成空中楼阁或者信息孤岛。

# 系统安全 # 数据安全 # 安全运营 # 安全运营中心
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
0x00 背景
    0x01 需求
      0x02 实现
        0x03 总结