【安全运营】第6年实践总结

news/2025/1/12 23:31:09/文章来源:https://www.cnblogs.com/o-O-oO/p/18667611

一、安全运营全景图

安全运营全景图调整的原因：一是公司在文化、部门、人员方面调整，导致有些部分不再适用；二是2024年针对安全运营规划开会讨论过多次，部分逻辑和内容有变化；三是安全运营工作范围有变化，需要进行合并、增加；四是经过2024年的实践，个人的观点有变化，需要更新。
调整后的安全运营全景图如：

整体的逻辑请参考上一篇文章《【极思】五年安全运营实践总结与未来思考》。

本文详细介绍各个模块和调整的原因。改名安全运营全景图的原因，是希望可以通过一张图讲明白安全运营工作，让CIO、业务、研发、运维、分支等核心客户更方便、更容易的理解安全运营工作。而不是像传统的方式一样，安全规划一份、风险评估一份、运营逻辑一份、技术架构一份，如果只是讲安全运营逻辑，使用IPDRRVL即可。

1、安全管理

安全负责人必修，目的是向CISO讲清楚安全运营工作的逻辑和核心模块。此部分更新较大，也是2024年个人成长较大的部分。

此模块的主要作用是承上启下，将需求方的需求（具体见图）翻译成CIO能轻易理解的方案。要注意的是CIO极少有安全出身，这个部分非常重要。需求子块，通过每年更新安全规划的方式，收集各个需求方的需求，优先级从上左到右，从上到下排列。规划子块，优先顺序同上，运营逻辑部分非常重要，要环环相扣，不是安全出身的领导主要看逻辑。策略子块，安全规范是安全运营执法依据公司越大越重要；例外管理，安全策略效果好的必要手段，管不好例外策略执行不可能到位；新工作自己先做，形成SOP，是自动化的基础，也是将工作交于他人执行的基础。执行子块，任务层层分解，建议使用飞书表格、任务、日程管理。评价子块，度量是眼睛，考核是驱动力，汇报是信息同步。

2、安全场景

运营负责人必修课，目的是向CISO、安全负责人讲清楚面临的主要问题，也是安全运营工作核心需求源。此部分更新较大，触发改动的原因是领导让我们整理应急预案，其实我们内部的运营流程很完善，思考两者区别后发现，CIO并不关心详细的运营流程，关心的是较大的安全风险场景有没有预案。

合规子块，分享个技巧，将各种法律法规文件收集起来，使用AI+RAG形成知识库，很好用。攻击子块，调整逻辑是只将需求方关注的高风险场景放进来，抓大放小是必修课。演练子块，没有前两个子块重要，但占用时间和精力非常多，有必要放进来。

3、安全能力

运营负责人必修课，目的是向CISO、安全负责人讲清楚如何做、做什么，是安全运营工作开发的核心逻辑。基于2024年的实践经验改动较大，触发点是内部攻防对抗实战演练、行业安全演练、领导说的多演多练。

识别子块，需求管理是指安全运营工作内容每月评估增删；要持续跟进学习新风险，否则很可能被攻击了才知道，会非常的被动；漏洞情报非常重要，这是黑客知而我不知的漏洞类型，我知黑客不知的漏洞优先级可以降低。防护子块，出网阻断很好用，DNS阻断很好用。监测子块，略。响应子块，实战能力非常重要，每年两次演练的核心目的之一是响应能力，不要小看向及时汇报的影响。恢复子块，很重要只能多演练来提升。溯源子块，略。通用能力子块：策略管理、应急预案、流程指引是管理；漏洞管理主要是隐患清理；告警运营、安全事件是入侵响应；有效验证、安全运营保障安全能力稳定输出；自动化、智能化全局赋能；攻防对抗、复盘改进是持续提升。

4、安全工具

运营负责人必修课，这是等于军事布防图，目的是让自己心明眼亮。需要清楚有哪些系统或工具，哪些系统或工具的特长是什么，系统或工具所在位置，是否解决所在位置的问题，还有哪些位置没有防御。

研发子块，空间原因，还有开源软件、开源组件、供应商管理、合同要求等措施没有写。办公子块，终端上杀毒、EDR、DLP必要；网络上准入、访问控制、NDR必要；邮件上安全网关、DLP必要。生产子块，主机上容器安全、HIDS、防病毒必要；网络访问控制、NDR、漏洞扫描必要；数据安全上API安全网关、数字水印必要。公网子块，WAF、资产监测、API安全必要。通用子块，资产管理、漏洞管理、告警管理、事件管理、自动化、有效性验证、安全例外管理必要。

5、信息资产

运营负责人必修课，这个不用解释。

二、安全运营未来展望

主要观点没有很大变化，详细可以参考《【极思】五年安全运营实践总结与未来思考》，补充内容如下。

最初看到LLM时，我觉得安全运营智能化有戏了。随着LLM应用和技术爆发式发展，现在我相信LLM+RAG等技术，可以解决自动化中的痛苦，决策的问题。2024年我们在安全运营场景下，收集了20个AI应用需求，有10个完成，近期分享出来。

AI有它的强项，也有它的局限性。上次在行业里交流时，AI存在的几个问题，一是开源模型已经非常强大已经解决了建设的问题，二是LLM能力成长极快不再需要高成本的硬件支撑，三是通过微调和RAG可以解决一本正经的胡说问题，四是LLM写代码能力成长极快相信能解决基于安全运营场景二开的问题。未来是智能安全运营的时代！