I. 관점안전한 작동

0x1: 안전 작업 개요

다음과 같은 국가적 노력으로정보 보안중국 기업들의 정보 보안 인식과 관심에 대한 홍보도 증가하고 있습니다. 많은 우수 기업들도 자발적으로 자체 기업 보안에 대한 요구 사항을 점점 더 많이 제시하고 있습니다. 전통적인 보안 구축은 종종 기업 보안의 특정 또는 여러 측면에 초점을 맞추고 통합 운영을 고려할 수 없거나 운영 비용이 많은 인적 및 물적 자원을 소비합니다. 효율성이나 품질 측면에서 더 분명한 단점이 있습니다.

최근 몇 년 동안 기업 정보 보안에서 대규모 인터넷 기업의 탐색과 함께 보안 운영의 개념이 점차적으로 제시되었습니다. 전통적인 운영 직책의 비유에서 운영의 책임은 궁극적 인 목표를 보장하고 지속적으로 진단 및 분석하고, 요구 사항이나 문제를 제시하고, 최적화를 촉진하고, 모든 당사자의 자원을 조정하고, 폐쇄 루프를 완료하여 작업 클래스의 목표를 달성하는 것입니다. 기업 보안의 궁극적 인 요구에 대해서는 보안 운영의 책임자로서 기업 보안의 다양한 측면을 진단 및 분석하고 요구 사항과 요구 사항을 제시하고 최적화를 촉진하며 보안 운영 실무자를 통해 최종 착륙까지 자원을 조정해야합니다.

물론 현재 환경에서 파티 A 보안 운영 엔지니어는 종종 다양한 문제에 직면하여 효과의 최종 목표의 모든 측면에서 기업 보안을 보장하기 위해 다양한 방법, 방법, 제품, 서비스를 달성하기 위해 종종 다양한 문제에 직면하며 일부 파티 A 보안 운영 엔지니어는 일부 절차의 개발을 조직하여 전체 프로세스를보다 제어 할 수 있도록 주도권을 잡을 것입니다. 당사자의 요구에서 우리는 기업 보안이 가장 직접적이고 시급한 당사자의 즉각적인 요구임을 분명히 느낄 수 있습니다.

0x2: 보안 운영 직원의 책임과 기술 요구 사항

가장 중요한 것은 안전 운영 인력의 문제 해결 능력으로, 현지 상황에 따라 안전 운영 시스템을 계획하고 기업의 안전 상태를 진단하고 문제와 요구를 제시하고 문제 해결을 촉진하고 모든 당사자의 자원을 조정하여 최종적으로 지상에서 폐쇄 루프의 운영을 달성하는 등 핵심 노드에서 특히 중요합니다. 따라서 보안 운영 담당자가 A 당사자의 관점에서 갖추어야 할 기술은 다음과 같습니다:

• 정보 보안 기술에 대한 배경 지식, 보안 구축에 대한 충분한 지식과 이해, 정보 보안 관리 경험, 명확한 요약을 제시하는 능력, 다양한 시나리오에서 문제를 해결하는 데 자신의 능력을 활용할 수 있는 능력이 있어야 합니다.
• 약간의보안 서비스개발, 운영 및 유지보수 경험이 있고 보안 관리 솔루션 컨설팅 경험이 있으며 다양한 시나리오에 따라 합리적인 솔루션을 제안할 수 있습니다.
• 보안 엔지니어, 보안 개발 엔지니어, 비즈니스 및 R&D 간의 협업을 잘 조율할 수 있는 커뮤니케이션 능력이 뛰어나야 합니다.
• 데이터 기반 인식, 데이터를 사용하여 최적화 분석을 추진하는 능력, 관련 도구를 자율적으로 개발할 수 있는 능력.
• 목표를 달성하기 위해 다양한 최적화와 조정을 능동적으로 수행할 수 있는 강한 책임감과 능력

0x3: A의 안전 작동에 대한 세부 정보

기본 보안 운영에는 위협 인텔리전스, 웹 취약성 탐지, 트래픽 모니터링, 단말 모니터링 및 보호, 상황 인식이 포함되며, 이는 모든 종류의 네트워크 공격에 대처하는 기업의 조치를 포괄합니다.

보안 운영은 조직의 요구와 보안 운영 제품에 따라 다양한 방식으로 보안 운영 에코시스템을 구성하는 프로세스입니다. 여기에는 정보 및 데이터 수집 기술, 보안 정보 및 사고 관리 도구, 워크플로 및 취약성 대응 관리 및 우선순위 지정, 위협 인텔리전스 및 머신 러닝 운영, 위험 관리 거버넌스 및 기업 다운사이드 위험 평가, 워크플로 및 자동화된 데이터 처리와 같은 기술이 포함됩니다.

II. 사용자 관점에서 바라본 안전한 운영

0x1: 안전 운영 개요

국내 보안 벤더들은 보안 기술 제품 개발에서 점차적으로 고객 수요 지향적 접근 방식, 프로세스의 고객 운영 요구에 직면 한 B 사이드 보안 벤더의 개념이 점차 대중화되고 있지만 자체 솔루션도 많이 제시하고 있습니다.

한편으로 당사자 B 보안 공급업체는 적절한 서비스를 제공할 수 있는 기본 조건을 갖추고 있으며, 다른 한편으로 업계 동향과 기업 보안 성숙도에 따라 시장 환경에 더 잘 적응하여 적절한 제품과 서비스를 출시하는 것도 시장 발전의 요구를 충족하는 것입니다.

B측 보안 운영도 전통적인 보안 관점의 현장 서비스에서 시작하여 해당 보안 운영 관련 플랫폼을 제공 한 다음 엔터프라이즈 보안 운영 시리즈 솔루션으로 변경합니다.

안전 운영의 관점에서 당사자 B의 관점은 예방, 통제 및 관리의 핵심 측면에 더 관심이 있습니다. 안전 운영에 대한 당사자 B의 관점은 지역에 속하는 다양한 자산을 기반으로 비교적 상세하고 세심한 구분을 위해 강력한 통제 구역, 지역 통제, 국경 보호, 노출 표면으로 크게 나눌 수 있습니다. 지원 시스템에서 크게 관리 시스템, 기술 시스템, 운영 시스템으로 나눌 수 있습니다. 각 시스템의 내용을 분류하면 당사자 B의 관점에서 안전 운영의 각 측면의 초점을보다 명확하게 볼 수 있습니다.

안전 운영에 대한 개요는 아래와 같습니다.

0x2: 안전 운영 직원의 책임과 기술 요구 사항

당사자 B의 보안 운영 서비스 역량의 필요에 따라 레드팀 공격, 기업 방어, 운영 개선 및 최적화, 보안 사고 또는 숨겨진 위험 처리, 위협 인텔리전스, 기술 역량 강화 및 보안 관리 측면에서 특정 요구 사항이나 필요성이 있습니다.

당사자 B가 안전 운영자에게 요구하는 기술은 당사자 A의 요구 사항에 비해 더 전문화되어 있습니다.

• 노출된 자산 모니터링, 보안 보호 제어 전략, 위협 헌팅, 비상 대응, 보안 운영 및 보안 운영과 관련된 유지 관리에 대한 기본 능력을 갖추고 있습니다.
• 현장에서 보안 대응을 실행할 수 있는 능력을 입증했습니다.
• 일부 소프트웨어 개발 기술 및 전체 주기 안전 운영 작업, 건설, 개발 및 기타 서비스에 참여할 수 있는 능력.
• 프로젝트를 다양한 성숙도 수준의 실행, 문서화, 관리, 평가, 최적화 및 연계로 독립적으로 추진할 수 있는 능력이 입증되었습니다.
• 의사소통 능력이 뛰어나고, 안전 운영 체인의 후속 조치 및 문제 분석을 지원할 수 있으며, 당사자 A의 안전 운영 담당자가 관련 업무를 수행할 수 있도록 지원할 수 있어야 합니다.

0x3: 안전 작동에 대한 세부 정보

따라서 당사자 B는 일반적으로 보안 운영을 자산을 핵심으로 삼고 보안 이벤트 관리를 핵심 프로세스로 삼고 보안 도메인 세분화 아이디어를 채택하고 일련의 실시간 자산 위험 모델을 설정하며 관리자가 이벤트 분석, 위험 분석, 조기 경보 관리 및 비상 대응 처리를 수행하도록 지원하는 중앙 집중식 보안 관리 시스템으로 정의합니다.

III. 당사자 A의 안전 운영과 당사자 B의 안전 운영의 차이점

당사자 A와 당사자 B의 안전한 운영은 상호 보완적이고 상호 강화적인 관계입니다.

• A사의 안전 운영은 결과에 책임을 지고 문제 해결의 효과와 효율성에 더 많은 관심을 기울이며 체계적인 관리 방법을 사용하여 위험을 정량화하고 관리를 통합하며 일련의 안전 운영 시스템을 구축하고 착륙 최적화 프로세스를 통해 위험을 점진적으로 줄이는 데 능숙합니다.
• 당사자 B 보안 운영은 일반성과 관련성, 다양한 시나리오에서 일반적인 솔루션이 무엇인지, 목표 문제 솔루션이 무엇인지에 더 많은 관심을 기울이고 전략, 제품의 내용, 궁극적으로 착륙 보안을 위해 당사자 A를 지원하는 제품 또는 서비스의 형성을 통해 전략의 효과에 대해 이야기하기 위해 위험의 거버넌스에주의를 기울이는 경향이 있습니다.

간단히 말해, 갑은 성과와 효율성에 초점을 맞추고, 을은 제품 및 서비스의 형태를 통해 자체 안전 축적을 수출하는 데 중점을 두고 효과성 향상에 더 많은 관심을 기울인다는 의미입니다.

사실 보안 운영의 전반적인 성숙도 관점에서 볼 때 성숙한 보안 운영은 실행, 기록, 관리, 평가, 최적화 및 연계를 위한 플랫폼이 있어야 하며, 이 플랫폼의 개발은 당사자 A의 자체 연구로 이루어지든 당사자 B가 개발한 플랫폼의 도움을 받아 이루어지든 보안 운영의 사용은 점차 프로세스의 성숙도를 향해 나아가고 있습니다.

IV. 보안 운영의 어려움

0x1: 과도한 보안 장치 알람

기업 보안에 사용되는 보안 제품이 증가함에 따라 보안 운영 엔지니어는 점점 더 많은 보안 이벤트 알람을 처리해야 합니다. 운영에 사용되는 제품의 품질이 다양하기 때문에 많은 경보가 발생하며, 특히 일부 통신사나 데이터 센터의 경우 보안 이벤트에 대한 일일 경보가 점점 더 많아지고 있습니다. 심지어 일부 보안 장치에서는 전체 보안 이벤트의 80%를 차지하는 오경보의 성공 여부를 모니터링하기도 합니다.

경보가 너무 많으면 초기에 처리하고 해결할 방법이 없는 오경보가 많아 보안 운영자가 보안 이벤트 경보에 대응하는 데 과부하가 걸리고, 이는 결국 일상적인 운영 프로세스의 효율성에 영향을 미칩니다.

0x2: 대규모 비즈니스 시나리오

직접 사용할 수 있는 적응형 보안 운영 플랫폼이 없습니다. 많은 인터넷 기업의 경우 자체 비즈니스 시스템이 상대적으로 복잡하고 보안 운영을 위한 대규모 비즈니스 데이터 상호 작용 프로세스가 복잡하기 때문에 기존 보안 운영에만 의존해서는 복잡한 비즈니스 시나리오를 처리하기에 충분하지 않습니다.

그 결과 기업들은 자체 플랫폼을 개발하거나 비교적 강력한 탐지 기능과 비교적 유연한 규칙 구성을 갖춘 제품을 사용하여 대응합니다. 어느 쪽이든 유지 관리에 일정한 비용이 필요하지만, 상대적으로 후자를 선택하는 기업이 대다수입니다.

0x3: 잘못된 경보 문제

오경보 이벤트를 파악하는 데 시간을 낭비하는 것은 종종 고통스러운 일이라는 것은 잘 알려져 있습니다. 여기에는 두 가지 이유가 있을 수 있습니다.

• 하나는 보안 인시던트 분석에 소요되는 시간과 인건비가 크게 증가한다는 점입니다.
• 하나는 오탐이 성공적인 보안 이벤트의 경우뿐만 아니라 오탐으로 인해 보안 이벤트가 실패하여 누락되는 경우에도 발생한다는 것입니다.

따라서 장비 제품 선택, 보안 장비, 정책 업데이트, 보안 장비, 사용 편의성에 기반한 사용자 지정 규칙을 통한 보안 운영 프로세스가 일상적인 보안 운영이 직면하게 될 것입니다.

많은 시나리오에서 특정 비즈니스 데이터 이탈 오경보는 고유하고 더 일반적인 문제로 간주되는 경우가 많으며, 이에 대처하기 위해서는 비교적 유연한 맞춤형 경보 구성이 필요합니다.

0x4: 방어 격차

기존 기업 보안은 보안 심층 방어 제품을 전체적으로 운영하지 않기 때문에 포렌식 조사 및 판단, 추적 및 추적 등의 과정에서 협업의 어려움이 크고, 데이터 분석 및 상관관계를 조회하고 비교하기 위해 여러 제품 플랫폼에 자주 로그인하고 전환해야 하는 경우가 많아 데이터 분석이 파편화되어 방어에 공백이 생기는 경우가 많습니다.

고급 위협 인텔리전스 관리 시스템은 보안 운영의 이 부분에 대응하여 다양한 기술 및 중요 데이터 링크의 역할을 수행하여 적절한 링크에서 인텔리전스 데이터를 공유하거나 호출하고 협업 분석 및 판단의 역할을 수행할 수 있습니다. 물론 워크플로우 설계 수준에 따라 자동화된 대응책을 설정하고 트리거가 발생하면 자동으로 대응하여 선제적으로 대응할 수도 있습니다.

0x5: 지식 시너지 문제

보안 제품뿐만 아니라 보안팀의 인텔리전스를 공유할 수 없다는 것은 고립되어 있지만 서로 연결되어 있는 1차 수사팀과 병행하여 수사를 진행하지 못하는 결과로 이어지며, 공격자의 전술, 기법, 프로세스 등에 대한 일부 수사 기록은 1차 수사팀과 공유할 수 있어야 합니다.

0x6: 혼란스러운 환경

혼란스러운 환경은 팀들이 서로 협업하지 않고 조치를 취해야 할 때 비효율적이며, 팀들이 서로 협력하여 작업 일정과 결과를 모니터링할 수 있는 관리 플랫폼이 부족하다는 사실에서 알 수 있습니다. 예를 들어, 위협 모니터링 분석가, 보안 운영 센터 및 사고 대응팀은 긴급 대응 및 해결 시간을 줄이기 위해 함께 협력할 수 있어야 합니다.