开篇：解构“安全运营”

      “安全运营”一词被网络安全从业者大量使用，一者源于攻防演练的推动，甲方客户逐渐认识到“安全”仅单靠买产品是无法获取的，还需要去认真“运营”；二者乙方厂商发现产品并未被充分使用，致使其价值被埋没，或者多产品之间孤岛明显，无法共享数据、联防联控。

笔者在安全领域摸爬多年，对“安全运营”略有见解，下面就这一话题做些分享。

【安全运营“不是”什么？】

      先来说说“安全运营”的定位吧。

     “安全运营”从字面意思上理解，是用长周期运营的视角来看待安全工作。要常态化的将安全工作驱动起来，首先离不开人，“运营”的关键要素是人，人贯穿于数据、能力和流程之间，将它们连接起来，便有了持续的“运和营”的实体。

      如果把安全运营类比于企业运营、生产运营、门店运营等，这类“运营”都有一些共同特点：①经营者视角；②强调整体（非特指产品工具或其他）；③长周期。

• 经营者视角指“安全运营” 是甲方要开展的日常安全工作的核心，是甲方自己的事情，安全运营做得好，甲方才是首要和最大的获益者，也只有甲方认识到安全运营的价值并大力推动和发展，安全运营的水平和能力才能不断提升。这是从驱动力或价值归属角度来分析。

• 强调整体性指“安全运营”不仅仅是一套技术解决方案或一两个专业人才，也不仅仅是甲方采购的防火墙、入侵检测、零信任系统等产品，而是产品+工具+人+流程+数据+知识经验（也有定义为工具+人+流程），构建的一套完整系统，这是从概念边界上来分析。

• 长周期指“安全运营”是动态运营的过程，是产品迭代升级，流程磨合优化，知识经验不断积累的过程，是每天、每月、每年甲方安全工作者点滴工作的集合，这是从状态变化角度来分析。

      因此，开展安全运营工作的主体驱动力应该来自于甲方内部，甲方主动有利于推动甲方内部的组织、岗位的协同，有利于具体流程的梳理和打通，在此基础上，乙方才能适度提供相关产品或服务。甲方为主，乙方配合才能将安全运营工作真正推动起来。

      定位如有偏差，就会出现我们常见的各种现象：比如甲方投入千万元建设安全运营（soc）平台，历时一两年之久，最后交付后的效果却很一般，也没有真正运营起来，甲方觉得不值；乙方为了做好项目也投入不少，软硬件系统、定制开发、驻场服务、咨询服务、重保服务，最后核算下来项目亏损，项目迟迟无法验收，继续投入，乙方也觉得不值。

      出现类似问题的根源就在于大家对安全运营的目标、驱动力和建设内容认识不清晰或不对称，项目在立项初期并没有完成预期同步，过程中的配合会遇到跨部门、岗位、职级等的阻碍，到项目后期逐渐与预期偏离，这时候再协调就变得非常困难。

      从以上的理解看，所有乙方宣称可以帮助客户做好“安全运营”都或多或少有些一厢情愿；反之，所有甲方希望采购乙方的一套或多套运营平台、组件、工具，就能做好“安全运营”，那也是预期过高。

      所以，“安全运营”首先不是甲方可以通过采购咨询、产品、服务，一劳永逸就能建设起来的，这里面缺少了人和流程的前置导入，缺少了运营的日常磨合；也不是乙方公司提供整体解决方案，同时外包人力在甲方现场就能够轻松建设起来的，这里面缺少了关键驱动力，缺少了对甲方资产/业务的深刻理解，同时也容易把自己卷入甲方组织部门间的利益纷争里，左右为难。当然，“安全运营”更不仅仅是“攻防对抗中的告警研判、溯源”这些内容了。

【安全运营应该“是”什么？】

      还是类比企业运营或生产运营的逻辑来看，一般是围绕核心价值链的传递来拆解或架构“运营”过程，比如生产运营中的原材料采购、生产、质检、包装、物流等业务模块是紧密相关且价值向后传递的，每个单元要完成的工作都是围绕“产品”这一关键价值而展开。

      类比以上思路，我们来拆解安全运营的价值链，就可以从关键资产/系统的生命周期展开，从关键资产（可以是关基资产或等保二、三级资产）的上线开始到下线结束，将整个生命周期都纳入安全运营的管理过程中。

      安全运营就是站在资产价值链的视角，全局、长周期运营价值资产的安全状态的过程。照此逻辑拆解，安全运营的业务链条也就呼之欲出了，我们把这个业务链条拆解为资产运营、脆弱性运营、告警/事件运营、知识运营、监管运营（预警/预案/培训/运营评价）、迭代的安全防护建设和策略运行等业务模块。这些安全业务模块之间的逻辑关系如下图所示。

    我们逐一来解释每一个业务模块。

• 资产运营：从资产的价值链生命周期的逻辑看，资产运营的主要对象应该是关键业务系统，所以组成业务系统的网络、主机、操作系统、数据库、软件系统、业务数据都是关键资产对象。

  资产运营的目标是准确掌握单位内所有关键资产信息，以及资产的运行维护信息，为围绕“价值资产”的安全运营工作提供信息基础。

  资产运营的重点是资产信息的准确、全面和动态更新，当然这也是资产运营的难点。有关资产运营有大量的技术和解决方案，最近比较热的如，资产暴露面管理、资产自动发现、CAASM（Cyber asset attack surface management）理念等都属于此类别的产品或解决方案。

• 脆弱性运营：就像人身体虚弱或免疫系统受破坏就容易染病一样，“价值资产”会因自身脆弱性问题导致众多的安全隐患，进而导致安全事件发生的可能；价值资产本身以及周围资产的脆弱性管理和运营是降低安全隐患发生概率的首要工作。脆弱性运营的目标是尽可能多地修复脆弱性问题（如漏洞、弱密码、配置风险等），降低攻击者利用脆弱性弱点的机会，保护“价值资产”的安全。

  脆弱性运营需要依赖资产运营的成果，包括资产的相关系统、版本、端口等信息，在脆弱性运营需要多人协同完成时，也需要资产的责任人、组织部门等信息。脆弱性运营相关的技术和产品较多，如漏洞扫描系统、公开的漏洞知识库、其他脆弱性识别和管理的工具等。

• 告警运营：就像人得了感冒会发烧、流鼻涕一样，大量的安全系统在检测到攻击行为时都能产生告警。通过多年的防护能力建设，采购了大量的安全管控、检测和审计类产品/系统，防火墙、IDS、数据库审计、DLP等等产品的告警都需要查看和处置，处置告警的过程也就是告警运营，本文谈的告警运营局限在威胁/异常/违规类别，不包括故障等的运行告警。

  告警运营的目标是通过告警的分析，发现有价值的攻击/异常/违规事件，分析、溯源、处置事件，清除或控制影响，并修复防护、检测策略；同时积累经验变成本地化的知识，持续保护“价值资产”。告警运营的重点和难点是如何从海量告警或日志中找到有价值告警/事件，通过多告警的聚合、关联等技术可以降低告警量，凸显价值告警，帮助运营者高效的处置告警，比较典型的如SIEM产品。

  告警运营也需要依赖资产运营的成果、脆弱性运营的成果和知识运营的成果，资产是告警运营的基础，脆弱性信息是告警运营判断事件准确性的依据，知识经验可帮助准确高效处置告警。告警运营用到的技术或产品也很多，也是安全防护建设的重点，平台类的产品有SIEM、态势感知、SOC等，产品类的有流量检测、WAF、蜜罐、EDR等。

• 知识运营：就像久病成医的说法一样，得病和治病的过程逐渐总结后也就有了预防和治疗的知识经验。告警运营、脆弱性运营、监管运营都会产生大量有价值的处置案例和经验，经验知识化，并反向指导各运营过程的具体执行操作，就实现了知识运营的价值落地。知识运营的关键点有两个，一是如何将关键有价值的知识抽象标准化输入知识库，二是知识库中的大量知识如何自动化/半智能化的推荐给运营者使用，提升日常运营的效率和质量。知识运营的内容可包括合规类、溯源分析类、事件处置类、脆弱性处置类等多种。

• 监管运营：监管运营（没有想到更合适的词，先这么用着吧）是指监督本级、下级或横向单位等的运营过程和质量，管理本级运营的能力和合规评价工作。是要站在运营能力提升的角度，通过培训、检查、评价方法推动安全运营能力和质量的持续上升。监管运营的目标有，评价本级安全运营的过程质量（绩效），推动本级运营能力的提升（培训、预案运营），检查本级安全运营的结果质量（包括合规质量），监督下级单位的运营过程和结果（预警、通报、绩效等）。监管运营是通过监管的方式辅助提升各安全业务模块运营能力的手段，同时本身也是安全运营的一个关键安全业务模块。

• 防护建设和防护策略运行：防护建设指围绕“价值资产”保护的目标，通过实际安全需求的咨询规划，结合安全合规标准持续进行的安全防护能力建设；防护策略运行是指所建设的安全防护、检测、审计、限权等的设备/系统，在长周期运行维护过程中的运行维护和策略配置、更新。防护建设的价值和防护策略的有效性都会在安全运营过程中，得到充分的验证，过程中发现的检测能力缺失（如waf），访问控制条件缺失（如FW），授权过度（如堡垒机）等问题，可以及时记录和尽快执行防护建设的变更和防护策略的更新，进而完善防护体系，形成运营和防护的闭环。需要提醒的是，安全防护建设的信息导入一定是安全运营过程中逐渐总结的经验和建议，只有符合实际安全运营需求的安全建设才是有效有价值的，也只有经过实际运营检验的建设方案才是真需求；而不是大家一般认为的参考行业经验，先做安全防护建设再考虑如何运维和运营，这其实就顺序颠倒了。

      本文用六个安全业务模块概括了安全运营的核心内容，并试图阐述了模块之间的逻辑关系，这里需要强调的是，安全运营本就是一个完整的系统需求，不能割裂来看。单独每一业务模块都有相对标准化的产品或解决方案，但如果忽视安全运营的整体需求，不关注相互之间的逻辑关系，相对独立开展安全模块建设，多模块解决方案的堆砌又形成了一个又一个的孤岛。具体模块之间的逻辑关系，可同时参考图片内容。

      综上，本文理解的“安全运营”不是某一个单一的产品或方案，不是某个厂商就通过一次项目建设就能做好的，也不是通过采购乙方提供的各类安全服务能够完成的。“安全运营”是一套体系化机制，是需要客户需求驱动、推动建设并参与运营的，是依托乙方提供的产品/工具/服务能力之上构建的，是将产品、工具、人、流程、数据、知识打通融合，相互协作构成的一个运营体系。这套运营体系除了“人”，是否可以有一个综合的集成运营平台，容纳各类产品、工具能力、数据、流程、知识，实现良好的人机互动的体验，来提升安全运营的能力和水平？

      后面的文章将逐渐为大家解开。

原文始发于微信公众号（解构安全运营）：开篇：解构“安全运营”