一、引言
度量是安全运营的重要部分,对安全过程的度量使运营工作有的放矢,对安全态势的度量使安全运营的成果可视化。
在2021 RSA大会中,《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》列举了网络安全能力度量中常见的问题:缺少对网络安全风险的全局视角、缺少衡量风险的一致性方法、缺少不同组织间的比较基准、缺少业务角度的风险测量以及针对安全开支的判断能力等,导致评估结果无法充分发挥作用;此外,CRO、CISO、执行领导等多种角色在网络安全上有各自的关注点,单一维度的安全状态评估通常无法同时满足各相关方的需求;建议综合多个维度建立全局度量模型,形成可靠的评估结论。
《Building a Global Cyber Rating How to Objectively Rate Cyber Capabilities》
FireEye的议程《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》则谈到传统的MTTR指标并不能有效地帮我们发现运营工作的缺陷,有意义的指标应为我们提供信心并推动变革。议程建议引入分析工作、健康度、过程偏差等指标,更有针对性地评估安全运营工作的有效性。
《Your Metrics Suck! 5 SecOps Metrics That Are Better Than MTTR》
可见安全的模糊既是安全运营要解决的问题,也是安全运营本身存在的问题。同时,“智慧安全3.0”理念提出了全场景、可信任、实战化的特性,对安全运营提出更高的要求。
因此,我们提出网络安全运营能力成熟度模型,尝试客观地评估安全运营的能力,并能在运营能力建设和发展过程中作为参考。本文“网络安全”皆对应“Cybersecurity”,而不特指网络的安全。
二、模型概述
安全运营是为了实现组织的安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程,满足组织信息安全的动态性、持续性和整体性需求。对比“安全运营”与“安全”,我们认为安全运营是保持和提升安全状态与安全能力的过程。
国际上已经有多个比较完善的安全能力成熟度模型,例如CMMC、C2M2、NIST CSF、SSE-CMM。参考这些模型,我们在安全运营的语境下提出成熟度级别、过程域、能力类型三个维度,将安全运营能力划分为五个成熟度等级和多个过程域,各个过程域又从组织体制、流程规范、人员能力、技术工具四个方面拆分为基本实践,各自按照统一的方式评估过程成熟度。总体结构如下:
三、 成熟度级别
参考CMM类模型,本模型包含的五个成熟度级别总体上按照基本执行、计划跟踪、充分定义、量化控制、持续改进的思路来划分,带入到安全运营的语境下。然而安全的持续改进本身就是安全运营的主要内容,因此级别的执行、定义、量化和改进也都是针对安全能力提升的过程,而不直接等同于安全(执行)过程。例如传统CMM的级别4要求实现过程的量化控制,而本模型在级别3要求实现安全执行过程的量化控制,因为这本就属于安全运营的核心能力,在级别4实现安全运营过程与结果的量化管理。各成熟度级别如下:
ML0 初始状态
无安全运营活动,安全能力不发展甚至可能随着威胁的发展而衰退。
一般特征:特事特例地执行安全工作,没有制度化。
注:这是没有开展安全运营工作的状态,不在五个成熟度等级内,为了明确区分也列在此处,基本对应SSE-CMM、CMMC等模型的一级。
ML1 基础运维
执行最基本的安全运营工作,由外部因素推动维持基础安全状态。
一般特征:
a. 被动、局部识别安全需求
b. 面向合规建设安全能力
c. 安全工作形成流程规范
d. 有计划地执行安全工作
e. 提供基本的资源保障
典型状态:根据合规要求部署了一些安全设备、设计了管理制度,定期巡检安全设备、处置发现的事件。
ML2 过程改进
有计划地执行部分安全运营工作,对安全提升有一定的主动投入,能确保基本的能力提升。
一般特征:
a. 识别主要网络安全威胁
b. 领导层牵头安全建设
c. 安全过程标准化
d. 安全过程包含改进环节
e. 为安全能力提升提供必要的资源
典型状态:安全设备和流程制度比较完备,有独立的安全团队,实现一些跨团队流程,能够识别执行过程的问题并尝试改进。
ML3 体系构建
全面建立安全运营体系,充分定义运营过程,管理和执行运营过程,有效提升安全状态。
一般特征:
a. 主动、全面地识别网络安全威胁
b. 系统地规划安全能力
c. 安全能力提升形成标准化过程
d. 对安全过程实现量化控制
e. 验证并保障安全机制的有效性
f. 安全工作成果可视化
g. 内外部相关方充分参与安全工作
h. 持续提升安全人员能力
典型状态:有一定规模的独立安全团队,建立了安全运营中心,有安全运营团队持续监控安全态势,根据数据定期评估、改进流程。
ML4 运营量化
对安全运营过程实现量化的认知和控制,可定量评估运营成果,实现安全与业务的同步发展。
一般特征:
a. 充分识别业务风险
b. 将业务目标转化为量化的安全目标
c. 形成系统的安全能力发展方法
d. 评估和控制安全能力提升过程有效性
e. 安全发展与业务发展保持同步
f. 体现安全对业务的支撑作用
典型状态:建立了较大规模的安全团队,岗位分工明确细致,实现了丰富的业务安全能力,积极引入安全运营的新技术新方法并有效应用,内外部安全数据被充分挖掘利用。
ML5 运营优化
持续有效改进运营过程。
一般特征:
a. 建立持续提升运营能力的机制
b. 在业务领域具备安全的开拓能力
c. 安全深度集成在组织的制度中
典型状态:建立了庞大的安全团队,安全能力长期保持在行业领先位置,能够按照业务发展方向准确识别和实现自身安全需求。
四、能力类型
模型从组织体制、流程规范、人员能力、技术工具四个能力类型出发量化过程能力。其中流程、人员、技术是业内普遍接受的安全运营组成部分,但在这三者组成的体系成立之前,还需要确定安全目标、资源调配、沟通协调等工作,因此模型增加了组织体制这一能力类型。
1. 组织体制:组织体制对于设计并实现安全运营体系的保障能力,如架构调整、资源保障、职责分配、业绩考核等。
2. 流程规范:安全运营过程相关的流程的规范性、完善性和有效性。
3. 人员能力:安全运营过程相关人员的专业能力和安全通识能力,以及相关的能力建设。
4. 技术工具:支撑安全运营中人员与流程运转以实现安全功能的技术或工具。
五、过程域
根据模型的关注点,由一般的安全运营工作总结梳理出15个过程域,每个过程域代表安全运营中的一类工作过程,各过程内容不重叠,但相互关联配合共同实现安全运营目标。
各过程域的内容在此暂不详细展开,仅以资产管理为例展示各成熟度级别下的实践内容。
PA01 资产管理
ML1 基础运维
组织体制
1. 安全策略包含资产管理
流程规范
2. 建立并维护资产清单
人员能力
3. 人员充分了解资产清单维护的过程
技术工具:无
ML2 过程改进
组织体制
1. 业务方配合资产管理流程
2. 建立事故处罚机制
流程规范
3. 建立资产基线并有计划地发现异常资产
4. 分析异常并调整资产管理策略
5. 建立资产上下线安全管理流程
6. 明确资产责任人
人员能力
7. 能够识别异常资产情况出现的原因
技术工具
8. 资产基线信息模板
9. 基于资产基线发现异常资产的技术
ML3 体系构建
组织体制
1. 设计覆盖资产管理的安全体系,并将资产管理纳入组织级制度
2. 资产管理纳入各相关方考评体系
3. 建立专职团队承担资产管理职责
流程规范
4. 基于业务情况建立资产分类分级管理规范和流程
5. 资产基线覆盖组件、版本、配置等详细信息并实施管理
6. 建立资产全生命周期管理流程
7. 建立资产管理过程的度量指标
8. 定期评估资产管理中各项措施的有效性
9. 资产管理流程标准化并覆盖全部相关方
10. 识别资产管理过程存在的问题并改进
人员能力
11. 建立覆盖资产管理的知识库
12. 能够基于流程和知识库评估资产级别
13. 能够评估资产变更可能产生的风险
14. 能够基于资产管理的记录结合业务情况发现制度存在的问题
技术工具
15. 识别资产组件、版本、配置等详细信息并与基线对比差异的技术
16. 支撑各相关方参与资产全生命周期管理流程的平台
ML4 运营量化
组织体制
1. 资产管理过程的改进效果纳入考评体系
2. 明确业务发展目标
流程规范
3. 将业务发展目标拆解为量化的资产管理优化目标
4. 评估知识库对资产管理的提升作用
5. 针对各项提升资产管理能力的过程建立度量指标
人员能力
6. 人员具备运营过程执行和管理能力
7. 人员具备针对运营过程建立度量模型的能力
技术工具
8. 准确、全面记录资产管理执行和改进过程数据的系统
9. 提供数据分析能力的系统
ML5 运营优化
组织体制
1. 设立长期安全目标
2. 设立运营优化岗位
流程规范
3. 持续分析业务演化对资产管理的需求
4. 持续评估资产管理提升机制的有效性
5. 基于业务和数据分析改进资产管理运营机制
人员能力
6. 运营体系优化设计能力
技术工具
7. 运营优化体制支撑技术与平台
六、 总结
近年来网络安全环境快速变化,技术发展催生出云计算、大数据、工业物联网等安全新场景,威胁的演进导致勒索软件、供应链威胁等新形态,网络安全法、关基条例、数据安全法等法律法规相继出台,在国产化、新基建、数字化等浪潮中,客户需要能够灵活应对安全环境变化、快速响应、自适应的安全能力,而这正是安全运营要面对的问题。
围绕智慧安全3.0“全场景 可信任 实战化”的理念体系,我们也在重新审视和理解安全运营,本文的模型是一次初步的尝试,我们将在今后的运营工作中进一步探索、实践和完善。