現(xiàn)代企業(yè)網(wǎng)絡(luò)安全運(yùn)營的核心并不是部署防火墻和殺毒軟件等安全工具，而是要真正理解安全防御的機(jī)制、人員分工和協(xié)作流程。正如Google Maps(谷歌地圖)徹底改變了駕車出行時(shí)的導(dǎo)航模式一樣，通過流程映射繪制一張指導(dǎo)網(wǎng)絡(luò)安全運(yùn)營的“電子地圖”，可以徹底改變組織理解和管理網(wǎng)絡(luò)安全運(yùn)營工作的方式。

　　什么是網(wǎng)絡(luò)安全運(yùn)營“谷歌地圖”?

　　我們過去常常依靠紙質(zhì)地圖來進(jìn)行導(dǎo)航，這種行為既危險(xiǎn)又不方便。出于便捷和安全考慮，Garmin和TomTom等公司花費(fèi)巨資研發(fā)“逐向”(turn-by-turn)導(dǎo)航GPS系統(tǒng)。而當(dāng)“谷歌地圖”問世后，紙質(zhì)地圖的時(shí)代被徹底終結(jié)，逐向?qū)Ш侥Ｊ阶兊貌豢苫蛉薄?/p>

　　除了更加便捷和智能，“谷歌地圖”還演變出了很多新的用例，人們可以像使用搜索引擎一樣使用地圖，獲取目標(biāo)單位的評級、營業(yè)時(shí)間、服務(wù)類型或商品數(shù)量等。

　　而在網(wǎng)絡(luò)安全的場景中，多數(shù)組織目前仍在使用“紙質(zhì)地圖”來指導(dǎo)網(wǎng)絡(luò)安全運(yùn)營工作，例如：以手動(dòng)方式更新的任務(wù)表格;以人工方式解析日志文件;依靠安全專家的人工分析實(shí)現(xiàn)事件串聯(lián);通過集中式的會(huì)議部署安全事件響應(yīng)流程。這正是網(wǎng)絡(luò)安全運(yùn)營工作既痛苦又耗時(shí)的根本原因所在，同時(shí)也是當(dāng)今網(wǎng)絡(luò)安全防護(hù)效率低下和偏差的重要原因。

　　從本質(zhì)上說，組織的網(wǎng)絡(luò)安全能力建設(shè)是一個(gè)持續(xù)的運(yùn)營過程，而不是大量產(chǎn)品的堆疊。而無數(shù)的實(shí)踐表明，人類在處理視覺信息時(shí)會(huì)比處理其他格式的信息更高效。對于網(wǎng)絡(luò)運(yùn)營領(lǐng)域的“谷歌地圖”，運(yùn)營人員會(huì)有一種與生俱來的“導(dǎo)航”(mapping)感。

　　在線地圖工具是歷史上最受歡迎的應(yīng)用之一，這是有原因的。通過將這些經(jīng)驗(yàn)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，我們可以利用地圖的力量來提高網(wǎng)絡(luò)安全團(tuán)隊(duì)的效率，并最終清晰地獲得一幅可以讓我們不斷學(xué)習(xí)和改進(jìn)的安全運(yùn)營“行動(dòng)指南”。

　　網(wǎng)絡(luò)安全“谷歌地圖”構(gòu)建指南

　　那么，如何才能將網(wǎng)絡(luò)安全運(yùn)營工作從“紙質(zhì)化”和碎片化的低效模式，轉(zhuǎn)變?yōu)橐粋€(gè)可提供類似于“谷歌地圖”的“逐向”可見性和智能規(guī)劃模式呢?答案就是采用流程映射思維并構(gòu)建安全旅程的實(shí)時(shí)可視化表示，即建立一個(gè)智能化安全工作流的“谷歌地圖”。而組織可以參考以下步驟，繪制適合自己的網(wǎng)絡(luò)安全“谷歌地圖”。

　　步驟1：定義關(guān)鍵路徑

　　企業(yè)并不需要映射組織中所有的數(shù)字化活動(dòng)內(nèi)容，只需跟蹤和關(guān)鍵安全流程或工作流相關(guān)的重要元素和工具即可，其中包括：

　　確定關(guān)鍵流程：從最重要的安全工作流開始。這可能包括事件響應(yīng)、漏洞管理、威脅獵殺、重要數(shù)據(jù)保護(hù)或合規(guī)性審計(jì)等。

　　繪制地形：將每個(gè)流程分解為單獨(dú)的步驟，并準(zhǔn)確了解誰牽涉其中?采取了什么行動(dòng)?使用了什么工具?確保對每個(gè)流程的分解要細(xì)致入微。

　　步驟2：設(shè)計(jì)安全地圖

　　“谷歌地圖”的奇妙之處在于通過強(qiáng)大的視覺體驗(yàn)就能夠直觀地展示并簡化目標(biāo)路徑。對于安全運(yùn)營工作而言同樣是這樣，組織需要遵循如下原則：

　　選擇合適的繪圖工具：有許多選項(xiàng)可供選擇，從具有動(dòng)態(tài)節(jié)點(diǎn)的簡單流程圖軟件到專門的網(wǎng)絡(luò)安全流程繪圖平臺(tái)。理想的工具將允許安全運(yùn)營者創(chuàng)建動(dòng)態(tài)的、交互式的流程圖，可以實(shí)時(shí)更新，并根據(jù)任何關(guān)鍵屬性(角色、條件、位置、流程類型)對其進(jìn)行過濾。

　　與重要安全工具集成：要將地圖鏈接到SIEM、訪問控制、端點(diǎn)管理、電子郵件和安全編排等工具。這才能使這份“地圖”實(shí)時(shí)反映當(dāng)前的安全運(yùn)營操作狀態(tài)，并以可視化的方式展現(xiàn)誰做了什么，以及是在什么時(shí)候發(fā)生的。工具集成的同時(shí)，還應(yīng)該在可視化流中提供交互的時(shí)間軸，以便運(yùn)營者可以輕松快速地瀏覽感興趣的流程。

　　構(gòu)建地圖：這份地圖必須提供完整的活動(dòng)鏈以及對嵌套操作和反應(yīng)的可見性，以正確捕捉網(wǎng)絡(luò)安全團(tuán)隊(duì)導(dǎo)航其工作的方式。因此，需要將每個(gè)過程的步驟連接成一個(gè)可視化的流程，使用顏色編碼來突出不同的團(tuán)隊(duì)、狀態(tài)或潛在的瓶頸，還可通過添加注釋和標(biāo)記來提供上下文。

　　步驟3：通過映射校準(zhǔn)安全流程

　　當(dāng)已經(jīng)建立關(guān)鍵安全流程的地圖和可視化任務(wù)后，組織可以部署一個(gè)功能強(qiáng)大的安全商業(yè)智能(BI)工具，以實(shí)現(xiàn)可視化地檢查和分析不同的流程如何導(dǎo)致不同的結(jié)果。這是安全性能調(diào)節(jié)中很關(guān)鍵的部分——優(yōu)化人的因素，要真正了解運(yùn)營人員你實(shí)際在做什么，而不是儀表板顯示他們在做什么。為此，組織可以遵循如下方法：

　　按類型分析流量模式：映射特定類型的事件如何流經(jīng)流程以及如何執(zhí)行不同的任務(wù)。哪里有延誤?有沒有什么不在設(shè)計(jì)中的實(shí)現(xiàn)路徑?運(yùn)營人員是否會(huì)跳過規(guī)定步驟或不遵守規(guī)定?他們是否在自作主張地“優(yōu)化”流程?

　　調(diào)查特定事件：使用當(dāng)前的電子地圖調(diào)查特定事件或操作，從響應(yīng)妥協(xié)指標(biāo)(IoC)到修復(fù)高危零日漏洞。看看究竟發(fā)生了什么?或者錯(cuò)過了什么?

　　識(shí)別流程風(fēng)險(xiǎn)并優(yōu)化劇本：更新您的流程以簡化工作流，消除不必要的步驟，并自動(dòng)執(zhí)行重復(fù)的任務(wù)。

　　步驟4：根據(jù)安全環(huán)境演變持續(xù)不斷優(yōu)化

　　對于改善網(wǎng)絡(luò)安全運(yùn)營成效，“谷歌地圖”是一個(gè)了不起的產(chǎn)品。但是就像在使用“谷歌地圖”時(shí)，我們也不可避免地會(huì)遇到過錯(cuò)誤。類似地，組織的安全運(yùn)營流程地圖也需要不斷更新，才能跟上組織、工具和流程中的變化。組織的安全環(huán)境在不斷變化，因此需要定期檢查和更新網(wǎng)絡(luò)安全地圖，以映射新的威脅、工具或流程。

　　原文鏈接：https://www.helpnetsecurity.com/2024/06/18/mapping-security-process/