1、关于框架：安全运营三层模型SO3L介绍关于定位：组织和职责是做好安全运营的第一要素关于成长：成长就是不断自我进化关于评价：指标和实战是衡量运营能力的重要手段关于案例：平安集团安全运营团队案例二则作者：刘凯 时间：2020.9.10主题：主题：安全运营提升经验与实践安全运营提升经验与实践关于框架：安全运营三层模型关于框架：安全运营三层模型SO3LSO3L（Direction FrameworkDirection Framework、Work Story and User Case ElementsWork Story and User Case Elements）IDID名称名称关键字关键字说明

2、说明SODF01建设到运行不影响、支持促进建立或维持各项安全措施、流程、工具的可用性、有效性，丰富场景深度和覆盖广度SODF02预警到防御保障、先知先觉收集情报、漏洞、工具等威胁和脆弱性，构建安全防护体系，主动避免、引导、检测或遏制通用攻击、常见违规等行为发生，做到先知先觉、先防先控SODF03事件到行动控制损害、完善监控异常，设置欺骗或诱饵，响应并阻止对手行为，调查影响及反馈SODF04考核到评价正确认知、提升明确对绩效和考核的认知，持续客观评价内外部、供需市场的安全水平SODF05问题到解决向善、更美好采用评估整改、沟通合作、推动专项、工程化自动化等多种举措，将安全风险隐患降至可接受水平图

3、1：SODF建设到运行预警到防御事件到行动问题到解决考核到评价SO3LSO3L名称名称说明说明High level Model运营方向（Direction Framework）是从“结果”出发的不同效能下运营目标集合的抽象分类Mid level Model工作故事（Work Story）是安全运营日常工作目的对应的一系列活动、工作内容或任务Low level Model用例元素（User Case Elements）是对安全运营中如何完成各项运营工作故事的一组高级别的资源描述1L：安全运营方向框架介绍（Security Operation Direction Framework）关于框架：安全

4、运营三层模型关于框架：安全运营三层模型SO3L2LSO3L2L：Security Operation Work StorySecurity Operation Work Story工作故事：提供一种统一且结构化的方式描述安全运营的目的主题，对各项工作活动、内容和任务归类。统一基础统一基础服务化服务化研发安全研发安全纵深防御纵深防御事件管理事件管理能力集成能力集成可衡量可衡量持续改善持续改善树立品牌树立品牌集中建设安全运维监控需求、架构评审安全预警告警处置使用威胁情报度量指标完善资产安全公益标准和规范变更黑白灰盒测试入侵检测紧急抑制预案和演练红蓝对抗收敛受攻击面白帽关怀安全配置基线故障处置APP

5、监测隔离转移攻击向量安全系统间联动定期风险评估优化安全策略组织和参与活动日志集中工单开源检测及控制推动端点覆盖溯源取证关联分析绩效考核专项整改人才培养流量收集标准操作过程新技术引入评估设置欺骗内部调查跨团队应急指挥协调考核评分复盘安全评审服务SLA终端管控事件上报受理协同响应成熟度评价根因分析加固服务目录及定价入侵和违规监控执法反馈流程内嵌安全用户培训定期扫描服务FAQ业务风险控制工程化安全意识宣传备份和恢复漏洞管理知识积累并传递全天时值守标准化和自动化填补关键空白工具开发与集成表1：安全运营工作故事矩阵（SOWS）工作故事（WS）与运营方向（DF）映射关系：WS是实现DF的一组活动内容集，与

6、DF为多对多关系。工作故事：由故事主题（Story Theme）和故事内容（Story Contents）两部分组成，SC围绕ST达成目标。关于框架：安全运营三层模型关于框架：安全运营三层模型SO3L3LSO3L3L：Security Operation User Case ElementsSecurity Operation User Case Elements用例元素（UCE）与工作故事（WS）映射关系：UCE是实现WS的一组最佳实践证明，是多对多关系。培训Tr31元素符合元素名称元素序号发起St1前置条件Pre2提示Hi3验证Ve4升级Es5管理Me6维护Ma7监督Su8反馈Fr9紧急U

7、r10例外Ex11警报Al12操作Op13关闭Clo14网络安全Ns15系统安全Ss16终端安全Es17开发安全Sdl18敏捷运维Do27服务台Hd29脆弱性管理Vm22威胁管理Tm23数据挖掘Dm24监控Mo25应急处置Res26业务安全Bs20数据安全Ds19云安全Cs21治理风险合规Grc28回顾Rev35可视化V37报告Rep36度量Me34绩效Sur33优先级Pr40生命周期Lc42分级分类Cla41参照Ref39抽样Sam38检查Ch45审计Au47测试Te46评估Ev44收集Col43控制Con50审批Ap52清理Cle51修复Rep49更新Up48调查In53共享Sh55追溯T

8、b54沟通Com30宣导P32培训Tr31隐私保护Pp67编排自动响应Soar63检测响应Xdr64数据防泄漏Dlp65数据加密De66安全态势感知Ssa57运营中心Soc56容器安全Cont62信息安全事件Sie58邮件安全Em59APP安全App60端点安全Ept61数据库审计Dba74漏洞扫描Vs70威胁情报Ti71蜜罐Ho72恶意软件沙箱Ms73实时检测Rd69主机入侵检测Hids81Web应用防火墙Waf77网络流量分析Nta78安全基线Sb79反病毒Av80拒绝服务Dos75入侵防御Ips76日志服务Log89网络访问控制Nac85应用程序接口Api86安全代理Pro87通讯加密S

9、sl88身份与访问管理Iam83多因素认证Mfa84取证For82内容过滤Cf68表2：安全运营用例元素表（UCE）用例元素：是一组资源描述，包括流程、人、方法和技术四类要素，是不全面的、不断完善的。人方法技术流程请相信请相信关于定位：组织和职责的合理清晰，是做好安全运营的第一要素关于定位：组织和职责的合理清晰，是做好安全运营的第一要素“用艺术和专注解决安全风险，与业务共筑发展平衡，感受服务、对抗和创新的激情。”我的愿景你怀着什么样的愿景带领安全运营团队发展？当前，安全运营从业者面临着独特的矛盾！当我们做好工作时，什么也不会发生。默默无闻。当我们失败时，才能得到承认和令人羡慕的地位。如履薄冰。

10、当前，企业中信息安全面临着发展的困境！大量投入安全资源，成本中心看不到收益。花钱不赚钱。不投入出现安全事件，监管、舆论、品牌都受影响。生死存亡。请别信请别信对个人，团队规模越大越好：大团队一定比小团队可做的事情多，涉及的方面广，个人发展机会好，规模决定了个人的成长高度对团队，汇报路径越高越好：安全团队汇报的领导层级，体现了企业对安全的重视程度，决定了企业的信息安全整体水平自研比商业安全产品更好：大企业一定是自研和商采相结合，没有谁比谁好只有适合不适合。自研优势是可控、灵活并贴近现状；商采优势是成熟和普世，对安全运营都一样方法方法关于成长：成长就是不断自我进化，在解决问题、面对挑战中呈现运营价值

11、关于成长：成长就是不断自我进化，在解决问题、面对挑战中呈现运营价值 发展同路人技巧技巧 抓主要问题，举一反三，推专项整改 通晒排名，持续提醒，自动跟催 网络和主机上的安全措施，要充分考虑服务降级、中断、逃生 海量面前，先设计和完善架构，再工程化实现，要考虑分布式、分级管理、多用户、大并发、联动、频繁操作等场景 同一安全措施，确保双保险，保留替代方案 增加紧迫感 清晰差距、明确风险、识别机遇 触动大家的心弦能力意愿高高低跟随者消极反对者积极响应者积极反对者重新指定、培训、沟通培训、沟通推动帮助、关注、授权谈判、动员、斗争有意愿，无能力有能力，有意愿有能力，无意愿无意愿，无能力 创造共同利益对不同

12、类型团队和人，采取不同策略 历史遗留的安全风险管控关键，是严控增量、缩减存量，灰度推进 善用自查，定期回顾，统一考核评分 从无到有，从有到优，从优到全 透过报表看管理，透过报表看价值关于评价：指标和实战，是衡量安全运营水平的重要手段关于评价：指标和实战，是衡量安全运营水平的重要手段指标：既是手段，也是目的，是定量的评价实战：不仅为了发现问题，更是为了引起重视，是定性的评价 不同发展阶段，不同产品和场景，考核和评价指标应动态调整 部署覆盖率 使用率建设期深度使用期瓶颈期 可用性和弹性 用户满意度 自动化率 数据质量 核心价值指标 重现率 指标关注要点 指标内涵：反应了什么，说明了什么 单位：百分

13、比、趋势、时间、数量等 计算范围：时间周期（日/周/月）、统计范围 计算规则：计算公式 数据采集方式：人工统计、自动计算 使用场景：考核、汇报、展示等 红蓝对抗 钓鱼演练 事件复盘 案例警示和案件威慑 例外和特权监控关于案例：平安集团安全运营团队案例一则关于案例：平安集团安全运营团队案例一则 大规模系统漏洞扫描分享100+/任务批次40+/扫描器探针3000+/C段10w+/扫描对象手工生成报告下载策略管理繁琐各区域网络不通资产变化频繁分布式部署，集中管理资产IP自动匹配扫描器探针CMDB同步资产扫描的一般痛点：网络复杂，各区域隔离，扫描器探针全网打通，风险大 资产扫描时间不可控，扫描周期长

14、扫描报告整理繁琐，手工整理工作量大，易出错报告自动保存指定路径规模现状规模现状核心问题核心问题改善实践改善实践关于案例：平安集团安全运营团队案例二则关于案例：平安集团安全运营团队案例二则 内网知识共享平台（Wiki）专项整改分享 表3：部分WIKI系统漏洞列表类型高危漏洞列表存在问题的版本处理建议Confluence未授权模板注入/代码执行(CVE-2019-3396)6.6.12版本之前所有版本6.7.0-6.12.2版本6.13.3之前的所有6.13.x版本6.14.2之前的所有6.14.x版本更新到新版本或禁用相关插件文件读取漏洞(CVE-2019-3394)6.1.0=version

15、6.6.166.7.0=version 6.13.76.14.0=version=8.9.0更新版本至11.0.4,10.8.6,and 10.7.7及最新版模版 API 目录遍历漏洞(CVE-2018-19856)GitLab CE/EE 8.11 及之后的版本更新版本至11.5.3、11.4.10 或11.3.12 中的任意一个版本DoKuWiki执行任意程序(CVE-2017-18123)DokuWiki 2017-02-19e及之前版本更新至2017-02-19e之后的版本 表4：敏感信息类型及样例账号密码信息重要接口信息数据库连接信息网络拓扑信息源代码信息密钥信息专项目标及内容：摸排当前已有Wiki数量、部门属主、版本、负责人等基础信息 部门内自查整改和安全团队验证，包括认证和账号整改、漏洞修复整改、敏感信息整改 研发自动化监控平台，实现新增Wiki发现、监控账号、敏感信息留存及告警邮件通知等功能，对接SOC平台总结过往，一个重要的教训：安全做不好，关键是缺乏对安全的理解，以及对运营的认知和敬畏！谢谢！