导读
历经八年,聚合行业安全专家智慧,凝练行业安全最佳实践,《数字时代:基于行业最佳实践的生态化安全能力基础库》于2024年6月22日在第四届数字安全大会上正式发布。
该研究成果是在中国信息协会信息安全专业委员会的指导下,由PCSA安全研究院、联盟成员,联合行业用户和产业各方,深刻总结提炼安全能力管理与应用面临的共性问题和顽疾,基于行业最佳实践提出生态化安全能力基础库(以下简称“安全能力基础库”),旨在为网安产业、行业用户和安全从业者提供一个安全能力管理与应用方法。
本研究工作自2016年10月开始,历经八年累积沉淀,在实践中已完成19大安全领域、43种安全能力、245个安全能力(以API为主)对接,主要实现:
• 安全能力统一纳管与实战验证
• 安全能力生态闪接与互通互联
• 安全能力打牢基座与模型固化
缘起
监管单位
长期推动网络安全产品互通互联、信息共享,清晰化类别与代码政策及标准出台,推动创新发展
运营单位
主要解决网络安全产品统一管理、生态能力聚合、互通互联、信息共享、数据质量、实战效果、自动化/智能化效能提升、投资有效性等
产业单位
期望有明确的统一互通互联、信息共享、能力接入标准,打破行业壁垒,能够互信互利
历程
PCSA秉承“质由新生,信仰共造”的理念,聚合中国关键安全能力赋能数字智能时代。
2016年10月,PCSA安全能力者联盟成立
2016年12月,工作方案通过专家评审会
2018年5月,召开安全能力审核说明会
2020年5月,安全防御能力全景研究(20年度图)
2021年3月,安全能力基础库定位研究(21年度图)
2022年6月,网络安全场景应用研究(22年度图)
2023年6月,数据安全场景应用研究(23年度图)
能力接入
2019年,完成60+安全能力接入
2020年,完成78安全能力接入
2021年,完成127安全能力接入
2022年,完成180安全能力接入
2023年,完成198安全能力接入
2024年,完成245安全能力接入
申请接入基本原则:
要求为国产原创(非OEM),至少两年技术投入,产研技术团队不低于10人,并且已在实网环境有运行并产生实际效果,接入的接口形式以API为主,通过PCSA安全专家团队能力评审、技术接口评估、数据质量评估,验证通过后,面向公众发布一图一描述一评价。
计划
2024年5月-6月,一年一图开展专家意见征求
2024年6月22日,正式公开发布
后续计划,多轮研讨、持续改进、落地行业
鸣谢
产业研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、数世咨询、数说安全、CIO时代/安全学院、FREEBUF、特大号、斯元商业、国信政务云等
行业实践力量:能源、金融、交通、建筑、地方大数据局等众多行业及安全专家
注:本文约1.6万字,预计阅读时间 10 分钟。欢迎各行业和产业安全专家反馈改进、共同完善、交流合作。
声 明
本文《数字时代:基于行业最佳实践的生态化安全能力基础库》中涉及的内容,包括但不限于文本、图片、数据、表格、观点等各种形式,已取得相关著作权,严格遵循国家网络安全法律法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性经验,意在开展深度交流、学习及研讨。科技创新、学无止境,尊重原创、尊重创新,转载、摘编使用本文图片、文字或观点等的应注明来源。未经授权许可,任何法人单位及个人不得用于商业目的使用。违反上述声明者,我司可追究其相关法律责任。
一、研究背景
十几年安全合规建设与近些年攻防实战演练,数字化组织购买了大量的安全能力,经历不同历史时期,呈现出品类众多、安全异构、孤岛式、碎片式等状态,根据从监管单位、行业用户、产业领域的众多调研,共计总结提炼了三大困惑八个关键视角,阐述如下:
困惑一:安全能力买了很多,用的如何?效果如何?是否持续投入?
从调研情况来看,众多行业用户的安全决策者、管理者和运营人员安全能力管理工作缺乏全局视角,无法快速掌握与评价安全能力应用效果,无法高效决策安全能力投资需求,在面对安全实战与日常运营工作时,面临诸多挑战。
01、安全决策者视角
安全决策者在数字化组织中通常负责整个安全战略方向和投资决策的制定。
面临安全能力效果作用评估难:随着数字化组织购买的安全产品和服务日益增多,安全决策者需要评估这些安全能力在实际应用中的效果。然而,由于安全能力的多样性和复杂性,很难准确衡量它们对企业整体安全状况的贡献。
面临是否持续投入决策难:在安全领域,持续投入是必不可少的。然而,如何确定哪些安全能力值得长期投入,哪些需要调整或替换,是安全决策者面临的难题。
02、安全管理者视角
安全管理者负责整个网络安全防御体系架构,负责组织队伍应用安全能力开展网络安全工作。
面临安全能力供应商多:随着安全市场的快速发展,安全能力供应商如雨后春笋般涌现。这些供应商提供的安全产品和服务种类繁多,功能各异。对于安全管理者来说,选择合适的供应商和产品成为很重要的工作。
面临安全能力层次不齐:不同的安全能力供应商提供的产品和服务在技术水平、功能覆盖和效果表现上存在差异。这种能力层次的不齐需要花费大量的时间和精力去评估和筛选合适的安全能力。
面临安全能力成熟度不易评价:安全能力的成熟度评价没有统一的标准,更多基于实际环境和实战应用效果,很难用具体的指标来衡量。不同的能力大部分是基于在数字化组织的实际应用情况来进行评价。
面临分类不清、数量不清、部署不清:随着安全能力的不断增加和更新,安全管理者需要建立一套完善的管理体系,用来对各种安全能力清晰的分类和标识。在实际操作中,由于安全能力的多样性和复杂性,使得分类和统计变得十分困难。同时,部署安全能力也需要考虑多个因素,如网络环境、硬件设备、人员配置等,这些都会影响到安全能力的部署效果和效率。
03、安全运营人员视角
安全运营人员负责安全能力的日常运营和维护,负责实战攻防监测、分析、研判、防御。
面临安全能力烟囱式状态:由于历史原因和业务需求的不同,安全能力往往呈现出烟囱式的分布状态。导致需要很多的安全运营人员管理多个独立的安全系统。
面临安全能力在线运行情况不明:安全运营人员需要实时了解安全能力的在线运行情况,以便及时发现和处理安全问题。由于安全能力的多样性和复杂性,很难准确掌握它们的实时状态。
面临安全能力策略执行效果不清:安全策略是安全防御体系的核心组成部分。在实际执行过程中,由于各种因素的影响,安全策略的执行效果往往难以达到预期。
面临安全能力实战效果不佳:能力分散反应不及时,在面对真实的安全威胁时,安全能力的实战表现较差。
困惑二:互通互联本是刚需,实现之路困难重重
实战化检验下,通过技术层面实现安全能力的互通互联,形成高效的整体防护,已是运营单位安全工作的基础要求,更是真实刚需。安全产业呼吁十余年,但仍未突破“互通互联”壁垒,持续困扰着众多数字化组织。
01、政策标准视角
政策标准的制定是一个复杂而漫长的过程,标准的制定者通常是监管机构、行业专家、院校学者以及产业单位,基于对整个行业的理解和判断,提出相应的标准和规范。然而,这些标准和规范往往滞后于实际的安全需求和技术发展,因为它们需要经过长时间的讨论、修改和批准过程。同时,标准制定者和实际应用者之间也存在一定的行业的群体性差异,标准制定者可能更注重整体性和规范性,而实际应用者则更关注具体性和实用性。这种差异导致标准制定与实际需求之间存在一定的偏差。
02、行业视角
从行业视角来看,实现安全能力的快速生态聚合与互通互联已经成为迫切刚需。在实战化、体系化、常态化的背景下,数字化组织需要构建一个全面的、多层次的安全防护体系,方可应对各种复杂的安全威胁,做到迅速响应并有效应对。
03、产业视角
从产业视角来看,安全能力互通互联需要建立在相互信任的基础上。然而当前安全产业之间存在天然的信任鸿沟,这是由于不同的安全厂商、服务提供商和运营商之间在技术标准、产品性能、服务质量等方面存在差异和竞争关系所导致的。这种信任鸿沟不仅影响了安全能力的互通互联效果,还增加了整个安全生态的复杂性和不确定性。
困惑三:安全能力数据聚合难,安全数据治理难,安全经验固化难
安全业务平台化已是业内共识,无论是SOC、SIEM、XDR、态势感知,还是安全中枢/安全大脑,都依赖于“可信数据”、“黄金数据”,但现实情况下,安全能力数据聚合难、安全数据治理难、安全经验固化难已经成为行业用户面临的三座大山。
01、安全能力数据聚合视角
在安全业务平台化的趋势中,数据聚合是构建有效安全防护体系的关键环节。然而,现实情况下,安全能力数据聚合面临多重挑战。
1)线路选择的挑战
a. 大而全的策略
选择大而全的数据聚合策略意味着尝试收集所有可能相关的安全数据。这种做法看似全面,但实践中往往存在“脏数据”的问题。由于数据来源广泛、格式不一、质量参差不齐,大量的无效、冗余甚至错误数据会被引入,给后续的数据分析和处理带来极大困难。此外,存储这些庞大且复杂的数据集也需要高昂的成本。
b. 精而细的策略
选择精而细的策略则注重选择高质量、关键性的数据进行聚合。这种策略能够在很大程度上避免“脏数据”的问题,但需要专业人员对数据源进行精心筛选和评估,并对数据进行专项治理。此外,由于数据精细化程度高,对人员的要求也相应提高,需要具备深厚的安全知识背景和丰富的实践经验。
2)共性挑战
a. 安全能力效果评估
在聚合安全能力数据之前,需要对各种安全能力进行评估,确定其适用范围、有效性以及与其他能力的兼容性。这个过程需要深入理解各种安全技术的原理和特点,并结合实际的安全需求进行综合分析。
b. 安全能力接口开发及上线验证周期长
由于安全能力数据通常来自不同的系统和设备,需要开发相应的接口来实现数据的互联互通。然而,由于不同系统和设备的技术差异和接口标准不一,接口开发往往需要耗费大量的时间和精力。同时,为了保证数据的准确性和可靠性,还需要进行严格的上线验证测试,这也进一步延长了数据聚合的周期。
02、安全能力数据治理视角
安全能力数据治理是确保安全数据质量、提升数据价值的关键环节。在现实中,安全能力数据治理面临诸多挑战。
1)安全能力数据治理持续性工作
安全能力数据治理是一个持续性的工作过程,需要定期对数据进行清洗、整合、分析和评估。同时,由于安全威胁的不断变化和数据量的不断增长,数据治理的工作量也会相应增加,需要固定的团队、人员和工作环境以及平台固化,形成自动化;
2)需要“结硬寨,打呆仗”精神
安全能力数据治理需要投入大量的人力、物力和财力,而且效果往往不是立竿见影的。这要求数字化组织具备坚定的决心和持久的耐心,以结硬寨打呆仗的精神来推进安全能力数据治理工作。只有持之以恒地投入和努力,才能逐步改善数据质量、提升数据价值。
3)安全能力数据治理高级人才短缺
安全能力数据治理需要具备深厚的数据分析能力和安全专业知识的高级人才来支持。然而,在现实中,这类人才往往供不应求。缺乏算法工程师、高级别分析工程师等高级人才将严重影响数据治理的效果和效率。
4)安全能力数据模型固化机制缺失
即使已经产生了一定的数据集,但由于缺乏有效的模型固化机制,这些数据往往难以形成有效的安全防御模型。
二、核心思想解读
总体架构
《数字时代:基于行业最佳实践的生态化安全能力基础库》的核心思想总结为“6-1-3-N”架构
“6”大核心目标
统一纳管、生态闪接、打牢基座互通互联、模型固化、实战验证
“1”套聚合机制
以API方式为主进行安全能力对接;持续建立多品类、多生态的安全能力互通互联服务模式
“3”层关键要点
能力一体管理、能力数据工程、能力服务门户
“N”个赋能场景
全维全域监测中心、快速持续响应中心、智能分析算法对抗、精准研判预测中心、动态纵深防御中心、战略决策指挥协同……
架构解读
“6”大核心目标
01、统一纳管
统一管理不同来源、不同分类、不同厂商的安全能力,实现安全能力“看得清、管的住、实时监控”
02、生态闪接
内置标准的安全能力对接机制,提供200+生态化能力对接模板,实现安全能力“秒级接入、精准采集、高效服务”
03、打牢基座
通过能力一体管理和能力数据工程,构建安全能力管理和评价机制,落实安全数据治理,形成高质量安全数据集,为打牢安全工作基座提供有效支撑
04、互通互联
建立生态安全能力互通互联模式,有效共享高质量安全数据,协同安全产品功能应用,提升安全防护能力和网络安全事件处置效率
05、模型固化
基于安全数据集,结合特征工程,固化专家经验,形成场景化的数据模型,快速从海量数据中定位、发现、感知异常状态,为上层系统、专家分析决策提供支撑保障
06、实战验证
持续积累实战经验,构建多类型的安全能力、安全数据集的有效工作机制,为用户挑选、评价与验证“真”能力,为体系对抗和日常运营提供有力支撑
“1”套聚合机制
以API方式为主进行安全能力对接,实现安全能力的互通互联;八年期间(2016年—2024年),聚合对接245个安全能力,未来,将继续以安全工作需求为导向,持续对接并强化安全能力管理应用
说明:
API:不同应用可以共享数据,实现无缝集成,允许第三方应用通过API接入,扩展应用程序的功能和服务,数据质量高、结构统一,适用于需要大量、高质量数据的数据分析等领域
Syslog:主要记录系统或应用程序的日志信息,包括错误、警告、通知等,适用于系统监控、故障排查等场景
“3”层关键要点
01、能力服务门户
基于安全数据集及能力管控机制,形成能力服务门户,涵盖服务市场、用户服务、系统服务、服务流程4类内容,为上层应用提供一站式服务。
02、能力数据工程
结合最佳实践建立能力数据工程,涵盖数据基线、数据治理、数据集、特征工程、数据建模、数据管理6类内容,覆盖安全能力数据收集、存储、处理、分析、应用的全过程,形成高质量的安全数据集。
03、能力一体管理
通过标准机制形成安全能力一体化管理,涵盖能力全景、能力分类、能力评估、能力闪接、能力管理、能力画像和能力监测7类内容,简化能力接入、使用、跟踪、评价的复杂性,构建标准的网络安全能力管理机制。
“N”个赋能场景
夯实安全数字化安全基石,提供高质量安全数据,在实战化、常态化、体系化背景下为各行业用户安全运营工作场景有效赋能:
• 全维全域监测中心
• 快速持续响应中心
• 智能分析算法对抗
• 精准研判预测中心
• 动态纵深防御中心
• 战略决策指挥协同
数字时代:基于行业最佳实践的生态化安全能力基础库编制过程中得到了很多专家意见。
(来源:News快报)
