推荐序
2016年以来,国内组织的一系列真实网络环境下的攻防演习显示,半数甚至更多的防守方的目标被攻击方攻破。这些参加演习的单位在网络安全上的投入并不少,常规的安全防护类产品基本齐全,问题是出在网络安全运营能力不足,难以让网络安全防御体系有效运作。
范渊是网络安全行业“老兵”,凭借坚定的信念与优秀的领导能力,带领安恒信息用十多年时间从网络安全细分领域厂商成长为国内一线综合型网络安全公司。袁明坤则是一名十多年战斗在网络安全服务一线的实战经验丰富的“战士”。他们很早就发现了国内企业网络安全建设体系化、运营能力方面的不足,在通过网络安全态势感知等产品、威胁情报服务及安全服务团队为用户赋能的同时,在业内率先提出“九维彩虹团队”模型,将网络安全体系建设细分成网络安全运营(白队)、网络安全体系架构(黄队)、蓝队“技战术”(蓝队)、红队“武器库”(红队)、网络安全应急取证技术(青队)、网络安全人才培养(橙队)、紫队视角下的攻防演练(紫队)、时变之应与安全开发(绿队)、威胁情报驱动企业网络防御(暗队)九个战队的工作。
由范渊主编,袁明坤担任执行主编的《网络安全运营服务能力指南》,是多年网络安全一线实战经验的总结,对提升企业网络安全建设水平,尤其是提升企业网络安全运营能力很有参考价值!
赛博英杰创始人 谭晓生
楚人有鬻盾与矛者,誉之曰:“吾盾之坚,物莫能陷也。”又誉其矛曰:“吾矛之利,于物无不陷也。”或曰:“以子之矛陷子之盾,何如?”其人弗能应也。众皆笑之。夫不可陷之盾与无不陷之矛,不可同世而立。(战国·《韩非子·难一》)
近年来网络安全攻防演练对抗,似乎也有陷入“自相矛盾”的窘态。基于“自证清白”的攻防演练目标和走向“形式合规”的落地举措构成了市场需求繁荣而商业行为“内卷”的另一面。“红蓝对抗”所面临的人才短缺、环境成本、风险管理以及对业务场景深度融合的需求都成为其中的短板,类似军事演习中的导演部,负责整个攻防对抗演习的组织、导调以及监督审计的价值和重要性呼之欲出。九维彩虹团队的《网络安全运营服务能力指南》套书,及时总结国内优秀专业安全企业基于大量客户网络安全攻防实践案例,从紫队视角出发,基于企业威胁情报、蓝队技战术以及人才培养方面给有构建可持续发展专业安全运营能力需求的甲方非常完整的框架和建设方案,是网络安全行动者和责任使命担当者秉承“君子敏于行”又勇于“言传身教 融会贯通”的学习典范。
华为云安全首席生态官 万涛(老鹰)
安全服务是一个持续的过程,安全运营最能体现“持续”的本质特征。解决思路好不好、方案设计好不好、规则策略好不好,安全运营不仅能落地实践,更能衡量效果。目标及其指标体系是有效安全运营的前提,从结果看,安全运营的目标是零事故发生;从成本和效率看,安全运营的目标是人机协作降本提效。从“开始安全”到“动态安全”,再到“时刻安全”,业务对安全运营的期望越来越高。毫无疑问,安全运营已成为当前最火的安全方向,范畴也在不断延展,由“网络安全运营”到“数据安全运营”,再到“个人信息保护运营”,既满足合法合规,又能管控风险,进而提升安全感。
这套书涵盖了九大方向,内容全面深入,为安全服务人员、安全运营人员及更多对安全运营有兴趣的人员提供了很好的思路参考与知识点沉淀。
滴滴安全负责人 王红阳
“红蓝对抗”作为对企业、组织和机构安全体系建设效果自检的重要方式和手段,近年来越来越受到甲方的重视,因此更多的甲方在人力和财力方面也投入更多以组建自己的红队和蓝队。“红蓝对抗”对外围的人更多是关注“谁更胜一筹”的结果,但对企业、组织和机构而言,如何认识“红蓝对抗”的概念、涉及的技术以及基本构成、红队和蓝队如何组建、面对的主流攻击类型,以及蓝队的“防护武器平台”等问题,都将是检验“红蓝对抗”成效的决定性因素。
这套书对以上问题做了详尽的解答,从翔实的内容和案例可以看出,这些解答是经过无数次实战检验的宝贵技术和经验积累;这对读者而言是非常有实操的借鉴价值。这是一套由安全行业第一梯队的专业人士精心编写的网络安全技战术宝典,给读者提供全面丰富而且系统化的实践指导,希望读者都能从中受益。
雾帜智能CEO 黄承
网络安全是一项系统的工程,需要进行安全规划、安全建设、安全管理,以及团队成员的建设与赋能,每个环节都需要有专业的技术能力,丰富的实战经验与积累。如何通过实战和模拟演练相结合,对安全缺陷跟踪与处置,进行有效完善安全运营体系运行,以应对越来越复杂的网络空间威胁,是目前网络安全面临的重要风险与挑战。
九维彩虹团队的《网络安全运营服务能力指南》套书是安恒信息安全服务团队在安全领域多年积累的理论体系和实践经验的总结和延伸,创新性地将网络安全能力从九个不同的维度,通过不同的视角分成九个团队,对网络安全专业能力进行深层次的剖析,形成网络安全工作所需要的具体化的流程、活动及行为准则。
以本人20多年从事网络安全一线的高级威胁监测领域及网络安全能力建设经验来看,此套书籍从九个不同维度生动地介绍网络安全运营团队实战中总结的重点案例、深入浅出讲解安全运营全过程,具有整体性、实用性、适用性等特点,是网络安全实用必备宝典。
该套书不仅适合企事业网络安全运营团队人员阅读,而且也是有志于从事网络安全从业人员的应读书籍,同时还是网络安全服务团队工作的参考指导手册。
神州网云CEO 宋超
“数字经济”正在推动供给侧结构性改革和经济发展质量变革、效率变革、动力变革。在数字化推进过程中,数字安全将不可避免地给数字化转型带来前所未有的挑战。2022年国务院《政府工作报告》中明确提出,要促进数字经济发展,加强数字中国建设整体布局。然而当前国际环境日益复杂,网络安全对抗由经济利益驱使的团队对抗,上升到了国家层面软硬实力的综合对抗。
安恒安全团队在此背景下,以人才为尺度;以安全体系架构为框架;以安全技术为核心;以安全自动化、标准化和体系化为协同纽带;以安全运营平台能力为支撑力量着手撰写此套书。从网络安全能力的九大维度,融会贯通、细致周详地分享了安恒信息15年间积累的安全运营及实践的经验。
悉知此套书涵盖安全技术、安全服务、安全运营等知识点,又以安全实践经验作为丰容,是一本难得的“数字安全实践宝典”。一方面可作为教材为安全教育工作者、数字安全学子、安全从业人员提供系统知识、传递安全理念;另一方面也能以书中分享的经验指导安全乙方从业者、甲方用户安全建设者。与此同时,作者以长远的眼光来严肃审视国家数字安全和数字安全人才培养,亦可让国家网络空间安全、国家关键信息基础设施安全能力更上一个台阶。
安全玻璃盒【孝道科技】创始人 范丙华
网络威胁已经由过去的个人与病毒制造者之间的单打独斗,企业与黑客、黑色产业之间的有组织对抗,上升到国家与国家之间的体系化对抗;网络安全行业的发展已经从技术驱动、产品实现、方案落地迈入到体系运营阶段;用户的安全建设,从十年前以“合规”为目标解决安全有无的问题,逐步提升到以“实战”为目标解决安全体系完整、有效的问题。
通过近些年的“护网活动”,甲乙双方(指网络安全需求方和网络安全解决方案提供方)不仅打磨了实战产品,积累了攻防技战术,梳理了规范流程,同时还锻炼了一支安全队伍,在这几者当中,又以队伍的培养、建设、管理和实战最为关键,说到底,网络对抗是人和人的对抗,安全价值的呈现,三分靠产品,七分靠运营,人作为安全运营的核心要素,是安全成败的关键,如何体系化地规划、建设、管理和运营一个安全团队,已经成为甲乙双方共同关心的话题。
这套书不仅详尽介绍了安全运营团队体系的目标、职责及它们之间的协作关系,还分享了团队体系的规划建设实践,更从侧面把安全运营全生命周期及背后的支持体系进行了系统梳理和划分,值得甲方和乙方共同借鉴。
是为序,当践行。
白日
过去20年,伴随着我国互联网基础设施和在线业务的飞速发展,信息网络安全领域也发生了翻天覆地的变化。“安全是组织在经营过程中不可或缺的生产要素之一”这一观点已成为公认的事实。然而网络安全行业技术独特、概念丛生、迭代频繁、细分领域众多,即使在业内也很少有人能够具备全貌的认知和理解。网络安全早已不是黑客攻击、木马病毒、0day漏洞、应急响应等技术词汇的堆砌,也不是人力、资源和工具的简单组合,在它的背后必须有一套标准化和实战化的科学运营体系。
相较于发达国家,我国网络安全整体水平还有较大的差距。庆幸的是,范渊先生和我的老同事袁明坤先生所带领的团队在这一领域有着长期的深耕积累和丰富的实战经验,他们将这些知识通过《网络安全运营服务能力指南》这套书进行了系统化的阐述。
开卷有益,更何况这是一套业内多名安全专家共同为您打造的知识盛筵,我极力推荐。该套书从九个方面为我们带来了安全运营完整视角下的理论框架、专业知识、攻防实战、人才培养和体系运营等,无论您是安全小白还是安全专家,都值得一读。期待这套书能为我国网络安全人才的培养和全行业的综合发展贡献力量。
傅奎
管理安全团队不是一个简单的任务,如何在纷繁复杂的安全问题面前,找到一条最适合自己组织环境的路,是每个安全从业人员都要面临的挑战。
如今的安全读物多在于关注解决某个技术问题。但解决安全问题也不仅仅是技术层面的问题。企业如果想要达到较高的安全成熟度,往往需要从架构和制度的角度深入探讨当前的问题,从而设计出更适合自身的解决方案。从管理者的角度,团队的建设往往需要依赖自身多年的从业经验,而目前的市面上,并没有类似完整详细的参考资料。
这套书的价值在于它从团队的角度,详细地阐述了把安全知识、安全工具、安全框架付诸实践,最后落实到人员的全部过程。对于早期的安全团队,这套书提供了指导性的方案,来帮助他们确定未来的计划。对于成熟的安全团队,这套书可以作为一个完整详细的知识库,从而帮助用户发现自身的不足,进而更有针对性地补齐当前的短板。对于刚进入安全行业的读者,这套书可以帮助你了解到企业安全的组织架构,帮助你深度地规划未来的职业方向。期待这套书能够为安全运营领域带来进步和发展。
Affirm前安全主管 王亿韬
随着网络安全攻防对抗的不断升级,勒索软件等攻击愈演愈烈,用户逐渐不满足于当前市场诸多的以合规为主要目标的解决方案和产品,越来越关注注重实际对抗效果的新一代解决方案和产品。
安全运营、红蓝对抗、情报驱动、DevSecOps、处置响应等面向真正解决一线对抗问题的新技术正成为当前行业关注的热点,安全即服务、云服务、订阅式服务、网络安全保险等新的交付模式也正对此前基于软硬件为主构建的网络安全防护体系产生巨大冲击。
九维彩虹团队的《网络安全运营服务能力指南》套书由网络安全行业知名一线安全专家编写,从理论、架构到实操,完整地对当前行业关注并急需的领域进行了翔实准确的介绍,推荐大家阅读。
赛博谛听创始人 金湘宇/NUKE
企业做安全,最终还是要对结果负责。随着安全实践的不断深入,企业安全建设,正在从单纯部署各类防护和检测软硬件设备为主要工作的“1.0时代”,逐步走向通过安全运营提升安全有效性的“2.0时代”。
虽然安全运营话题目前十分火热,但多数企业的安全建设负责人对安全运营的内涵和价值仍然没有清晰认知,对安全运营的目标范围和实现之路没有太多实践经历。我们对安全运营的研究不是太多了,而是太少了。目前制约安全运营发展的最大障碍有以下三点。
一是安全运营的产品与技术仍很难与企业业务和流程较好地融合。虽然围绕安全运营建设的自动化工具和流程,如SIEM/SOC、SOAR、安全资产管理(S-CMDB),安全有效性验证等都在蓬勃发展,但目前还是没有较好的商业化工具,能够结合企业内部的流程和人员,提高安全运营效率。
二是业界对安全运营尚未形成统一的认知和完整的方法论。企业普遍缺乏对安全运营的全面理解,安全运营组织架构、工具平台、流程机制、有效性验证等落地关键点未成体系。大家思路各异,没有形成统一的安全运营标准。
三是安全运营人才的缺乏。安全运营所需要的人才,除了代码高手和“挖洞”专家;更急需的应该是既熟悉企业业务,也熟悉安全业务,同时能够熟练运用各种安全技术和产品,快速发现问题,快速解决问题,并推动企业安全改进优化的实用型人才。对这一类人才的定向培养,眼下还有很长的路要走。
这套书包含了安全运营的方方面面,像是一个经验丰富的安全专家,从各个维度提供知识、经验和建议,希望更多有志于企业安全建设和安全运营的同仁们共同讨论、共同实践、共同提高,共创安全运营的未来。
《企业安全建设指南》黄皮书作者、“君哥的体历”公众号作者 聂君
这几年,越来越多的人明白了一个道理:网络安全的本质是人和人的对抗,因此只靠安全产品是不够的,必须有良好的运营服务,才能实现体系化的安全保障。
但是,这话说着容易,做起来就没那么容易了。安全产品看得见摸得着,功能性能指标清楚,硬件产品还能算固定资产。运营服务是什么呢?怎么算钱呢?怎么算做得好不好呢?
这套书对安全运营服务做了分解,并对每个部分的能力建设进行了详细的介绍。对于需求方,这套书能够帮助读者了解除了一般安全产品,还需要构建哪些“看不见”的能力;对于安全行业,则可以用于指导企业更加系统地打造自己的安全运营能力,为客户提供更好的服务。
就当前的环境来说,我觉得这套书的出版恰逢其时,一定会很受欢迎的。希望这套书能够促进各行各业的网络安全走向一个更加科学和健康的轨道。
360集团首席安全官 杜跃进