历经八年,聚合行业安全专家聪慧,凝练行业安全最佳实践,《数字时期:基于行业最佳实践的生态化安全能力根本库》于2024年6月22日在第四届数字安全大会上正式发布。该研究成果是在中国信息协会信息安全专业委员会的辅导下,由PCSA安全研究院、同盟成员,联合行业用户和家当各方,深刻总结提炼安全能力管理与运用面临的共性问题和顽疾,基于行业最佳实践提出生态化安全能力根本库(以下简称“安全能力根本库”),旨在为网安产业、行业用户和安全从业者供应一个安全能力管理与运用方法。本研究事情自2016年10月开始,历经八年累积沉淀,在实践中已完成19大安全领域、43种安全能力、245个安全能力(以API为主)对接,紧张实现:
安全能力统一纳管与实战验证安全能力生态闪接与互通互联安全能力打牢基座与模型固化缘起
监管单位
长期推动网络安全产品互通互联、信息共享,清晰化种别与代码政策及标准出台,推动创新发展
运营单位
紧张办理网络安全产品统一管理、生态能力聚合、互通互联、信息共享、数据质量、实战效果、自动化/智能化效能提升、投资有效性等
家当单位
期望有明确的统一互通互联、信息共享、能力接入标准,冲破行业壁垒,能够互信互利
进程
PCSA秉承“质由新生,崇奉共造”的理念,聚合中国关键安全能力赋能数字智能时期。
2016年10月,PCSA安全能力者同盟成立
2016年12月,事情方案通过专家评审会
2018年5月,召开安全能力审核解释会
2020年5月,安全防御能力全景研究(20年度图)
2021年3月,安全能力根本库定位研究(21年度图)
2022年6月,网络安全场景运用研究(22年度图)
2023年6月,数据安全场景运用研究(23年度图)
能力接入
2019年,完成60+安全能力接入
2020年,完成78安全能力接入
2021年,完成127安全能力接入
2022年,完成180安全能力接入
2023年,完成198安全能力接入
2024年,完成245安全能力接入
申请接入基本原则:
哀求为国产原创(非OEM),至少两年技能投入,产研技能团队不低于10人,并且已在实网环境有运行并产生实际效果,接入的接口形式以API为主,通过PCSA安全专家团队能力评审、技能接口评估、数据质量评估,验证通过后,面向"大众年夜众发布一图一描述一评价。
操持
2024年5月-6月,一年一图开展专家见地搜聚
2024年6月22日,正式公开拓布
后续操持,多轮研讨、持续改进、落地行业
鸣谢
家当研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、数世咨询、数说安全、CIO时期/安全学院、FREEBUF、特大号、斯元商业、国信政务云等
行业实践力量:能源、金融、交通、建筑、地方大数据局等浩瀚行业及安全专家
注:本文约1.6万字,估量阅读韶光 10 分钟。欢迎各行业和家当安全专家反馈改进、共同完善、互换互助。
声 明
本文《数字时期:基于行业最佳实践的生态化安全能力根本库》中涉及的内容,包括但不限于文本、图片、数据、表格、不雅观点等各种形式,已取得干系著作权,严格遵照国家网络安全法律法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性履历,意在开展深度互换、学习及研讨。科技创新、学无止境,尊重原创、尊重创新,转载、摘编利用本文图片、笔墨或不雅观点等的应注明来源。未经授权容许,任何法人单位及个人不得用于商业目的利用。违反上述声明者,我司可深究其干系法律任务。
一、 研究背景十几年安全合规培植与近些年攻防实战演习训练,数字化组织购买了大量的安全能力,经历不同历史期间,呈现出品类浩瀚、安全异构、孤岛式、碎片式等状态,根据从监管单位、行业用户、家当领域的浩瀚调研,共计总结提炼了三大困惑八个关键视角,阐述如下:
困惑一:安全能力买了很多,用的如何?效果如何?是否持续投入?从调研情形来看,浩瀚行业用户的安全决策者、管理者和运营职员安全能力管理事情缺少全局视角,无法快速节制与评价安全能力运用效果,无法高效决策安全能力投资需求,在面对安全实战与日常运营事情时,面临诸多寻衅。01、安全决策者视角安全决策者在数字化组织中常日卖力全体安全计策方向和投资决策的制订。面临安全能力效果浸染评估难:随着数字化组织购买的安全产品和做事日益增多,安全决策者须要评估这些安全能力在实际运用中的效果。然而,由于安全能力的多样性和繁芜性,很难准确衡量它们对企业整体安全状况的贡献。面临是否持续投入决策难:在安全领域,持续投入是必不可少的。然而,如何确定哪些安全能力值得长期投入,哪些须要调度或更换,是安全决策者面临的难题。
02、安全管理者视角安全管理者卖力全体网络安全防御体系架构,卖力组织军队运用安全能力开展网络安全事情。面临安全能力供应商多:随着安全市场的快速发展,安全能力供应商如雨后春笋般呈现。这些供应商供应的安全产品和做事种类繁多,功能互异。对付安全管理者来说,选择得当的供应商和产品成为很主要的事情。面临安全能力层次不齐:不同的安全能力供应商供应的产品和做事在技能水平、功能覆盖和效果表现上存在差异。这种能力层次的不齐须要花费大量的韶光和精力去评估和筛选得当的安全能力。面临安全能力成熟度不易评价:安全能力的成熟度评价没有统一的标准,更多基于实际环境和实战运用效果,很难用具体的指标来衡量。不同的能力大部分是基于在数字化组织的实际运用情形来进行评价。面临分类不清、数量不清、支配不清:随着安全能力的不断增加和更新,安全管理者须要建立一套完善的管理体系,用来对各种安全能力清晰的分类和标识。在实际操作中,由于安全能力的多样性和繁芜性,使得分类和统计变得十分困难。同时,支配安全能力也须要考虑多个成分,如网络环境、硬件设备、职员配置等,这些都会影响到安全能力的支配效果和效率。
03、安全运营职员视角安全运营职员卖力安全能力的日常运营和掩护,卖力实战攻防监测、剖析、研判、防御。面临安全能力烟囱式状态:由于历史缘故原由和业务需求的不同,安全能力每每呈现出烟囱式的分布状态。导致须要很多的安全运营职员管理多个独立的安全系统。面临安全能力在线运行情形不明:安全运营职员须要实时理解安全能力的在线运行情形,以便及时创造和处理安全问题。由于安全能力的多样性和繁芜性,很难准确节制它们的实时状态。面临安全能力策略实行效果不清:安全策略是安全防御体系的核心组成部分。在实际实行过程中,由于各种成分的影响,安全策略的实行效果每每难以达到预期。面临安全能力实战效果不佳:能力分散反应不及时,在面对真实的安全威胁时,安全能力的实战表现较差。
困惑二:互通互联本是刚需,实现之路困难重重实战化考验下,通过技能层面实现安全能力的互通互联,形成高效的整体防护,已是运营单位安全事情的根本哀求,更是真实刚需。安全家当呼吁十余年,但仍未打破“互通互联”壁垒,持续困扰着浩瀚数字化组织。01、政策标准视角政策标准的制订是一个繁芜而漫长的过程,标准的制订者常日是监管机构、行业专家、院校学者以及家当单位,基于对全体行业的理解和判断,提出相应的标准和规范。然而,这些标准和规范每每滞后于实际的安全需求和技能发展,由于它们须要经由永劫光的谈论、修正和批准过程。同时,标准制订者和实际运用者之间也存在一定的行业的群体性差异,标准制订者可能更看重整体性和规范性,而实际运用者则更关注详细性和实用性。这种差异导致标准制订与实际需求之间存在一定的偏差。
02、行业视角从行业视角来看,实现安全能力的快速生态聚合与互通互联已经成为急迫刚需。在实战化、体系化、常态化的背景下,数字化组织须要构建一个全面的、多层次的安全防护体系,方可应对各种繁芜的安全威胁,做到迅速相应并有效应对。
03、家当视角从家当视角来看,安全能力互通互联须要建立在相互信赖的根本上。然而当前安全家当之间存在天然的信赖鸿沟,这是由于不同的安全厂商、做事供应商和运营商之间在技能标准、产品性能、做事质量等方面存在差异和竞争关系所导致的。这种信赖鸿沟不仅影响了安全能力的互通互联效果,还增加了全体安全生态的繁芜性和不愿定性。
困惑三:安全能力数据聚合难,安全数据管理难,安全履历固化难安全业务平台化已是业内共识,无论是SOC、SIEM、XDR、态势感知,还是安全中枢/安全大脑,都依赖于“可信数据”、“黄金数据”,但现实情形下,安全能力数据聚合难、安全数据管理难、安全履历固化难已经成为行业用户面临的三座大山。01、安全能力数据聚合视角在安全业务平台化的趋势中,数据聚合是构建有效安全防护体系的关键环节。然而,现实情形下,安全能力数据聚合面临多重寻衅。
1) 线路选择的寻衅a. 大而全的策略选择大而全的数据聚合策略意味着考试测验网络所有可能干系的安全数据。这种做法看似全面,但实践中每每存在“脏数据”的问题。由于数据来源广泛、格式不一、质量参差不齐,大量的无效、冗余乃至缺点数据会被引入,给后续的数据剖析和处理带来极大困难。此外,存储这些弘大且繁芜的数据集也须要高昂的本钱。b. 精而细的策略选择精而细的策略则看重选择高质量、关键性的数据进行聚合。这种策略能够在很大程度上避免“脏数据”的问题,但须要专业职员对数据源进行精心筛选和评估,并对数据进行专项管理。此外,由于数据风雅化程度高,对职员的哀求也相应提高,须要具备深厚的安全知识背景和丰富的实践履历。
2) 共性寻衅a. 安全能力效果评估在聚合安全能力数据之前,须要对各种安全能力进行评估,确定实在用范围、有效性以及与其他能力的兼容性。这个过程须要深入理解各种安全技能的事理和特点,并结合实际的安全需求进行综合剖析。b. 安全能力接口开拓及上线验证周期长由于安全能力数据常日来自不同的系统和设备,须要开拓相应的接口来实现数据的互联互通。然而,由于不同系统和设备的技能差异和接口标准不一,接口开拓每每须要耗费大量的韶光和精力。同时,为了担保数据的准确性和可靠性,还须要进行严格的上线验证测试,这也进一步延长了数据聚合的周期。
02、安全能力数据管理视角安全能力数据管理是确保安全数据质量、提升数据代价的关键环节。在现实中,安全能力数据管理面临诸多寻衅。
1) 安全能力数据管理持续性事情安全能力数据管理是一个持续性的事情过程,须要定期对数据进行洗濯、整合、剖析和评估。同时,由于安全威胁的不断变革和数据量的不断增长,数据管理的事情量也会相应增加,须要固定的团队、职员和事情环境以及平台固化,形成自动化;
2) 须要“结硬寨,打呆仗”精神安全能力数据管理须要投入大量的人力、物力和财力,而且效果每每不是吹糠见米的。这哀求数字化组织具备武断的决心和持久的耐心,以结硬寨打呆仗的精神来推进安全能力数据管理事情。只有始终如一地投入和努力,才能逐步改进数据质量、提升数据代价。
3) 安全能力数据管理高等人才短缺安全能力数据管理须要具备深厚的数据剖析能力和安全专业知识的高等人才来支持。然而,在现实中,这类人才每每供不应求。缺少算法工程师、高等别剖析工程师等高等人才将严重影响数据管理的效果和效率。
4) 安全能力数据模型固化机制缺失落纵然已经产生了一定的数据集,但由于缺少有效的模型固化机制,这些数据每每难以形成有效的安全防御模型。
二、核心思想解读总体架构《数字时期:基于行业最佳实践的生态化安全能力根本库》的核心思想总结为“6-1-3-N”架构
“6”大核心目标统一纳管、生态闪接、打牢基座互通互联、模型固化、实战验证“1”套聚合机制以API办法为主进行安全能力对接;持续建立多品类、多生态的安全能力互通互联做事模式“3”层关键要点能力一体管理、能力数据工程、能力做事门户“N”个赋能场景全维全域监测中央、快速持续相应中央、智能剖析算法对抗、精准研判预测中央、动态纵深防御中央、计策决策指挥协同……
架构解读“6”大核心目标01、统一纳管
统一管理不同来源、不同分类、不同厂商的安全能力,实现安全能力“看得清、管的住、实时监控”
02、生态闪接
内置标准的安全能力对接机制,供应200+生态化能力对接模板,实现安全能力“秒级接入、精准采集、高效做事”
03、打牢基座
通过能力一体管理和能力数据工程,构建安全能力管理和评价机制,落实安全数据管理,形成高质量安全数据集,为打牢安全事情基座供应有效支撑
04、互通互联
建立生态安全能力互通互联模式,有效共享高质量安全数据,协同安全产品功能运用,提升安全防护能力和网络安全事宜处置效率
05、模型固化
基于安全数据集,结合特色工程,固化专家履历,形成场景化的数据模型,快速从海量数据中定位、创造、感知非常状态,为上层系统、专家剖析决策供应支撑保障
06、实战验证
持续积累实战履历,构建多类型的安全能力、安全数据集的有效事情机制,为用户挑选、评价与验证“真”能力,为体系对抗和日常运营供应有力支撑
“1”套聚合机制以API办法为主进行安全能力对接,实现安全能力的互通互联;八年期间(2016年—2024年),聚合对接245个安全能力,未来,将连续以安全事情需求为导向,持续对接并强化安全能力管理运用解释:API:不同运用可以共享数据,实现无缝集成,许可第三方运用通过API接入,扩展运用程序的功能和做事,数据质量高、构造统一,适用于须要大量、高质量数据的数据剖析等领域Syslog:紧张记录系统或运用程序的日志信息,包括缺点、警告、关照等,适用于系统监控、故障排查等场景
“3”层关键要点
01、能力做事门户
基于安全数据集及能力管控机制,形成能力做事门户,涵盖做事市场、用户做事、系统做事、做事流程4类内容,为上层运用供应一站式做事。
02、能力数据工程
结合最佳实践建立能力数据工程,涵盖数据基线、数据管理、数据集、特色工程、数据建模、数据管理6类内容,覆盖安全能力数据网络、存储、处理、剖析、运用的全过程,形成高质量的安全数据集。
03、能力一体管理
通过标准机制形成安全能力一体化管理,涵盖能力全景、能力分类、能力评估、能力闪接、能力管理、能力画像和能力监测7类内容,简化能力接入、利用、跟踪、评价的繁芜性,构建标准的网络安全能力管理机制。
“N”个赋能场景
夯实安全数字化安全基石,供应高质量安全数据,在实战化、常态化、体系化背景下为各行业用户安全运营事情场景有效赋能:
Ø 全维全域监测中央
Ø 快速持续相应中央
Ø 智能剖析算法对抗
Ø 精准研判预测中央
Ø 动态纵深防御中央
Ø 计策决策指挥协同
数字时期:基于行业最佳实践的生态化安全能力根本库体例过程中得到了很多专家见地,详情请查看https://mp.weixin.qq.com/s/9pq-1AukD6zxynoc_kDVqQ