最近因為有項目涉及到安全運營，所以抽時間了解了下。和身邊正轉行做安全運營的小伙伴也深入的探討了下關于乙方安全運營服務的一些思路，覺得如果能把自己的想法寫下來向更多的朋友進行請教肯定會學到更多，所以有了這篇文章。

本文只是從個人角度出發(fā)進行描寫的，肯定有地方寫得和現(xiàn)實有所出入，希望朋友們能多加指正。謝謝!

[[333562]]

傳統(tǒng)乙方安全運營服務

在傳統(tǒng)的乙方安全運營模式中，最常見的莫過于直接派遣員工進行駐場的安全服務。對于駐場服務而言，客戶對象一般是國企事業(yè)單位居多。駐場員工除了處理一般的安全事件外，更多的是為甲方提供多種不同的信息安全方面的支持，包括但不限于技術，也有很多匯報，文檔等類工作。

在這一階段的乙方安全運營，水平可謂是參差不齊，服務能力嚴重依賴于駐場人員的個人能力。實際上很多駐場人員能解決的問題有限，更多的需要依賴于遠程的專家團隊進行支持。

但是不可否認，駐場模式的安全服務能夠更好的去跟客戶溝通，充分了解客戶的需求，更容易贏得客戶的信賴，能為后續(xù)的續(xù)約成單打下堅實的基礎。

互聯(lián)網(wǎng)的安全運營解決方案

17年筆者實習時曾接觸過公司的一個安全運營項目，主要是為客戶建立起一套基于OSSIM的安全架構體系。筆者認為這也是一種安全運營的方式，乙方通過為甲方提供安全產(chǎn)品來進行安全運營，后續(xù)也有可能是乙方派人駐場運維這套系統(tǒng)。

這一階段有很多優(yōu)秀的解決方案，很大程度上提升了安全運營的水平。其中不得不說的就是soc的方案，但是筆者接觸到的人大多對于soc的方案持中立態(tài)度，認為設想很好但是落地很難。因為大家可能因為采購等多種原因，購買了多個廠商的多種不同產(chǎn)品，而再想將這些產(chǎn)品的日志等產(chǎn)出物都集成到一個soc中可能就會出現(xiàn)多種不同的問題。

從筆者接觸到的情況來看，現(xiàn)在更多的互聯(lián)網(wǎng)企業(yè)都采用了自建安全運營平臺的方案，沒錢就基于ELK來不斷完善日志收集功能和報警規(guī)則，有錢就購買更好的splunk等商業(yè)產(chǎn)品，自建安全運營平臺，招收專門的安全運營人才成為目前互聯(lián)網(wǎng)企業(yè)的主流解決方案。

新出現(xiàn)的安全運營服務思路

MDR(Managed Detection & Response)Gartner在2016年首次提出了了“(MDR)”一詞。筆者簡單的理解，該服務的重點為Managed，甲方直接將安全運營業(yè)務托管給了專業(yè)的乙方。這很符合專業(yè)的人做專業(yè)的事的邏輯，23333。乙方自建系統(tǒng)，收集來自不同的企業(yè)的日志，并提供7*24小時的安全監(jiān)控服務。

這一服務類型的出現(xiàn)極大的提高了安全運營的專業(yè)化水平。對于雙方而言都是有所裨益的：

• 甲方可以更專注在安全建設上來，安全人員不用為了報警而疲于奔命;
• 乙方可以通過多個甲方的情況來完善自身服務，打造出一套完整的標準流程;
• 通過乙方的標準流程，可以極大降低安全運營水平對于個人能力的依賴;
• 從市場角度而言，將安全運營服務進一步推向了極致，后續(xù)甲方對MDR提供商的依賴將會進一步升高。

乙方安全運營服務的業(yè)務價值

前面談了不同類型服務的個人理解，接下來讓我們探討下安全運營服務對于乙方來說的意義。對于乙方來說的，所有的方案最終目的都是錢，那我們各種不同安全運營方案的價值點又在哪里呢?

傳統(tǒng)的駐場服務很簡單，就是賺的人天以及持續(xù)訂單的產(chǎn)出。價值賺取的效率偏低，成本是提高利潤率的最大敵人。而進一步通過產(chǎn)品售賣來提高利潤分攤成本是必然的選擇，再加上后續(xù)的由于產(chǎn)品帶來的供應商綁定效應，為企業(yè)帶來源源不斷地訂單收益，這是一條被普遍實施的戰(zhàn)略。

那更進一步呢?

由筆者之前所說的MDR，筆者認為可以從兩方面為企業(yè)創(chuàng)造價值。大家在不同的安全實踐中能很清晰的感知到，技術和管理是一對不可分割的孿生兄弟，在安全運營中也是這樣。對于乙方來說，完全可以從這兩點出發(fā)為甲方提供服務。

在一般的安全運營過程中，我們首先基于報警信息進行跟進，查找報警原因，跟蹤黑客軌跡，整理完整路徑并出具報告。然后將漏洞傳遞給運維，開發(fā)同事進行修補。但是在實際的推進過程中，可能會遇到多方面的問題。

所以在管理上，可以首先為甲方提供安全運營的咨詢服務。從告警到發(fā)現(xiàn)問題，定位漏洞，出具報告，修復漏洞，修復測試等一連串的標準流程。比如告警事件的級別定義，什么樣級別的事件要在什么樣的時間內(nèi)進行處理等。因為乙方能接觸到多個不同的場景，遇到多種復雜的情況，所以乙方能夠從自身角度出發(fā)整理出一套標準的處理流程，這一套流程可以為甲方自身運營流程的建立起到重要的參考作用。同時，在有著大量實踐基礎上，乙方也可以從甲方實際需求出發(fā)，為甲方量身制定一套流程，自定義的東西一向都是值錢的。同時，對于甲方的安全人員來說，內(nèi)部人員也許做了很多努力想要將安全流程貫徹，但真的不如外部的咨詢服務做出來的結果有效，咨詢也可以成為重要的甲方內(nèi)部推動力。

技術上，乙方可以通過海量的日志積累，打造出一套完善的規(guī)則匹配庫，再輔以標準的業(yè)務流程，極大的弱化運營人員個人能力帶來的服務差距。隨著具體實踐經(jīng)驗的增加，可以更準確的消除誤報實現(xiàn)事件的有效分級處理。在進一步的安全運營過程中，可以接入威脅情報，從來源判斷是否存在威脅，存在什么類型的威脅，再結合業(yè)內(nèi)領先的諸如SOAR等概念，充分發(fā)揮MDR集聚效應的優(yōu)勢，用最小的成本來得到最大的業(yè)務價值實現(xiàn)。

同時，我們還可以結合目前的上云趨勢，將安全運營服務saas化。將多個企業(yè)的安全運營平臺上云，同一套系統(tǒng)框架給不同企業(yè)賦予不同權限，讓其簡單直觀的看到目前的企業(yè)運營現(xiàn)狀，也可以進一步提高乙方產(chǎn)品的賣點。

MDR類產(chǎn)品的進一步發(fā)展肯定是云的模式，客戶溝通可能更多的是有線上進行完成。相較于傳統(tǒng)的駐場模式，與客戶的聯(lián)系就大大降低了，這對于政企類客戶而言是及其不舒適的。我們可以為大客戶派遣技術人員的方式實現(xiàn)駐場，因為業(yè)務流程標準化了，駐場人員的專業(yè)水平要求降低，成本也將降低。同時我們還可以通過日報，周報，月報等不同形式的報告加強我們與客戶之間的聯(lián)系。從政企類客戶角度而言，他們可能不太懂你做的事情是什么，但是他們更希望掌控你現(xiàn)在在做什么，做的怎么樣了，做的結果是什么。

以上是筆者的一些粗淺認識，可能很多問題理解的比較片面，希望經(jīng)驗豐富的各位前輩能不吝賜教。謝謝