現(xiàn)代企業(yè)網絡安全運營的核心并不是部署防火墻和殺毒軟件等安全工具，而是要真正理解安全防御的機制、人員分工和協(xié)作流程。正如Google Maps（谷歌地圖）徹底改變了駕車出行時的導航模式一樣，通過流程映射繪制一張指導網絡安全運營的“電子地圖”，可以徹底改變組織理解和管理網絡安全運營工作的方式。

什么是網絡安全運營“谷歌地圖”？

我們過去常常依靠紙質地圖來進行導航，這種行為既危險又不方便。出于便捷和安全考慮，Garmin和TomTom等公司花費巨資研發(fā)“逐向”（turn-by-turn）導航GPS系統(tǒng)。而當“谷歌地圖”問世后，紙質地圖的時代被徹底終結，逐向導航模式變得不可或缺。

除了更加便捷和智能，“谷歌地圖”還演變出了很多新的用例，人們可以像使用搜索引擎一樣使用地圖，獲取目標單位的評級、營業(yè)時間、服務類型或商品數(shù)量等。

而在網絡安全的場景中，多數(shù)組織目前仍在使用“紙質地圖”來指導網絡安全運營工作，例如：以手動方式更新的任務表格；以人工方式解析日志文件；依靠安全專家的人工分析實現(xiàn)事件串聯(lián)；通過集中式的會議部署安全事件響應流程。這正是網絡安全運營工作既痛苦又耗時的根本原因所在，同時也是當今網絡安全防護效率低下和偏差的重要原因。

從本質上說，組織的網絡安全能力建設是一個持續(xù)的運營過程，而不是大量產品的堆疊。而無數(shù)的實踐表明，人類在處理視覺信息時會比處理其他格式的信息更高效。對于網絡運營領域的“谷歌地圖”，運營人員會有一種與生俱來的“導航”（mapping）感。

在線地圖工具是歷史上最受歡迎的應用之一，這是有原因的。通過將這些經驗應用于網絡安全領域，我們可以利用地圖的力量來提高網絡安全團隊的效率，并最終清晰地獲得一幅可以讓我們不斷學習和改進的安全運營“行動指南”。

網絡安全“谷歌地圖”構建指南

那么，如何才能將網絡安全運營工作從“紙質化”和碎片化的低效模式，轉變?yōu)橐粋€可提供類似于“谷歌地圖”的“逐向”可見性和智能規(guī)劃模式呢？答案就是采用流程映射思維并構建安全旅程的實時可視化表示，即建立一個智能化安全工作流的“谷歌地圖”。而組織可以參考以下步驟，繪制適合自己的網絡安全“谷歌地圖”。

步驟1：定義關鍵路徑

企業(yè)并不需要映射組織中所有的數(shù)字化活動內容，只需跟蹤和關鍵安全流程或工作流相關的重要元素和工具即可，其中包括：

• 確定關鍵流程：從最重要的安全工作流開始。這可能包括事件響應、漏洞管理、威脅獵殺、重要數(shù)據(jù)保護或合規(guī)性審計等。
• 繪制地形：將每個流程分解為單獨的步驟，并準確了解誰牽涉其中？采取了什么行動？使用了什么工具？確保對每個流程的分解要細致入微。

步驟2：設計安全地圖

“谷歌地圖”的奇妙之處在于通過強大的視覺體驗就能夠直觀地展示并簡化目標路徑。對于安全運營工作而言同樣是這樣，組織需要遵循如下原則：

• 選擇合適的繪圖工具：有許多選項可供選擇，從具有動態(tài)節(jié)點的簡單流程圖軟件到專門的網絡安全流程繪圖平臺。理想的工具將允許安全運營者創(chuàng)建動態(tài)的、交互式的流程圖，可以實時更新，并根據(jù)任何關鍵屬性（角色、條件、位置、流程類型）對其進行過濾。
• 與重要安全工具集成：要將地圖鏈接到SIEM、訪問控制、端點管理、電子郵件和安全編排等工具。這才能使這份“地圖”實時反映當前的安全運營操作狀態(tài)，并以可視化的方式展現(xiàn)誰做了什么，以及是在什么時候發(fā)生的。工具集成的同時，還應該在可視化流中提供交互的時間軸，以便運營者可以輕松快速地瀏覽感興趣的流程。
• 構建地圖：這份地圖必須提供完整的活動鏈以及對嵌套操作和反應的可見性，以正確捕捉網絡安全團隊導航其工作的方式。因此，需要將每個過程的步驟連接成一個可視化的流程，使用顏色編碼來突出不同的團隊、狀態(tài)或潛在的瓶頸，還可通過添加注釋和標記來提供上下文。

步驟3：通過映射校準安全流程

當已經建立關鍵安全流程的地圖和可視化任務后，組織可以部署一個功能強大的安全商業(yè)智能（BI）工具，以實現(xiàn)可視化地檢查和分析不同的流程如何導致不同的結果。這是安全性能調節(jié)中很關鍵的部分——優(yōu)化人的因素，要真正了解運營人員你實際在做什么，而不是儀表板顯示他們在做什么。為此，組織可以遵循如下方法：

• 按類型分析流量模式：映射特定類型的事件如何流經流程以及如何執(zhí)行不同的任務。哪里有延誤？有沒有什么不在設計中的實現(xiàn)路徑？運營人員是否會跳過規(guī)定步驟或不遵守規(guī)定？他們是否在自作主張地“優(yōu)化”流程？
• 調查特定事件：使用當前的電子地圖調查特定事件或操作，從響應妥協(xié)指標（IoC）到修復高危零日漏洞?？纯淳烤拱l(fā)生了什么？或者錯過了什么？
• 識別流程風險并優(yōu)化劇本：更新您的流程以簡化工作流，消除不必要的步驟，并自動執(zhí)行重復的任務。

步驟4：根據(jù)安全環(huán)境演變持續(xù)不斷優(yōu)化

對于改善網絡安全運營成效，“谷歌地圖”是一個了不起的產品。但是就像在使用“谷歌地圖”時，我們也不可避免地會遇到過錯誤。類似地，組織的安全運營流程地圖也需要不斷更新，才能跟上組織、工具和流程中的變化。組織的安全環(huán)境在不斷變化，因此需要定期檢查和更新網絡安全地圖，以映射新的威脅、工具或流程。

原文鏈接：https://www.helpnetsecurity.com/2024/06/18/mapping-security-process/