最近,我无意中听到一位专家对蓝队、运维和安全运营之间关系的看法。灵感来思考两者之间的关系,然后思考安全操作员需要具备的能力。所以这篇文章。如果有问题,请给老板一块砖。
蓝队是红蓝对抗中的防守者,基本上由红蓝演习中的安全操作人员组成。但是,我们不能将安全操作人员视为蓝队人员,认为安全操作团队是“蓝队”。
首先,蓝色团队和安全操作团队有不同的任务目标。蓝色团队的任务是确保信息系统在红程中不受攻击,安全队的任务是确保信息系统在信息系统在操作过程中不受攻击。时间维度不是一个数量级,它决定了工作方法和技术手段的使用。“防御”安全运营团队面临的挑战存在很大差异。
其次,蓝队不同于安全队的攻防对手。蓝队的攻防对手是红队,安全队的攻防对手是威胁信息系统的主体,可以根据内部和外部进行分类。外部包括:黑客APT组织、恶意软件、黑色产业链等。 内部包括错误配置、漏洞、员工误操作、内部鬼魂、间谍等。
最后,蓝队更注重技术保护。安全运营团队必须考虑一些管理职能。安全运营团队领导不仅要考虑技术保护措施,还要考虑有效的管理流程和合理的安全策略。
综上所述,组建蓝队比组建安全运营团队容易; 培训蓝队成员比培训安全运营商容易。如果你有幸有一个优秀的安全运营团队负责人,那么这个人也应该是你心目中合适的蓝队负责人。
操作人员和安全操作人员
操作和维护强调系统的可用性、用户体验和稳定性; 安全操作显然没有上述特点,安全操作更多的是分析、判断和处理。
运维的目标是信息系统的稳定运行和信息系统建设的技术支持,安全运维的目标是比攻击者更早地发现内部网络安全风险 ,及时检测网络攻击,分析网络攻击,阻断网络攻击。.
操作人员和安全操作人员使用不同的技术工具。操作人员使用的工具与业务密切相关,而安全操作人员使用的工具更多“黑客工具”安全设备。
基本上可以认为操作、维护和安全操作就像医院的两个部门。两个部门相互联系,共享一些资源,有时联合协商,但两个部门不能相互取代。
除了蓝队人员的技术能力外,安防操作人员还应具备以下能力。
流量分析能力
安全运营商应注重流量分析能力的培养。现在很多安全培训和竞争都集中在流量分析上,我认为这还不够。从流量分析中找出恶意文件和HTTP不能满足实际安全操作的需要。
目前,辅助安全运营商辅助流量分析的安全设备已经非常成熟,结合威胁情报分析网络流量的安全产品也越来越成熟,加密流量分析的安全产品也逐渐成为热点。流量分析能力对安全运营商来说越来越不可或缺。
可追溯性和取证能力
应急响应是安全行动的最后一个环节,也是安全行动中最困难的任务之一。在应急工作中,大多数运维人员或软件开发人员缺乏可追溯性和证据收集意识,焦虑驱使他们尽一切可能快速恢复业务系统,这往往会破坏“犯罪现场”。这是经常发生的事情,正确的做法应该是在安保人员的引导下等待安保人员到达现场恢复。但是,在恢复之前,安全操作员需要足够的可追溯性和证据收集。