什么是 SecOps？

SecOps 是 IT 安全和运营团队围绕网络安全进行的协作。与 DevOps 一样，它引入了团队之间的共同责任，消除了沟通障碍并简化了合作。SecOps 可以帮助组织简化团队之间的沟通，提高安全问题的可见性，并更有效地识别和缓解威胁，从而应对传统安全运营中心 (SOC) 的挑战。

在许多组织中，SecOps 正在演变为DevSecOps——开发团队、安全和 IT 运营之间更广泛的协作。

相关内容：阅读我们的DevOps 安全指南

在本文中：

• SecOps 解决了哪些挑战？
• SecOps 将如何改变您的组织？
• 将 SecOps 集成到 SOC 中
• SecOps 实施的最佳实践
  • 进行红队和蓝队训练演习
  • 将流程分为手动和自动工作流程
  • 在整个交付管道中实施 SecOps
  • 确定警报的优先级

SecOps 解决了哪些挑战？

安全问题和威胁正在迅速演变。每天都会发现新的安全漏洞和新的攻击技术。攻击者不断开发新的工具和技术，基于安全信息和事件管理 (SIEM) 的传统安全运营中心 (SOC) 无法跟上。另一个关键问题是安全技能短缺，这使得 SOC 难以聘用和留住安全人才。

传统 SOC 环境带来的 SecOps 挑战包括警报疲劳、复杂的调查、IT 环境缺乏可见性以及缺乏自动化和编排。安全团队需要努力工作才能理解复杂的 IT 系统，而负责构建和维护这些系统的团队却没有太多合作。

更糟糕的是，当发现安全事件时，安全团队提出建议，但发现很难实施。IT 团队有自己的优先事项和时间表，安全问题往往处于次要地位。

SecOps 可以通过让 IT 和 SOC 专家共同负责安全来解决这些问题，并帮助他们共同创建一个易于监控的 IT 环境，并且在发现安全问题后易于修复。

SecOps 将如何改变您的组织？

SecOps 的目标是通过使安全考虑成为 IT 和安全团队的共同责任来提高网络安全。这涉及到几项组织变革：

• 克服传统安全管理中的筒仓方法，将 IT 和安全团队合二为一。
• 提高对安全考虑因素对业务运营影响的认识，并使团队的每个成员都有安全意识并对其负责。
• 为团队成员提供在所有运营领域共同处理安全事务所需的知识、工具和组织流程。
• 自动化、简化和标准化安全操作。
• 确保 IT 和安全工程师可以使用一套工具集，并通过一致的 API 实现与其他组织系统的集成。

将 SecOps 集成到 SOC 中

许多组织都有专门的安全运营中心 (SOC)，这是一个由安全专业人员组成的团队，他们协作识别和减轻风险并防御安全威胁。

SecOps 是指 SOC 可以用来保护组织并实施其安全策略的一组工具、流程和实践。然而，传统的 SOC 工作流程与 SecOps 文化不兼容。从历史上看，SOC 与组织内的其他团队隔离——安全人员在不与其他任何人交互的情况下履行职责。

当今的商业文化需要跨业务领域更密切的协作。决策者越来越多地将安全视为共同的责任，接受现代 SOC 的概念，鼓励安全和运营团队之间的沟通和协作。

SOC 可以通过多种方式开始将其流程与开发和 IT 部门集成：

• 分配 SOC — 拆除安全孤岛并将 SOC 职责分散到多个部门，强调将安全性纳入运营团队的工作流程。这种方法支持 SecOps 和 DevSecOps。
• 创建安全卓越中心 (COE) — 建立一个联合团队，将 SOC 与来自运营和开发团队的特定成员整合在一起。确保每个人都了解并实施安全最佳实践。
• 培育协作的工作场所文化——开放 SOC，以便所有具有一定安全影响的员工都可以与安全专家互动并密切合作。开发人员和工程师应该有一种简单的方法可以就各种问题与安全团队（包括高级成员）进行协商。

SecOps 实施的最佳实践

进行红队和蓝队训练演习

SecOps 团队成员可以通过参加红队和蓝队练习来提高他们的安全技能。红队使用社会工程、端口扫描和漏洞扫描来攻击系统。相比之下，蓝色团队使用漏洞检测、安全策略和工具评估以及分析来保护系统。两个团队相互训练并提供报告，以帮助加强他们的整体 SecOps 能力。

将流程分为手动和自动工作流程

自动化对于大型快节奏环境中的 SecOps 至关重要，它使团队能够更快地监控系统、检测异常并识别漏洞。一些安全威胁可以自动解决。然而，某些流程需要手动参与，例如复杂的事件响应程序和创建剧本。

有效的 SecOps 策略需要确定哪些流程适合自动化，哪些流程必须保持手动。在手动和自动化流程之间取得平衡有助于提高 SecOps 团队实施快速、彻底响应的能力。

在整个交付管道中实施 SecOps

SecOps 团队必须实施其流程，以在软件交付管道的每个阶段预防和减轻威胁。传统上，安全团队专注于生产环境，等到开发管道结束时才开始测试和扫描。SecOps 将这些流程推到管道的开头，例如，在编写代码时立即执行漏洞。在部署期间和部署之后，团队应执行各种安全检查和监控。

确定警报的优先级

SecOps 团队通常会收到持续不断的警报，这些警报变得越来越难以管理。对最重要的警报进行优先级排序和过滤有助于减少噪音，并使团队能够专注于紧急和高风险事件。优先级划分是优化响应有效性和管理 SecOps 团队资源的关键。

SOC 领导层可以使用各种方法来确定警报的优先级，包括数据驱动（即 DLP）、威胁驱动和资产驱动的工具和策略。

SecOps 与 LvBug

LvBug 将我们的 SaaS 平台与全球最大的道德黑客社区相结合，以便在应用程序漏洞被不良行为者利用之前发现它们。通过在这些缺陷成为安全事件之前发现它们，需要向 SecOps 团队发送的警报就会减少，这样他们就可以专注于修复队列中已有的事件。一旦发现关键漏洞，LvBug Triage 服务可以对报告的问题进行重复删除并提供优先的修复指导，从而使 SecOps 团队能够提高效率。