安全运营就是从Event到Accident的过程

平安运营就是从Event到Accident的过程随着信息化与平安成熟度的提高，通过实时大数据平安分析技术,从海量数据中判定攻击失陷，已经是平安运营的核心关注点与必然趋势。作为一个具有多年经验的信息平安与IT风险管理从业者，我之所以对态势感知、大数据分析、平安管理平台感兴趣，一个很大的原因是曾经那些平安管理的理念与方法，正在通过管理平台与技术手段逐步得到了落地，从而使平安管理与技术的融合度越来越高。比方态势感知中的指标、大数据分析中的场景，都可以与信息科技风险管理的关键风险指标KRI,以及信息平安管理中的有效性度量很好地结合起来。平安管理平台、自动化编排与响应也同样需要与事件管理、应急响应融合贯通。所以今天把平安运营中几个最基本的概念，从管理与平台两个方面穿插理解一下。如果从字面理解，Event、Incident、Accident三个词都是"事件"的意思，但在安全管理标准、平安管理平台定义中却出现不同的词，可见它们之间是存在着细微差异的。一、对Event的理解Event在有些平安标准里会被翻译成“事态"，直白理解就是事情的状态，从风险管理角度看，它只是一种状态而已，还不涉及到潜在的损失，可能是一种风险的潜在因素，也可能不是。举个例子来讲，一个办公室的门没有关，这个"门没关"就属于Event,只是一种状态，不去考虑为什么没关，或者应不应该关，没有产生风险，也没有带来损失。在平安管理平台中，S正M中的E就是这个Event了，采集上来的告警也好，日志也好，其实都是一种客观的状态记录，这些都是进行平安分析所需要的原料，通过分析引擎进行分析后产生全新的告警。二、对Incident的理解Incident在平安标准里通常被翻译成"事件"，也就是事件与应急管理中的"事件"。从风险管理角度看，它不再只是一种状态，而是变成了一种风险，可能会带来或者已经带来了损失。还是上面的例子，如果这个办公室是存放着敏感资料的话，这个门按规定是需要默认关闭的，这个门没有关就不再只是一种状态，而是一种风险事件了，由于可能带来损失，所以是需要处置的。在平安管理平台中，将多个平安告警进行聚合，按时间顺序或攻击路径排列，这个就是SecurityIncident,有些产品将其命名为"平安事件"。比方一次病毒的传播，可能影响了多台终端，由于攻击目的地址不同，告警是无法合并的，但可以聚合成一个SecurityIncidento三、对Accident的理解Accident在平安标准里通常被翻译成"事故"，它不再是一种潜在风险，而是确定已经产生了损失。从风险管理角度看，Incident与Accident是包含与被包含关系，Accident是程度更加严重的Incident还是上面的例子，如果这个办公室是存放着敏感资料的话，有一个小偷趁着门没有关把资料偷走了，由于确实造成了损失的既成事实，所以这个就属于Accident,是一次平安事故了。在平安管理平台中，目前并没有看到单独的Accident概念,它被包含在SecurityIncident里面了，但在作为一个好的平安管理平台，是需要通过丰富的上下文信息来帮助分析人员，能够快速判断是否造成了Accident另外，如果确定已经发生Accident的话，是需要编制针对性的专题报告的，那么平安管理平台是否可以提供足够的信息，方便平安分析人员完成报告编制，甚至是能够自动化导出事故报告，这也是安管平台的一个挑战。四、总结一下随着信息化与平安成熟度的提高，通过实