谈安全运营与蓝队、运维的关系

近日，偶然听到某专家关于蓝队、运维和安全运营之间关系区别的见解。受到启发，引起自己关于这几者关系的思考，进而思考安全运营人员需要具备的能力。遂成此文。不妥之处，请大佬拍砖。

谈安全运营与蓝队、运维

安全运营团队与蓝队篇

蓝队是在红蓝对抗中的防守一方，在红蓝演习时基本上由安全运营人员构成。但是我们不能把安全运营人员就认为是蓝队人员，认为安全运营团队就是一支“蓝队”。

首先，蓝队和安全运营团队任务目标不同。蓝队任务是保证红蓝对抗期间信息系统不受到攻击，而安全团队任务是保障信息系统运行期间不受攻击，时间维度不是一个量级，这就决定了使用的工作方法和采用的技术手段在“防守”时存在很大不同，安全运营团队的挑战更大。

其次，蓝队和安全运营团队的攻防对手不同。蓝队的攻防对手是红队，而安全运营团队的攻防对手是所有对信息系统构成威胁的主体，可以按内部外部进行分类。外部包括：黑客、APT组织，恶意软件、黑色产业链等；内部包括错误的配置、漏洞、员工的误操作、内鬼、间谍等。

最后，蓝队更着重技术防护，安全运营团队要兼顾部分管理职能，安全运营团队leader不仅需要考虑技术防护措施，还要考虑有效的管理流程和合理的安全策略等问题。

综上，相对于组建安全运营团队，组建蓝队比较容易；相对于培养一名安全运营人员，培养一名蓝队队员比较容易。如果你很幸运的拥有一名优秀的安全运营团队leader，那么这个人也应该是你心目中合适的蓝队队长人选。

运维人员和安全运营篇

运维工作强调系统可用性，用户体验和稳定性；而安全运营工作显然不具备以上特点，安全运营工作的更多的是分析，判断和处置。

运维工作的目标是信息系统稳定运行，信息系统建设上的技术支持，而安全运营工作的目标是比攻击者更早发现内部网络安全隐患，及时发现网络攻击、分析网络攻击，阻断网络攻击。

运维人员和安全运营人员所使用的技术工具不同，运维人员使用的工具和业务联系比较紧密，而安全运营人员多使用“黑客工具”和安全设备。

基本上可以认为运维和安全运营就像一个医院的两个科室，两个部门互相联系、部分资源公用，有时联合会诊，但两个部门不能相互取代。

谈安全运营人员能力

安全运营人员除了应具备蓝队人员的技术能力之外，安全运营人员还应该具备如下能力。

流量分析能力

安全运营人员应重视流量分析能力的培养。现在很多安全培训和竞赛对流量分析的重视，我认为是不够的。简单的从流量分析中找到恶意文件和HTTP报文是不能满足实际安全运营的需要。

目前辅助安全运营人员辅助流量分析的安全设备很成熟，网络流量结合威胁情报进行分析的安全产品日趋成熟，加密流量分析安全产品逐渐成为热点。流量分析能力对于安全运营人员来说越来越不可或缺。

溯源取证能力

应急响应是安全运营工作的最后一个环节，也是安全运营工作中最棘手的工作之一。应急响应工作中，大多数运维人员或者软件开发人员没有溯源取证的意识，焦急的心态驱使他们想尽一切办法要迅速恢复业务系统，这往往破坏了“案发现场”。这是经常的事情，正确的方式应是等安全人员到达现场后在安全人员指导下进行恢复。但是在恢复之前，安全运营人员需要充分的溯源取证。

一个安全问题的产生并不只是某台主机的问题，背后往往是一系列的问题。安全运营人员应能够根据信息系统出现的异常现象，依托电子取证技术，逐步进行溯源排查。实际这一点对安全运营人员要求有些苛刻了，但是溯源取证的工作在安全运营中绝对是绕不开的。组织在规划安全能力的时候或者安全厂商提供安全服务的时候往往把这部分工作融入到其他安全能力中，我认为这是不合适的。

案件类型的的溯源取证在实际工作中比较少见，多数需要安全运维人员能够做基本的取证，例如定位恶意文件、定位恶意进程、端口等等，如果溯源取证能力很强的话，安全监测方面可以提出更高的目标，例如发现APT组织攻击之类，总之溯源取证能力就像工具汽车后备箱里的备胎，不常用，一定要有。

逆向分析能力

逆向分析能力主要针对邮件系统安全监测工作中遇到的恶意邮件附件，通过分析这些恶意邮件附件，安全运营团队能够产生内部威胁情报，内部威胁情报对于组织来说作用比外部威胁情报更有针对性。

此外，逆向分析能力能够有效判断漏洞对信息系统的影响。漏洞每天大量涌出，针对组织信息系统提出合适的修补建议要以漏洞分析为前提，不能做漏洞的“通报员”。

逆向分析最有力的作用是对恶意软件样本进行分析，一些病毒、木马的分析都需要逆向分析能力作为支撑，这对组织有效缓解阻断类似勒索病毒之类的安全事件非常有效。

应用安全方面能力

“苍蝇不叮无缝的蛋”。应用系统漏洞就是这个 “缝”。每天都有大量利用应用RCE漏洞的IP地址在扫描，安全运营人员需要从这些攻击中找到有真正威胁的攻击。应用系统的远程漏洞危害巨大，且不断涌现。安全运营人员应该能够分析、验证最新涌现的应用系统漏洞，从而迅速进行响应。

威胁情报能力

安全运营人员应具有运用威胁情报的能力，结合安全设备，利用好威胁情报的IOC。这也是威胁狩猎比较低级的能力。

安全运营团队应根据威胁情报和自身组织的行业性质、历史安全事件等，找到长期对自身组织进行网络渗透的典型APT组织，并对其进行深入研究，结合ATT&CK框架进行监测能力的持续提升，从而防范重大风险。

协作能力与写作能力

除了上述技术能力之外，为了能让不同领域部门的同事协作共同完成组织安全目标安全运营人员还应该具备良好的团队协作能力。

写报告也是安全运营人员的主要工作，良好的写作能力能使领导同事认同你得努力和付出，进而促进组织的网络安全工作。

声明：本文来自三里河安全研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。