安全运营就是从Event到Accident的过程

文/李鹏飞Leo

作为一个具有多年经验的信息安全与IT风险管理从业者，我之所以对态势感知、大数据分析、安全管理平台感兴趣，一个很大的原因是曾经那些安全管理的理念与方法，正在通过管理平台与技术手段逐步得到了落地，从而使安全管理与技术的融合度越来越高。

比如态势感知中的指标、大数据分析中的场景，都可以与信息科技风险管理的关键风险指标KRI，以及信息安全管理中的有效性度量很好地结合起来。安全管理平台、自动化编排与响应也同样需要与事件管理、应急响应融合贯通。所以今天把安全运营中几个最基本的概念，从管理与平台两个方面穿插理解一下。

如果从字面理解，Event、Incident、Accident三个词都是“事件”的意思，但在安全管理标准、安全管理平台定义中却出现不同的词，可见它们之间是存在着细微差别的。

▼▼对Event的理解

Event在有些安全标准里会被翻译成“事态”，直白理解就是事情的状态，从风险管理角度看，它只是一种状态而已，还不涉及到潜在的损失，可能是一种风险的潜在因素，也可能不是。

举个例子来讲，一个办公室的门没有关，这个“门没关”就属于Event，只是一种状态，不去考虑为什么没关，或者应不应该关，没有产生风险，也没有带来损失。

在安全管理平台中，SIEM中的E就是这个Event了，采集上来的告警也好，日志也好，其实都是一种客观的状态记录，这些都是进行安全分析所需要的原料，通过分析引擎进行分析后产生全新的告警。

▼▼对Incident的理解

Incident在安全标准里通常被翻译成“事件”，也就是事件与应急管理中的“事件”。从风险管理角度看，它不再只是一种状态，而是变成了一种风险，可能会带来或者已经带来了损失。

还是上面的例子，如果这个办公室是存放着敏感资料的话，这个门按规定是需要默认关闭的，这个门没有关就不再只是一种状态，而是一种风险事件了，由于可能带来损失，所以是需要处置的。

在安全管理平台中，将多个安全告警进行聚合，按时间顺序或攻击路径排列，这个就是Security Incident，有些产品将其命名为“安全事件”。比如一次病毒的传播，可能影响了多台终端，由于攻击目的地址不同，告警是无法合并的，但可以聚合成一个Security Incident。

▼▼对Accident的理解

Accident在安全标准里通常被翻译成“事故”，它不再是一种潜在风险，而是确定已经产生了损失。从风险管理角度看，Incident与Accident是包含与被包含关系，Accident是程度更加严重的Incident。

还是上面的例子，如果这个办公室是存放着敏感资料的话，有一个小偷趁着门没有关把资料偷走了，由于确实造成了损失的既成事实，所以这个就属于Accident，是一次安全事故了。

在安全管理平台中，目前并没有看到单独的Accident概念，它被包含在Security Incident里面了，但在作为一个好的安全管理平台，是需要通过丰富的上下文信息来帮助分析人员，能够快速判断是否造成了Accident。

另外，如果确定已经发生Accident的话，是需要编制针对性的专题报告的，那么安全管理平台是否可以提供足够的信息，方便安全分析人员完成报告编制，甚至是能够自动化导出事故报告，这也是安管平台的一个挑战。

▼▼总结一下

随着信息化与安全成熟度的提高，通过实时大数据安全分析技术，从海量数据中判定攻击失陷，已经是安全运营的核心关注点与必然趋势。简单来说，安全运营就是从Event到Accident的过程。

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。