Table of Contents

PT2-MSS - 2023/10/10 上午

2023-10-10
2023-10-10
8 min read
IT
MSS
Hits

  深信服安全托管服务 MSS 联合运营服务经理 PT2 培训第二天上午。

高级版运营流程

MSS 联合运营流程总览

  角色讲解

角色名称角色说明
安服技术负责人合作伙伴侧负责联合运营合作整体落地沟通,如人员赋能计划、交付质量提升、客户经营流程落地灯,负责指定人员组织进行项目启动会、项目汇报灯
MSS 交付工程师按项目进度和交付质量要求完成 MSS 线下交付相关工作(服务上线、资产梳理),配合 MSS 服务经理解决需现场解决的问题和事件
区域 MSS 交付经理深信服各区域人员,负责配合 MSS 项目交付,区域客户续费流程支撑,负责本区域的 MSS 满意度问题和风险的沟通和收集
销售经理深信服区域该 MSS 项目市场负责人,负责做售前商务洽谈、招投标等工作,为项目的启动和交付提供参考建议
运营中心分析师 T1运营中心负责告警审核及白名单管理的工程师
MSS 服务经理MSS 项目的项目经理,由合作伙伴承担,负责整体的项目交付进度和质量把控,负责客户日常资产、漏洞、威胁以及事件管理
信服小安企业微信账号,用于非工作时间值班时使用,无固定人员由值班人员登陆使用
运营中心应急专家 T2负责受理服务经理无法解决的问题并输出相关解决方案
运营中心渠道经理和合作伙伴对接,支撑
质量专员服务质量管理专员,对项目交付质量进行监督,由服务管理部人员或者组长担任

  交付主流程全景

  1. 启动阶段:组建团队、内部启动会和外部启动会,构建服务交付团队,明确内外部服务需求和预期,制定交付计划、沟通计划、服务方案
  2. 运营准备阶段:组件实施、服务上线、资产梳理和首次分析,持续运营前的准备工作,部署安全设备组件、安全策略配置、资产梳理与确认、首次分析与漏扫,摸清客户安全初始状态
  3. 持续运营阶段:围绕资产管理、脆弱性管理、威胁管理和事件管理四个维度给客户提供服务,服务汇报,体现出安全效果。通过 7×24 小时的持续运营服务,为客户提供安全效果长效保障
  4. 项目结项阶段:填写验收报告、项目结项验收、安全运营指导,输出项目结项验收材料,协助客户完成项目结项验收,为客户提供后续安全运营工作指引建议

  阶段说明

MSS 服务实施步骤总共分为启动阶段、运营准备阶段、持续运营阶段以及结项阶段 4 个大阶段。

  1. 启动阶段:项目下单之后,为项目启动做准备,并且在客户侧开启项目启动会,多方将服务目标、服务计划、服务内容及服务边界达成一致之后正式启动实施,组建外部微信群。
  2. 运营准备阶段
    1. 项目启动之后,将缺少的服务组件部署上架,并且接入安全运营平台,进行资产梳理及策略检查
    2. 对服务资产内的 Web 网站的 Webshell 查杀工作,确保服务资产的网站服务器上线前无留存的 webshell 后门。防止带病上线
    3. 一周之内基于组件产生的日志进行全网威胁分析及漏洞扫描情况,输出首次威胁分析报告,并进行远程处置
    4. 完成之后面向客户进行首次威胁分析报告解读(选做)
  3. 持续运营阶段
    1. 首次处置完成之后,MSS 服务正式进入运营中心安全运营阶段,由 MSS 服务经理提供 7×24H 的持续、主动、闭环的安全运营服务。
    2. MSS 服务经理输出季度/年度汇报 PTT,合作伙伴熟悉汇报 PPT 之后向客户进行季度安全运营成果汇报。
  4. 结项阶段:项目结束,进行验收汇报。按照验收要求准备相关电子/纸质材料供客户验收,客户签署验收单即验收完成,并且对项目整体交付材料进行归档上传。

MSS-启动阶段流程详解

  启动阶段交付流程节点

  1. 区域交付主管:项目信息审核
  2. 安服技术负责人:指定技术负责人
  3. MSS 服务经理
    1. 建内部微信群
    2. 内部启动会
    3. 外部微信群
    4. 准备外部启动会
    5. 开外部启动会

MSS-运营准备阶段流程详解

  运营准备阶段交付流程节点

  1. 组件部署协调:渠道客服工程师、MSS 服务经理、MSS 交付工程师
  2. 创建客户:运营中心渠道经理
  3. 组件上线和资产收集:MSS 服务经理
  4. 上线检查:MSS 服务经理
  5. 平台或组件培训(如有):本地客服工程师、MSS 交付工程师
  6. 资产梳理确认: MSS 服务经理、MSS 交付工程师
  7. 首次 webshell 查杀:MSS 服务经理、MSS 交付工程师
  8. 首次威胁分析与漏洞扫描:MSS 服务经理、MSS 交付工程师
  9. 首次威胁分析报告审核:渠道安服技术负责人
  10. 首次威胁分析解读(如有):MSS 服务经理、MSS 交付工程师
  11. 资料存档:MSS 服务经理

所有人工输出的报告都需要经过审核,机器输出的报告不用。

相关概念

  1. MSS 安全托管服务
  2. MDR 安全响应与检测服务
  3. XDR——平台,能力中台——技服部署
  4. MSSP 安全托管服务平台

AF/SIP/EDR/TSS 可直接对接 MSSP,AF/SIP/EDR/STA/AC 通过 XDR 对接 MSSP

MSS-持续运营阶段流程详解

资产管理

  1. 结合资产探测工具主动发现资产,服务人员全面梳理资产,形成台账并录入组件
  2. 周期性探测资产可用性、是否有新增资产以及维护资产台账,保证资产信息细化到设备指纹级别
  3. 发现资产变更或可用性问题,服务人员及时跟进,按照相关流程通知用户,确认并更新资产信息

MSS 服务经理

  1. 发起资产扫描
  2. 整理发送扫描结果
  3. 客户沟通
  4. 资产变更

脆弱性管理

  1. 通过漏洞扫描工具识别系统安全漏洞,结合多种信息对识别的漏洞进行优先级排序,最后提出切实可行的漏洞修复指导。同时,借助漏洞跟踪管理平台,实现漏洞全生命周期的可视、可控和可管;
  2. 实现信息化资产不同应用弱口令猜解检,针对不同行业提供行业密码字典,有针对性地进行内网弱口令检测,并将检测发现地问题通过工单系统跟踪修复状态。

MSS 服务经理

  1. 脆弱性事件来源
  2. 审核通告
  3. 协助处置
  4. 跟进闭环
  5. 线索录入

威胁管理

  1. 实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、高级黑客攻击事件、持续攻击事件。实时监测网络安全状态,对病毒事件自动化生成工单,及时进行分析与预警。
  2. 结合最新威胁情报、漏洞情报,安全专家排查是否对用户资产造成威胁并通知用户,协助及时进行安全加固。

MSS 服务经理

  1. 威胁事件来源
  2. 判断通告
  3. 威胁处置
  4. 处置反馈
  5. 跟进闭环
  6. 线索录入

事件管理

  1. 实时针对异常流量分析、攻击日志和病毒日志分析,经过海量数据脱敏、聚合发现安全事件,通过工具和方法对恶意文件、代码进行根除,帮助客户快速恢复业务,消除或减轻影响;

  2. 通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务,同时还原攻击路径,分析入侵事件原因,知道用户进行安全加固、提供整改建议、防止再次入侵。

  3. 事件来源:MSS 服务经理

  4. 判断通告:MSS 服务经理

  5. 初步介入处置:MSS 服务经理

  6. 时间转交:MSS 服务经理

  7. 事件处置:运营中心应急专家 T2/MSS 交付工程师

  8. 报告审核:安服负责人/渠道销售

  9. 报告推送:MSS 服务经理

  10. 事件汇报及跟踪闭环:MSS 服务经理

  11. 线索录入:MSS 服务经理

项目汇报

  定期总结阶段性安全运营情况发送给用户,并向用户总结汇报,以此证明用户安全措施的有效性以及下一阶段安全工作的目标。

  1. 周报月报发送:MSS 服务经理
  2. 月度沟通:MSS 服务经理
  3. 汇报材料主体编写:MSS 服务经理
  4. 汇报材料补充:销售或售前经理/MSS 交付工程师
  5. 汇报材料审核:安服技术负责人
  6. 汇报预约:MSS 服务经理
  7. 服务汇报: MSS 服务经理
  8. 汇报后续事宜:MSS 服务经理
  9. 续费跟进:MSS 服务经理

注:项目汇报包括了结项阶段的结项汇报部分

MSS-结项阶段流程详解

项目阶段交付流程节点

  1. 下线通告:MSS 服务经理
  2. 数据销毁:MSS 服务经理
  3. 设备回收(如有):合作伙伴客服工程师
  4. 项目验收归档:MSS 服务经理

MDR 联合运营高级版服务流程

MDR 服务内容回顾

托管检测与响应服务 MDR(检测与监控)

  1. 服务价值:为用户提供可承诺的安全检测与响应效果
  2. 服务目标
    1. 解决互联网常态安全保障工作能力
    2. 构建 7×24H 持续监测网络威胁和事件,专家在线实时处置
    3. 保障各类安全威胁高效闭环处置,安全风险动态清零
  3. 服务场景
    1. 常态化安全保障
    2. 攻防实战保障
    3. 重要时期保障
    4. 勒索预防与响应
    5. 等保合规运营
  4. 主要服务内容
    1. 7×24H 威胁鉴定与通告:基于上千家用户实战积累的 Usecase,7×24H 持续监测、实时分析研判、事件实时通告
    2. 安全专家实时通告:云端专家通过对 XDR 的威胁告警分析识别到真实安全事件时,服务经理会实时向客户通告
    3. 深度威胁狩猎:云端 Hunter 基于业务视角深度威胁狩猎,挖掘潜伏攻击
    4. 安全事件调查:基于冰山原理的安全事件全面调查,找到真正入侵的“源头”
    5. 重大事件:10 分钟内响应
    6. 事件准确率:99.99%
    7. 重大事件闭环率:100%
    8. 最新漏洞预警与响应:通告事件 <8h

MDR 服务全流程

  1. 监测/检测

    1. 告警/事件生成
    2. 海量告警噪声消减
      • 场景化的 Usecase 检测
      • 基于情报的管理分析
    3. 云端 7×24H 监测
    4. 告警/事件研判 + 狩猎

  2. 响应/处置

    1. 专家实时通告
    2. 安全事件响应
      1. 事件调查
      2. 风险遏制
      3. 应急响应
      4. 溯源分析
    3. 整改优化
      • 安全加固解决方案
      • 防护策略优化建议
      • 白名单/Usecase 更新
      • 知识库/案例库积累

  3. 7×24H 威胁鉴定与通告——丰富的 Usecase+7×24H 持续服务

  4. 安全专家实时通告:当云端安全专家通过对 XDR 的威胁告警分析识别到真实的安全事件时,服务经理会实时向客户通告。

  5. 深度威胁狩猎——基于实战经验:深度威胁狩猎是指 hunter 在通过真实的攻击行为在用户的网络世界中寻找威胁。运用专家、流程、平台的人机共智新技术,通过主动和被动相结合的方式搜寻网络中攻击成功的高级攻击行为,为业务保驾护航。

  6. 安全事件调查——基于冰山原理的安全事件全面调查

  7. 事件检测:安全专家基于 XDR 平台进行 7×24H 告警监测和分析研判,识别安全事件

  8. 事件判断:安全专家对事件熟悉进行判断(一般事件、重大事件等),根据安全事件的属性开展调查。

  9. 详细调查:服务专家对需要调查的事件进行影响面和根因分析并详细举证说明。

  10. 事件跟踪:服务专家对调查后的事件输出处置建议和方案并纳入事件工单进行跟踪

MDR 与 MSS 服务流程对比

MDR 启动阶段流程与 MSS 完全一致

  1. 区域交付主管:项目信息审核
  2. 安服业务负责人:指定服务经理
  3. MSS 服务经理
    1. 建内部微信群
    2. 开内部启动会
    3. 建外部微信群
    4. 准备外部启动会
    5. 开外部启动会

MDR 运营准备阶段比 MSS 少了资产梳理确认及后续流程

  差异总结

  1. MDR 缺少资产管理、脆弱性管理
  2. 威胁管理缺少流行威胁通告与排查和安全策略检查及调优
  3. MDR 增加威胁狩猎
  4. 项目汇报的频率为半年一次

MDR-威胁狩猎流程详解

  威胁狩猎子流程

  1. MSS 服务经理:接受工单
  2. 运营中心应急专家:威胁狩猎
  3. MSS 服务经理
    1. 报告发送
    2. 事件跟踪
    3. 线索录入
#运营流程 #服务流程
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.
Next PT2-MSS - 2023/10/09 下午