整合 IT 服务管理(ITSM)与安全运营(SecOps)以构建更强大的防御体系
2024 年 6 月,一家领先的汽车经销商软件供应商遭遇勒索软件攻击,被迫关闭其核心 IT 系统。这一事件直接影响到其 15,000 家汽车经销商客户,导致销售、库存、财务及其他运营活动陷入停滞。由于缺乏有效的安全防护机制与灾难恢复方案,该公司最终不得不支付数百万美元赎金,以恢复对关键数据和系统的访问权限。
尽管目前尚不清楚攻击者如何渗透关键系统以及为何恢复进展缓慢,但如此规模的安全事件通常可归因于以下多个因素:
- 长期未更新的软件与缺失的安全补丁,为攻击者利用漏洞打开了大门。
- 看似普通的邮件实则为钓鱼攻击,诱导员工泄露凭据或下载恶意软件。
- 不完善的访问控制和权限管理,使攻击者能够横向移动并控制关键资源。
- 基础设施可见性不足,延迟了对数据泄露范围、攻击路径及影响程度的评估。
- 缺乏备份及恢复机制,阻碍了业务恢复进程。
这些表面上各自独立的问题,其实指向两个关键缺陷:
| 1. 事件响应策略延迟 | IT 安全团队与 IT 服务台缺乏协同合作,导致响应效率低下。 |
| 2. 不完善且薄弱的安全协议 |
这也凸显了整合 IT 服务管理(ITSM)与安全运营(SecOps)这两个核心领域的必要性。
为何要考虑整合 ITSM 与 SecOps?
如今数字化加速发展、攻击面不断扩大以及人工智能技术迅猛普及,企业所面临的威胁已远远超出了传统方法的应对能力。
长期以来,ITSM 在事件处理、服务请求管理以及变更控制方面表现卓越,其核心目标一直是提升生产效率。但如今随着 IT 环境的复杂性与网络威胁的演变速度的逐渐增高,各个企业要求服务管理流程更加敏捷、安全,并能迅速响应风险。
未来的演进方向是构建一个统一、安全为中心的服务管理模式,将安全检查嵌入到日常 ITSM 流程中,以应对不断变化的威胁格局。
ITSM 可填补的空白
前文提到的补丁漏洞、钓鱼邮件导致的凭证泄露、权限控制薄弱等问题,并不仅仅是安全层面的失误,也反映出服务流程上的缺陷。这些问题其实可以通过 IT 服务台团队的积极参与与安全团队的协同合作来解决。
然而,如果缺乏统一的架构框架与工具集,两个团队之间的配合将仍显碎片化。此时,以安全为核心的 ITSM 就能成为连接安全运营与服务台之间的桥梁,提供流程结构、角色责任划分以及全流程可视化。通过将安全理念嵌入关键 ITSM 流程,两个团队可以制定协同策略,实现威胁检测与响应的闭环管理。
接下来,我们将探讨 IT 服务台与安全团队协作提升事件响应能力的几种关键方式:
1. 补丁大规模部署与事件应对同步进行
攻击者最常利用的入口之一就是未打补丁的系统。定期部署补丁与固件更新,是抵御入侵的第一道防线。
安全团队可以识别缺少补丁的系统,而 ITSM 则可协调补丁部署的执行与监督,确保操作合规。如果补丁部署后出现问题,ITSM 还可主导修复流程。
| 安全运营(SecOps) | IT 服务管理(ITSM) |
|---|---|
| 监控供应商安全公告,识别潜在漏洞 | 通过变更管理、发布管理和资产管理,支持补丁的有序大规模部署 |
| 持续监测网络漏洞 | 利用多级审批流程,确保治理合规 |
| 依据风险优先级推荐补丁部署顺序 | 制定并记录部署方案、应急计划、合规协议及检查清单 |
| 提供易受攻击系统清单和部署建议 | 通过事件管理跟踪部署失败问题并及时处理 |
| 验证补丁修复效果 | 通过配置管理数据库(CMDB)跟踪补丁部署状态及资产健康状况 |
2. 通过自动化事件响应流程应对钓鱼攻击
根据 IBM《2024 年数据泄露成本报告》,钓鱼攻击是第二大最常见的数据泄露原因,占所有案例的 15%。
这类攻击主要利用人为失误,例如诱导员工点击恶意链接、输入凭据或下载恶意文件。
安全团队可识别钓鱼攻击的行为模式,而 ITSM 可通过自动化流程及时介入补救并控制影响范围。
| 安全运营(SecOps) | IT 服务管理(ITSM) |
|---|---|
| 利用 UEBA 和 SIEM 工具监测异常行为 | 从 SIEM 工具接收警报并触发响应流程,终止用户会话 |
| 针对伪造域名、恶意 URL 设置预警 | 协调 IAM、PAM、UEM 工具禁用账户、隔离设备、重置凭据 |
| 上报安全事件以启动流程 | 教育用户识别和上报钓鱼攻击,通过知识库提升防范意识 |
3. 加强访问治理与权限控制
攻击者往往优先锁定高权限账户,以获取对关键系统的访问。为此,必须在服务请求管理中嵌入零信任理念,并实施最小权限原则,仅授予用户完成任务所需的权限。
安全团队负责策略执行与威胁检测,而 ITSM 则可确保权限申请、审批、变更与撤销的合规和高效。
| 安全运营(SecOps) | IT 服务管理(ITSM) |
|---|---|
| 执行最小权限及即时访问策略 | 接收并管理访问权限请求及审批 |
| 监控特权会话并记录审计日志 | 通过预设工作流和多级审批保障访问安全 |
| 检测异常权限操作并上报 | 员工离职或角色变更时自动撤销权限 |
| 通知IT团队立即触发访问权限撤销或修改工作流程。 | 将特权转移给另一位特权所有者,以防止内部人员滥用现有特权。 |
| 更新对配置项(CIs)的访问权限,以确保配置管理数据库(CMDB)保持最新状态。 |
4. 以资产清单与 CMDB 弥合基础设施可见性差距
快速响应安全漏洞的前提,是明确其传播范围、受影响系统及其影响的服务。而这需要服务台与安全团队之间高度的信息共享与可视化支持。
ITSM 可通过资产清单与 CMDB 提供全局可视化视角,支持安全团队更高效地追踪与响应安全事件。
| 安全运营(SecOps) | IT 服务管理(ITSM) |
|---|---|
| 利用 SIEM 和威胁情报工具监控异常行为 | 处理用户上报的安全事件及警报信息 |
| 监控终端安全状态和权限使用 | 优先处理涉及关键资产的数据泄露事件 |
| 绘制横向移动路径分析攻击传播 | 通过 CMDB 构建网络关系图并可视化系统依赖 |
| 标注威胁向量和入侵路径 | 使用服务依赖图进行影响分析与修复规划 |
| 执行定期安全态势评估与审计 | 协作根因分析并编制文档化解决方案 |
结语
在日益复杂的威胁环境下,要想实现长期韧性正变得愈发困难。但通过构建一个以安全为核心的 ITSM 模型,组织可以更好地应对未来挑战。
成功的关键在于 IT 团队与安全团队的紧密协作。将 SecOps 与 ITSM 策略统一起来,能够帮助组织构建清晰的可视化结构和响应框架,从而提升对抗网络攻击的能力,并做好应对未来未知威胁的准备。