什么是SecOps？
整合ITSM和IT安全

与ITSM实践的互动

通过事件管理，IT管理员可以跟踪和管理这些补丁在独特端点或资产中产生的问题。借助事件管理方法，当问题得到解决时，解决方案或解决方法会作为流程的一部分添加到知识库中。从事件解决方案中逐步构建的知识库通过存档见解进一步加强了补丁管理流程。

为了最大限度地提高补丁管理的成功，补丁是通过带有更改和发布管理的系统流程进行部署的。变更支持实践，以及发布管理提醒相关利益相关者，授权行动计划，并设置批准门和回滚计划。换句话说，更改启用和发布管理共同管理补丁流程的内容、时间和方式。

CMDB保留在配置项（CI）上部署的最新补丁的标签。CMDB还为IT管理员提供基础架构基线配置信息，这有助于确定补丁的必要性。IT 资产管理帮助 IT 管理员在部署流程后监控资产的运行状况。

装备你的ITSM平台

确保您的ITSM平台具有以下要求，以便在您的IT服务运营和安全实践之间建立牢固的桥梁，以加强您的补丁管理活动

• ITSM平台应在其事件管理模块中进行集成，允许扫描端点，并在事件诊断和解决阶段在必要时部署补丁。这种整合在两个方面有利于IT团队：首先，当可以在工单工作区内直接访问适当的补丁时，技术人员的工作效率会提高。其次，尽管之前的测试阶段，补丁有时可能会在特定的工作站或服务器环境中失败。集成可以允许有机会检查特定端点中补丁部署的状态，并在必要时验证补丁。
• 变更管理和发布管理模块应该能够为每类补丁创建专用工作流程，包括特定的规划、实施、测试、部署和审查阶段。一旦获得批准，IT管理员应该能够从单个控制台将补丁部署到整个网络中。
• 通过内置的IT资产管理，ITSM工具应该包含网络中所有资产的所有深入信息。与补丁管理系统的集成应该是使资产清单保持最新部署到每个服务组件的最新状态。
• ITSM工具需要CMDB来协助补丁部署规划和实施。CI应该能够从补丁管理系统中自行更新，并在更改实施期间提供必要的详细信息。除了识别补丁合规性的当前基础架构状态外，CMDB关系图还有助于评估更改过程中所需的影响程度和部署半径。

案例

连锁超市Zylker在全国各地的销售点（POS）系统近12个小时都无法访问互联网。Zylker的POS机没有经常更新，因为IT管理团队认为POS系统非常稳定，而且定期重启和相关的停机会不必要地干扰业务运营。然而，最近任命的首席安全官（CSO）对这给组织带来的高水平安全风险感到不舒服。她要求所有POS机器和服务组件都符合最新的补丁。

为了满足这一要求，负责的IT管理员开始升级防火墙固件。部署了几轮补丁，防火墙升级似乎是一个标准的补丁部署流程，IT管理员开始将其部署到所有系统。在IT管理员不知情的情况下，补丁重新配置了操作系统中的内容过滤引擎。这导致每个POS系统中的所有互联网访问都被封锁。导致超市收银台的停机时间延长。

即使尝试回滚升级，并在配置更改后尝试再次修补系统，一些系统也关闭了，无法回滚到原始版本，导致回滚失败。这进一步延长了恢复全面运作状态的时间。

经验教训

• 无论补丁的严重程度如何，启动更改过程：现在通过更改过程，Zylker记录其部署计划。这使得IT团队能够通过内置的IT资产管理，验证补丁是否能够通过每个资产的全面信息正常工作。这些细节被添加到变更请求中，以便让所有利益相关者了解情况。
• 参考CMDB地图来确定影响规模：尽管防火墙升级出错的可能性很低，但Zylker交叉引用了基础架构地图，以确保如果事情出错，他们有一个可靠的备份计划。CMDB关系图也与变更请求相关联，以确保利益相关者在对基础架构的整体观点下做出决定。
• 测试、审查、重复：Zylker's有一个集成的更改和发布流程，其中包括专门的用户接受度测试和审查阶段。这确保了组织准备好部署到商店的子集，检查结果，重新配置，然后向前推进到另一个商店子集。虽然这似乎比之前的“启动并忘记”方法需要更多时间，但它提供了部署补丁和记录整个过程的万无一失的方法。
• 管理来自流浪系统的事件：Zylker的几家商店以前不得不在回滚和重新修补过程中关闭系统。通过集成其ITSM工具和补丁管理工具，Zylker的IT能够确定这些IT资产，为它们创建工单，并手动部署最新的固件。这个过程对Zylker来说效率高得多。

与ITSM实践的互动

以下是访问管理与ITSM实践互动的几个场景：

事件管理与访问管理交互，例如对任何意外证书过期或异常用户行为的响应。事件响应过程会触发整个网络的可疑用户行为。当用户的权限分数（从用户角色和历史行为中得出的基本分数）因访问通常无法访问的资源而下降时，会引发事件，团队开始分析问题。此外，SSH密钥管理通过远程安全地将技术人员与服务器或工作站连接起来，与事件响应团队进行交互。

变更管理和访问管理在其运营中相互交织。在实施更改期间，特权管理系统会验证更改所有者、经理和实施团队是否有权对各自的CI进行更改。此外，当对用户访问和权限进行任何政策更改时，它们将通过更改管理流程实施。

请求履行是访问管理最佳实践的一部分，其中SSH密钥和密码需要按常规时间表轮换。此外，身份证件需要在到期前更新。这些由IT服务台团队作为请求处理，并作为安全维护和维护的一部分来完成。除此之外，根据组织结构，最终用户有时会通过请求履行实践请求访问关键资源。，特权访问请求是
也完成了。

CMDB交互主要围绕维护每个CI持有的访问权限、密钥和身份证书的记录。访问管理系统与CMDB交互，按计划更新它们。

装备你的ITSM平台

确保您的ITSM平台具有以下要求，以加强您的访问管理活动：

• ITSM平台应集成特权访问管理（PAM）解决方案，以确保密钥轮换、易受攻击的证书检测和证书续订是请求履行实践中自动化工作流程的一部分。
• 在事件诊断过程中，PAM解决方案应允许ITSM平台通过从PAM数据库中自动获取SSH密钥，启动安全远程会话到工作站。这些远程诊断会话需要记录并添加到PAM系统中，以便以后进行安全审计。
• 作为事件诊断的一部分，IT技术人员在远程会话中访问应用程序时应获得最不必要的权限。通过ITSM和PAM系统之间的集成，这种应用程序级沙盒应该是可能的。
• ITSM平台应该内置CMDB，其中包含与相关CI相关的最新证书，从PAM系统获取。
• 变更管理流程也可以通过与PAM系统的集成来验证。只有利益攸关方批准的相关变更，才能授予对CI的任何更改的访问权限。

案例

医疗保健机构Zylker Health面临数百万份电子患者健康信息（ePHI）记录的数据泄露。漏洞发生在一个过时的SSL协议上，该协议是最初的攻击载体。Zylker的IT维护更新SSL证书的时间表，并在必要时手动更新协议。然而，由于手动更新，他们暴露了人为错误。随后，其中一个网络设备仍在使用容易受到“心脏出血”漏洞影响的SSL协议版本。在他们的手动修补过程中，这被没有被注意到和修补。

利用漏洞，攻击者能够从内存中瞥见凭据，并利用它们登录网络。通过访问网络，他们能够渗透患者记录。

经验教训

• 维护证书仪表板：在您的环境中留意任何可能构成安全风险的易受攻击或过期的证书。最好的密钥管理解决方案提供了证书颁发机构、漏洞、到期和密钥摘要的实时仪表板。
• 自动扫描密钥和证书的漏洞：尽管协议更新的节奏很低，但投资于自动密钥和证书环境扫描可能会暴露出冒起链中最薄弱环节的不可预见的设备。
• 设置自动化证书续订的工作流程：将ITSM平台与您的密钥管理解决方案集成，以在任何证书到期或任何暴露的漏洞时自动创建事件工单。将此类漏洞视为信息安全事件，具有相同级别的响应，可确保更好的安全态势。

第二个案例：

威胁行为者可能来自外部，甚至来自内部不满的员工。一个小镇的水管理公司就是这种情况。一天下午，质量监测小组（QMT）开始注意到饮用水水库中的金属矿物质含量上升。尽管有多个级别的过滤，但水质达到了致命的污染水平。使问题更加严重的是，水库是开放的，正在向小镇供水。QMT触发了紧急告警，水库被关闭。净化团队花了两天时间才让整个系统再次启动并运行。经过调查，发现一名最近下船的员工仍然可以使用过滤系统，并且在没有发出任何告警的情况下更改了系统中的阈值限制。

经验教训

• 自动撤销特权：当员工离职在与PAM系统集成的ITSM平台上自动执行时，水管理公司可以确保员工的所有访问权限都会被撤销。由于员工离职通常作为工单提交给IT服务台，这种自动化消除了安全失效时可能造成的人为错误。
• 为可疑行为设置事件触发器：PAM系统可以分析并设置用户行为的基线分数。当用户在奇数时间访问资源，以及他们可能不需要的关键系统时，用户的信任分数会降低。一旦达到阈值，事件就会在ITSM平台上自动触发，提醒事件
  响应团队。

与ITSM实践的互动

事件管理和问题管理都与信息安全管理密切相关。例如，当网络中检测到行为异常时，事件响应团队（IRT）会立即收到告警。IRT根据事件管理最佳实践，以系统的方式开始分诊、诊断和解决。对事件的响应需要是一个可重复、可衡量和可指导的过程，否则混乱和混乱可能会影响提醒哪个团队、每个利益相关者的角色，有时还会影响解决事件时采取哪种方法。

问题管理消除了事件的根本原因。问题管理团队会处理频繁发生的小问题以及任何资源消耗事件，以分解问题、找到根本原因并应用解决方案。问题管理是组织安全态势的关键补充。使用UEBA的日志管理工具，可以识别企业IT环境中的告警的重复模式，并通知问题团队。

变革支持与信息安全管理直接和间接互动。大型企业每天都有许多变化被推送到基础架构上，而配置不佳的变化很容易滑向基础架构。这些配置不当的更改可能会使系统暴露在未修补的漏洞或安全漏洞中。SIEM工具提醒安全团队对未经批准的CI的配置更改，或者可能会增加组织安全态势的风险。间接地，变更管理可能是解决问题或事件诊断的结果，以保证基础架构的变更。因此，当遵循每个被推出的更改的更改流程时，这有助于维护组织既定的安全计划和政策。

IT资产管理和CMDB与信息安全实践的交互非常相似。SIEM工具检测CI的配置，并确定其生命周期中的当前状态，从而使库存和CMDB保持最新状态。一些组织甚至使用SIEM工具来验证CI，如果更改也已成功实施。

装备你的ITSM平台

确保您的ITSM平台具有以下要求，以加强您的信息安全管理实践：

• ITSM平台需要与SIEM工具集成，该工具能够自动创建工单来管理事件。带有 UEBA 的 SIEM 工具应在检测到任何异常模式时提醒事件响应团队。
• ITSM平台还应该有一个集成的问题管理模块，该模块可以深入研究，以找到IT环境中任何异常行为的根本原因。
• 作为管理问题的后续步骤，ITSM平台需要一个更改管理模块，其中可以提出更改请求，以进行计划的配置更改，如固件升级，或根据从监控系统收到的信号清除服务器上的数据库等。更改模块应该能够在指定时间范围内阻止指定的CI，因此不允许未经授权的更改。此外，平台的更改模块应该具有内置批准的工作流程，以确保在实施更改之前通过必要的安全许可。

案例

世界领先的航运公司之一Zylker Logistics的首席执行官接到执法机构的电话，称其客户数据被泄露。首席执行官惊慌失措，并立即与他们的IT经理核实，以迎接团队的扑克脸。首席执行官被告知，泄露的客户数据有14个月前的信息，这表明Zylker Logistics在14个月前被泄露，并且没有意识到这一点。

为了追踪和分析威胁者如何突破边界，IT团队从日志管理工具中筛选和筛选数百万行数据，将导致漏洞的日志跟踪拼接在一起。很久之后，他们发现Zylker通过电子邮件中的恶意附件被泄露了。附件在一台受损的笔记本电脑上安装了远程访问软件。然后，安装联系了威胁行为者，后者在受损的端点中运行外壳会话，并能够扫描所有网络设备、操作系统和打开的端口。

不幸的是，Zylker没有修补服务器上的漏洞，威胁者利用该漏洞来访问设备。服务器访问使威胁行为者很容易从内存中提取域管理员的密码哈希。使用哈希，以及随后访问域控制器，威胁行为者制作了密码哈希的副本。在密码恢复应用程序和暴力方法的帮助下，威胁者破解了密码并创建了个人帐户。除了管理员级别外，该个人帐户几乎获得了所有访问权限，这确保了威胁者不会发出任何告警。几周来，威胁者通过端口80/443将客户数据吸到外部服务器，所有这些活动都没有被检测到。

虽然他们在14个月内从单独的监控工具收到了几个告警，但他们并没有将告警关联起来来推断出攻击。此外，在没有向事件管理团队发送任何告警的情况下，对任何独特的告警都没有任何诊断或调查。

经验教训

• 使用基于UEBA的解决方案配置异常检测：只有日志管理工具，Zylker无法将多个告警关联在一起来推断出安全漏洞。例如，他们收到了来自其中一个交换机的端口扫描通知，但它很容易被当作流量峰值而关闭。当威胁者访问受损的工作站时，Zylker的IT团队没有将端口扫描通知与防病毒告警放在一起。UEBA解决方案可以建立用户和机器的基线行为，并标记组织内的异常行为。
• 在ITSM平台上将告警记录为工单：为了更快地响应信息安全事件，请将SIEM工具集成到ITSM平台中。SIEM的高优先级告警将作为重大事件票张提出，这将立即提醒安全团队保持警惕。借助UEBA或基本相关规则，随着攻击的持续进行，SIEM工具会不断向IT服务台发出高风险告警。发布告警，当报表来自同一IP地址的端口扫描和防病毒告警时，当访问哈希凭据时，会发送后续的高风险告警，并且由一个异常实体创建帐户。当一个组织同时使用SIEM和ITSM工具时，攻击很少被检测到或未报表。更快的响应结果和缓解行动可以更快地采取。
• 启动根本原因分析，以消除未来的失误：Zylker的IT团队可能需要几个小时来仔细检查日志并确定根本原因。一旦安全事件得到解决，就必须提出问题管理票。问题管理团队需要从工单中生成可用的见解，以便快速深入研究问题。SIEM工具或日志管理工具可以对数据进行分割和过滤，通过协助IT团队进行分析来救援。基于UEBA的解决方案加快了根本原因分析，并提供了相关性数据，以非常有效地指导问题管理团队找到解决方案。