企業(yè)的安全建設(shè)總是跟隨其信息化建設(shè)逐步建立并完善,，隨著企業(yè)的部門(mén)分支、系統(tǒng)規(guī)模的不停擴(kuò)展，其安全設(shè)備也逐漸臃腫扎堆,。這讓IT團(tuán)隊(duì)不堪重負(fù)，誤報(bào)率居高不下,，不同的安全策略相互掐架,，響應(yīng)效率低下，同時(shí)還要面臨業(yè)務(wù)團(tuán)隊(duì)的嫌棄和抗拒,。

　　安全運(yùn)營(yíng)成為當(dāng)前企業(yè)做好網(wǎng)絡(luò)安全工作的重要抓手,，安全419推出《安全運(yùn)營(yíng)解決方案》系列訪(fǎng)談選題，通過(guò)分析人,、數(shù)據(jù),、工具、流程等安全運(yùn)營(yíng)中的基本元素,，探討現(xiàn)代安全運(yùn)營(yíng)所需要的能力,。本期，我們邀請(qǐng)到南京眾智維信息科技有限公司（以下簡(jiǎn)稱(chēng) 眾智維科技）創(chuàng)始人兼董事長(zhǎng)孫捷先生,，為大家分析企業(yè)如何恰到好處地落實(shí)安全運(yùn)營(yíng),，順暢地開(kāi)展常態(tài)化的安全工作。

　　眾智維科技成立于2015年,，是以國(guó)內(nèi)知名的麒麟安全實(shí)驗(yàn)室（原OPENX實(shí)驗(yàn)室）為基礎(chǔ)建立的網(wǎng)絡(luò)安全軟件研發(fā)創(chuàng)新企業(yè),。公司堅(jiān)持“眾智創(chuàng)新重塑安全生態(tài),、AI運(yùn)營(yíng)賦能網(wǎng)信安全”，是新一代人工智能+機(jī)器學(xué)習(xí)驅(qū)動(dòng),，通過(guò)AI+無(wú)代碼數(shù)字機(jī)器人+自動(dòng)化協(xié)同安全響應(yīng)平臺(tái)+實(shí)戰(zhàn)對(duì)抗的網(wǎng)絡(luò)安全攻防運(yùn)營(yíng)（AISecOps）解決方案商,。主要致力于為需求方提供安全自動(dòng)化、風(fēng)險(xiǎn)評(píng)估,、管理運(yùn)維,、流量分析、端點(diǎn)防護(hù),、SOAR,、AI/ML等網(wǎng)絡(luò)安全服務(wù)。

　　新型安全運(yùn)營(yíng)體系意在實(shí)現(xiàn)

　　主動(dòng)監(jiān)測(cè),、快速響應(yīng),、積極演練

　　網(wǎng)絡(luò)安全工作并非部署設(shè)備之后就一勞永逸，面對(duì)安全態(tài)勢(shì)的持續(xù)監(jiān)控,，對(duì)安全事件的應(yīng)急響應(yīng),，以及對(duì)安全目標(biāo)和價(jià)值的評(píng)估量化，都要求網(wǎng)絡(luò)安全工作從“建設(shè)”持續(xù)走向“運(yùn)營(yíng)”,。

　　長(zhǎng)久以來(lái),，企業(yè)通過(guò)安全服務(wù)外包、安排人員駐場(chǎng),、或制定相關(guān)流程并采用一些基礎(chǔ)的評(píng)估,、協(xié)同工具來(lái)開(kāi)展安全運(yùn)營(yíng)，力求將安全產(chǎn)品,、安全服務(wù)的能力發(fā)揮到極致,，一定程度上提升了企業(yè)的安全感知和防護(hù)能力，避免業(yè)務(wù)系統(tǒng),、辦公系統(tǒng)及關(guān)鍵數(shù)據(jù)受到損害和竊取,。

　　然而，攻防對(duì)抗總是在動(dòng)態(tài)中較量升級(jí),，孫捷表示,，數(shù)字化改革成為企業(yè)業(yè)務(wù)轉(zhuǎn)型和加強(qiáng)競(jìng)爭(zhēng)力的必要路徑，新冠疫情的流行大力推動(dòng)著這一進(jìn)程的速度,，一方面,，愈加模糊的內(nèi)外網(wǎng)邊界帶來(lái)愈加多的數(shù)字資產(chǎn)暴露面，無(wú)論是內(nèi)部員工還是供應(yīng)鏈環(huán)節(jié)都可能成為入口跳板,，面對(duì)更加先進(jìn),、智能的攻擊手段而防不勝防。另一方面,，愈加復(fù)雜的IT架構(gòu)帶來(lái)了愈加碎片化的安全設(shè)備,，一座座安全孤島形成新的囚籠與盲區(qū),，以及專(zhuān)業(yè)安全人員的缺乏和遠(yuǎn)程運(yùn)維成為常態(tài)，讓0day漏洞等高危安全事件無(wú)法得到及時(shí)有效的處理,。

　　以眾智維科技參與的一次實(shí)網(wǎng)攻防演練項(xiàng)目為例,，我們可以直觀感受到在上述現(xiàn)狀下開(kāi)展安全運(yùn)營(yíng)會(huì)遭遇的窘境。

　　某頭部金融客戶(hù)部署了超過(guò)20家供應(yīng)商的安全產(chǎn)品,，在演練保障期間,，平均每款產(chǎn)品配備有1-3名安全服務(wù)人員提供駐場(chǎng)技術(shù)支撐，當(dāng)安全事件發(fā)生,，需要協(xié)同幾十款產(chǎn)品和上百號(hào)人員進(jìn)行響應(yīng)處置,。矛盾之處在于，攻擊是針對(duì)組織整體,，單點(diǎn)的安全產(chǎn)品無(wú)法窺見(jiàn)攻擊的全貌,，難以還原完整的攻擊鏈路，異構(gòu)產(chǎn)品的安全策略和處置流程以及專(zhuān)家們的知識(shí)經(jīng)驗(yàn)彼此割裂,，難以形成良性的合力,，雖然能力和服務(wù)，面對(duì)實(shí)戰(zhàn)化進(jìn)攻反而將戰(zhàn)線(xiàn)拉得很長(zhǎng),，防護(hù)效果大打折扣,。

　　“安全攻防就是雙方搶時(shí)間,，必須要打通人與人,、人與產(chǎn)品以及產(chǎn)品與產(chǎn)品之間的通路”，孫捷這樣闡述現(xiàn)代化安全運(yùn)營(yíng)的效用,，“安全能力建設(shè)不是安全產(chǎn)品的堆疊,，而是需要安全專(zhuān)家深度融入結(jié)合先進(jìn)平臺(tái)對(duì)核心業(yè)務(wù)實(shí)施主動(dòng)監(jiān)測(cè)，以服務(wù)提供快速響應(yīng),，常態(tài)化演練提前發(fā)現(xiàn)威脅,，從而去提升黑客的攻擊成本，拉長(zhǎng)黑客攻擊周期,，縮短事件發(fā)生后的響應(yīng)時(shí)間,，防范和化解高級(jí)、新型威脅帶來(lái)的影響,，降低風(fēng)險(xiǎn)帶來(lái)的損失,，形成一套主動(dòng)監(jiān)測(cè)、快速響應(yīng),、積極演練的新型安全運(yùn)營(yíng)體系,。”

　　其核心目標(biāo)之一——效能與效率,，主要體現(xiàn)在兩點(diǎn),，一是平均檢測(cè)時(shí)間（Mean Incident Time to Detect,，MTTD），安全風(fēng)險(xiǎn)事件從最初被檢測(cè)到最終確定其有效性所花費(fèi)的時(shí)間,，可以反映企業(yè)在識(shí)別安全事件的真實(shí)威脅方面的能力和水平,；二是平均響應(yīng)時(shí)間（Mean Incident Time to Response，MTTR）,，衡量調(diào)查和減輕已確認(rèn)事件所花費(fèi)的時(shí)間,，顯示了安全運(yùn)營(yíng)團(tuán)隊(duì)在分析和緩解安全事件的實(shí)際威脅方面的能力。因此,，防守方的本質(zhì)就是降低 MTTD 和 MTTR,，讓系統(tǒng)更安全地運(yùn)行，最終實(shí)現(xiàn)完整的安全運(yùn)營(yíng)流程,。

　　AISecOps

　　為提高安全運(yùn)營(yíng)效率和質(zhì)量提供解題思路

　　作為聚焦AISecOps領(lǐng)域的方案提供商,，孫捷表示眾智維科技以新一代人工智能+機(jī)器學(xué)習(xí)為驅(qū)動(dòng)，通過(guò)AI+無(wú)代碼數(shù)字機(jī)器人+自動(dòng)化協(xié)同安全響應(yīng)平臺(tái)+實(shí)戰(zhàn)對(duì)抗網(wǎng)格的創(chuàng)新組合打法,，以無(wú)代碼數(shù)字安全機(jī)器人實(shí)現(xiàn)安全運(yùn)營(yíng)輔助決策,，以自主研發(fā)的SOAR安全自動(dòng)化編排平臺(tái)實(shí)現(xiàn)攻防兩端的場(chǎng)景劇本自動(dòng)化。

　　其AISecOps產(chǎn)品核心依托于MSS的云倉(cāng)聯(lián)動(dòng)體系,，將眾智維科技的AI算法云倉(cāng),、紅藍(lán)對(duì)抗數(shù)字機(jī)器人駕駛艙與企業(yè)安全運(yùn)營(yíng)數(shù)據(jù)進(jìn)一步迭代整合，多維度構(gòu)建了紅藍(lán)紫軍三方高頻壓力下的安全運(yùn)營(yíng)協(xié)同作戰(zhàn)體系,。

　　孫捷以其拳頭產(chǎn)品RedOps紅鯨安全協(xié)同響應(yīng)平臺(tái)為例為我們闡述了眾智維科技在AISecOps領(lǐng)域的建樹(shù),。

　　RedOps是通過(guò)SOAR技術(shù)，以自動(dòng)化編排為核心,，充分使用自動(dòng)化技術(shù)手段,，將人、技術(shù)和流程高度協(xié)同起來(lái),，將繁雜的安全運(yùn)行（尤其是安全響應(yīng)）過(guò)程梳理為任務(wù)和劇本,，提供定制化的流程和控制，整合并加速有效網(wǎng)絡(luò)威脅的調(diào)查與緩解,，可快速編排響應(yīng)策略,，在收集不同來(lái)源的安全威脅數(shù)據(jù)和警報(bào)時(shí)，運(yùn)用人機(jī)結(jié)合的方法進(jìn)行事件分析與分類(lèi),，根據(jù)標(biāo)準(zhǔn)流程輔助定義,、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化事件響應(yīng)行為，并應(yīng)用到防護(hù),、檢測(cè)與響應(yīng)的每個(gè)環(huán)節(jié),，實(shí)現(xiàn)簡(jiǎn)化的統(tǒng)一協(xié)同響應(yīng)，節(jié)省手動(dòng)分析時(shí)間,，最終實(shí)現(xiàn)自動(dòng)化安全運(yùn)營(yíng)的安全協(xié)同響應(yīng)平臺(tái),。

　　根據(jù)Gartner的定義,，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報(bào)警信息，或通過(guò)與其他技術(shù)的集成和自動(dòng)化協(xié)調(diào),，提供包括安全事件響應(yīng)和威脅情報(bào)等功能,。SOAR技術(shù)市場(chǎng)最終目標(biāo)是將安全編排和自動(dòng)化（SOA）、安全事件響應(yīng)（SIR）和威脅情報(bào)平臺(tái)（TIP）功能融合到單個(gè)解決方案中,，其三大核心能力是編排,、自動(dòng)化、安全響應(yīng),。

　　//安全能力編排化

　　據(jù)了解,，RedOps一方面可以通過(guò)自底向上地通過(guò)安全設(shè)備接口化和安全接口應(yīng)用化實(shí)現(xiàn)安全應(yīng)用編排化；另一方面則自頂向下地將安全運(yùn)營(yíng)者的安全運(yùn)營(yíng)過(guò)程和規(guī)程進(jìn)行形式化落地,，實(shí)現(xiàn)運(yùn)營(yíng)過(guò)程的劇本化,。最后，借助運(yùn)營(yíng)過(guò)程劇本化和安全應(yīng)用編排化,，實(shí)現(xiàn)安全能力的集成與編排,，并為安全流程的自動(dòng)化執(zhí)行奠定基礎(chǔ)。通過(guò)安全能力編排化,，真正實(shí)現(xiàn)了將不同的設(shè)備和系統(tǒng)協(xié)同聯(lián)動(dòng)起來(lái)的目標(biāo),。

　　//安全流程自動(dòng)化

　　安全流程自動(dòng)化不等于安全編排，實(shí)際上,，安全編排得到的任務(wù)和劇本指明了一系列操作的步驟和下一步走向的判定條件,，既可以人工執(zhí)行，也可以自動(dòng)執(zhí)行,。在實(shí)際應(yīng)用場(chǎng)景中,，幾乎所有安全編排任務(wù)和劇本的執(zhí)行都或多或少地涉及自動(dòng)化,，否則安全編排的價(jià)值十分有限,。

　　“還需要指出的是”，孫捷強(qiáng)調(diào),，“安全編排自動(dòng)化不等于安全編排任務(wù)和劇本執(zhí)行的完全自動(dòng)化,，所有否認(rèn)人在安全運(yùn)營(yíng)工作中的決定性作用的觀點(diǎn)都是不現(xiàn)實(shí)的。在實(shí)際應(yīng)用場(chǎng)景中,，安全編排自動(dòng)化基本都是半自動(dòng)化,。”RedOps的安全運(yùn)營(yíng)流程與規(guī)程盡可能地自動(dòng)化執(zhí)行,，從而大大提升安全流程的執(zhí)行效率,，節(jié)約時(shí)間和人力成本，并確保能夠持續(xù)達(dá)成預(yù)期的效果,。

　　//告警響應(yīng)智能化

　　對(duì)來(lái)自組織的各種告警信息進(jìn)行基于編排與自動(dòng)化的響應(yīng)是 SOAR 產(chǎn)品的基本能力,。此外,，RedOps還提供了智能化告警響應(yīng)的能力，進(jìn)一步提升了告警響應(yīng)的精準(zhǔn)度和有效性,。

　　智能告警分診：包括智能化,、規(guī)約化的告警預(yù)處理，以及基于策略的告警合并,。同時(shí),，系統(tǒng)可選的高級(jí)告警分析功能，幫助用戶(hù)進(jìn)一步提升告警價(jià)值,，減少告警數(shù)量,。告警分析采用基于關(guān)聯(lián)規(guī)則的分析技術(shù)，能夠?qū)⒉煌瑏?lái)源的告警信息連同外部的情境數(shù)據(jù)進(jìn)行交叉比對(duì)與關(guān)聯(lián),。

　　智能告警調(diào)查：安全運(yùn)維人員和分析師可以對(duì)告警信息進(jìn)行深入調(diào)查,，支持交互式調(diào)查分析，支持基于劇本和應(yīng)用動(dòng)作的編排化調(diào)查分析,，支持告警統(tǒng)計(jì)與追溯下鉆,。通過(guò)告警調(diào)查豐富告警信息、核實(shí)告警原因,、對(duì)齊處置對(duì)策,。

　　智能告警響應(yīng)：一旦確認(rèn)某個(gè)告警信息為安全事件（Incident），可以自動(dòng)觸發(fā)響應(yīng)劇本,，或者自動(dòng)添加到相關(guān)的案例中,，也可以提醒分析師進(jìn)行人工響應(yīng)。

　　總而言之,，企業(yè)本質(zhì)上是為了避免業(yè)務(wù)受阻,，有能力進(jìn)行安全對(duì)抗，提高安全運(yùn)營(yíng)效率和質(zhì)量,。借助RedOps,，可以將分散的工具、人員和流程有機(jī)地整合到一起,，幫助企業(yè)解決安全運(yùn)營(yíng)的最后一公里落地問(wèn)題,；同時(shí)將人員從繁重的低端重復(fù)性勞動(dòng)中解脫出來(lái)，通過(guò)編排與自動(dòng)化技術(shù)手段提升人的運(yùn)營(yíng)水平和績(jī)效,；還能將有經(jīng)驗(yàn)的安全運(yùn)營(yíng)人員的知識(shí)進(jìn)行固化,、沉淀、分享,，并不斷優(yōu)化,；最終實(shí)現(xiàn)安全運(yùn)營(yíng)效果的自動(dòng)化、數(shù)字化度量，讓安全管理者更客觀,、快速地掌握安全運(yùn)營(yíng)團(tuán)隊(duì)的績(jī)效,，以及安全運(yùn)營(yíng)的實(shí)際效果。

　　安全運(yùn)營(yíng)走向智能化,、實(shí)戰(zhàn)化

　　落地AISecOps有章可循

　　根據(jù)安全運(yùn)營(yíng)的新形勢(shì),，在未來(lái)，企業(yè)會(huì)不斷地在AI算法智能,、自動(dòng)化,、無(wú)代碼作戰(zhàn)機(jī)器人層面不斷加碼。眾智維科技一直以來(lái)立足對(duì)安全運(yùn)營(yíng)廠(chǎng)商產(chǎn)品生態(tài)體系的持續(xù)投入,，與大量第三方安全廠(chǎng)商合作并資源整合,，以構(gòu)建產(chǎn)品技術(shù)和運(yùn)營(yíng)服務(wù)雙高壁壘，成為大數(shù)據(jù)+AISecOps安全領(lǐng)軍企業(yè),。目前眾智維科技RedOps紅鯨產(chǎn)品通過(guò)安全工具超市功能,，實(shí)現(xiàn)與Check Point、亞信安全,、奇安信,、長(zhǎng)亭科技、賽寧網(wǎng)安等國(guó)內(nèi)外150多家安全廠(chǎng)商建立API安全合作生態(tài),，覆蓋350款產(chǎn)品的自動(dòng)化集成聯(lián)動(dòng),，實(shí)現(xiàn)人與產(chǎn)品、產(chǎn)品與機(jī)器的高效集成,，在網(wǎng)絡(luò)安全協(xié)作過(guò)程中為客戶(hù)實(shí)現(xiàn)各種安全資源的高效協(xié)同,，落地AISecOps自動(dòng)化、智能化,、實(shí)戰(zhàn)化的產(chǎn)品和運(yùn)營(yíng)實(shí)踐,。

　　眾智維科技建議企業(yè)基于這些步驟來(lái)建設(shè)安全運(yùn)營(yíng)體系：

　　01 制定安全運(yùn)營(yíng)能力目標(biāo)。在部署SOC/SIEM基礎(chǔ)上,，應(yīng)建設(shè)具備攻防能力,、安全處置能力的專(zhuān)家或服務(wù)體系。通過(guò)嘗試落地SOAR,、MITRE ATT&CK框架,、協(xié)同作訓(xùn)來(lái)打通企業(yè)攻防安全基本運(yùn)營(yíng)流程，從而清楚地認(rèn)識(shí)威脅的分布情況,。

　　02 組建自有的安全攻防體系。目前在眾智維科技的客戶(hù)中,，100%都面臨過(guò)針對(duì)性地攻擊,，所以建議企業(yè)要保持攻防演練實(shí)戰(zhàn)化。企業(yè)管理層經(jīng)常問(wèn)問(wèn)運(yùn)營(yíng)團(tuán)隊(duì),，“對(duì)手要拿我的什么信息,？”這可能不僅僅是數(shù)據(jù),，也許是業(yè)務(wù)流程、組織架構(gòu),，甚至是高管信息,、供應(yīng)鏈信息。這里所說(shuō)的實(shí)戰(zhàn)化不是簡(jiǎn)單的靶場(chǎng)演練,，更多是可信眾測(cè)這類(lèi)競(jìng)爭(zhēng)檢測(cè)機(jī)制,。

　　03 構(gòu)建彈性和可量化的運(yùn)營(yíng)考核。眾智維科技為企業(yè)提供安全運(yùn)營(yíng)方案的過(guò)程中,，比較著重構(gòu)建彈性靈活的安全運(yùn)營(yíng)方案,，比如SOAR的APP安全接入、劇本Playbook實(shí)例化,、USECASE案宗等,，企業(yè)可以根據(jù)自身需求定義SecOps重點(diǎn)方向，從而多維度衡量常見(jiàn)安全事件處置效率（例如分為運(yùn)營(yíng)人員,、運(yùn)營(yíng)團(tuán)隊(duì),、安全案宗各種角度的MTTD、MTTR）,，SOAR產(chǎn)品不僅僅能夠成為企業(yè)安全SecOps落地支撐,，而且能實(shí)現(xiàn)量化運(yùn)營(yíng)考核。

　　04 持續(xù)投入AI+SecOps建設(shè),。通過(guò)AI,、ML、安全自動(dòng)化的持續(xù)集成,，可以釋放企業(yè)有限的安全運(yùn)營(yíng)人員精力,，降低企業(yè)運(yùn)營(yíng)成本。

　　05 引入MSS安全專(zhuān)業(yè)托管,。這將會(huì)是快速提高效率的另一種捷徑,，越來(lái)越多的企業(yè)IT上云，也就意味著安全服務(wù)的云化,。安全團(tuán)隊(duì)成員可以隨時(shí)隨地訪(fǎng)問(wèn)這些企業(yè)應(yīng)用服務(wù),、運(yùn)營(yíng)系統(tǒng)。企業(yè)通過(guò)SOC+SOAR+MSS托管服務(wù)將大大減輕安全團(tuán)隊(duì)的負(fù)擔(dān),，讓自有安全專(zhuān)家將能夠?qū)Ｗ⒂诟匾墓ぷ?，例如流程、協(xié)同,、業(yè)務(wù)緩解和分析報(bào)告工作,。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<