企業(yè)的安全建設(shè)總是跟隨其信息化建設(shè)逐步建立并完善，隨著企業(yè)的部門分支、系統(tǒng)規(guī)模的不停擴(kuò)展，其安全設(shè)備也逐漸臃腫扎堆。這讓IT團(tuán)隊(duì)不堪重負(fù)，誤報(bào)率居高不下，不同的安全策略相互掐架，響應(yīng)效率低下，同時還要面臨業(yè)務(wù)團(tuán)隊(duì)的嫌棄和抗拒。

　　安全運(yùn)營成為當(dāng)前企業(yè)做好網(wǎng)絡(luò)安全工作的重要抓手，安全419推出《安全運(yùn)營解決方案》系列訪談選題，通過分析人、數(shù)據(jù)、工具、流程等安全運(yùn)營中的基本元素，探討現(xiàn)代安全運(yùn)營所需要的能力。本期，我們邀請到南京眾智維信息科技有限公司（以下簡稱 眾智維科技）創(chuàng)始人兼董事長孫捷先生，為大家分析企業(yè)如何恰到好處地落實(shí)安全運(yùn)營，順暢地開展常態(tài)化的安全工作。

　　眾智維科技成立于2015年，是以國內(nèi)知名的麒麟安全實(shí)驗(yàn)室（原OPENX實(shí)驗(yàn)室）為基礎(chǔ)建立的網(wǎng)絡(luò)安全軟件研發(fā)創(chuàng)新企業(yè)。公司堅(jiān)持“眾智創(chuàng)新重塑安全生態(tài)、AI運(yùn)營賦能網(wǎng)信安全”，是新一代人工智能+機(jī)器學(xué)習(xí)驅(qū)動，通過AI+無代碼數(shù)字機(jī)器人+自動化協(xié)同安全響應(yīng)平臺+實(shí)戰(zhàn)對抗的網(wǎng)絡(luò)安全攻防運(yùn)營（AISecOps）解決方案商。主要致力于為需求方提供安全自動化、風(fēng)險(xiǎn)評估、管理運(yùn)維、流量分析、端點(diǎn)防護(hù)、SOAR、AI/ML等網(wǎng)絡(luò)安全服務(wù)。

　　新型安全運(yùn)營體系意在實(shí)現(xiàn)

　　主動監(jiān)測、快速響應(yīng)、積極演練

　　網(wǎng)絡(luò)安全工作并非部署設(shè)備之后就一勞永逸，面對安全態(tài)勢的持續(xù)監(jiān)控，對安全事件的應(yīng)急響應(yīng)，以及對安全目標(biāo)和價(jià)值的評估量化，都要求網(wǎng)絡(luò)安全工作從“建設(shè)”持續(xù)走向“運(yùn)營”。

　　長久以來，企業(yè)通過安全服務(wù)外包、安排人員駐場、或制定相關(guān)流程并采用一些基礎(chǔ)的評估、協(xié)同工具來開展安全運(yùn)營，力求將安全產(chǎn)品、安全服務(wù)的能力發(fā)揮到極致，一定程度上提升了企業(yè)的安全感知和防護(hù)能力，避免業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)及關(guān)鍵數(shù)據(jù)受到損害和竊取。

　　然而，攻防對抗總是在動態(tài)中較量升級，孫捷表示，數(shù)字化改革成為企業(yè)業(yè)務(wù)轉(zhuǎn)型和加強(qiáng)競爭力的必要路徑，新冠疫情的流行大力推動著這一進(jìn)程的速度，一方面，愈加模糊的內(nèi)外網(wǎng)邊界帶來愈加多的數(shù)字資產(chǎn)暴露面，無論是內(nèi)部員工還是供應(yīng)鏈環(huán)節(jié)都可能成為入口跳板，面對更加先進(jìn)、智能的攻擊手段而防不勝防。另一方面，愈加復(fù)雜的IT架構(gòu)帶來了愈加碎片化的安全設(shè)備，一座座安全孤島形成新的囚籠與盲區(qū)，以及專業(yè)安全人員的缺乏和遠(yuǎn)程運(yùn)維成為常態(tài)，讓0day漏洞等高危安全事件無法得到及時有效的處理。

　　以眾智維科技參與的一次實(shí)網(wǎng)攻防演練項(xiàng)目為例，我們可以直觀感受到在上述現(xiàn)狀下開展安全運(yùn)營會遭遇的窘境。

　　某頭部金融客戶部署了超過20家供應(yīng)商的安全產(chǎn)品，在演練保障期間，平均每款產(chǎn)品配備有1-3名安全服務(wù)人員提供駐場技術(shù)支撐，當(dāng)安全事件發(fā)生，需要協(xié)同幾十款產(chǎn)品和上百號人員進(jìn)行響應(yīng)處置。矛盾之處在于，攻擊是針對組織整體，單點(diǎn)的安全產(chǎn)品無法窺見攻擊的全貌，難以還原完整的攻擊鏈路，異構(gòu)產(chǎn)品的安全策略和處置流程以及專家們的知識經(jīng)驗(yàn)彼此割裂，難以形成良性的合力，雖然能力和服務(wù)，面對實(shí)戰(zhàn)化進(jìn)攻反而將戰(zhàn)線拉得很長，防護(hù)效果大打折扣。

　　“安全攻防就是雙方搶時間，必須要打通人與人、人與產(chǎn)品以及產(chǎn)品與產(chǎn)品之間的通路”，孫捷這樣闡述現(xiàn)代化安全運(yùn)營的效用，“安全能力建設(shè)不是安全產(chǎn)品的堆疊，而是需要安全專家深度融入結(jié)合先進(jìn)平臺對核心業(yè)務(wù)實(shí)施主動監(jiān)測，以服務(wù)提供快速響應(yīng)，常態(tài)化演練提前發(fā)現(xiàn)威脅，從而去提升黑客的攻擊成本，拉長黑客攻擊周期，縮短事件發(fā)生后的響應(yīng)時間，防范和化解高級、新型威脅帶來的影響，降低風(fēng)險(xiǎn)帶來的損失，形成一套主動監(jiān)測、快速響應(yīng)、積極演練的新型安全運(yùn)營體系?！?/p>

　　其核心目標(biāo)之一——效能與效率，主要體現(xiàn)在兩點(diǎn)，一是平均檢測時間（Mean Incident Time to Detect，MTTD），安全風(fēng)險(xiǎn)事件從最初被檢測到最終確定其有效性所花費(fèi)的時間，可以反映企業(yè)在識別安全事件的真實(shí)威脅方面的能力和水平；二是平均響應(yīng)時間（Mean Incident Time to Response，MTTR），衡量調(diào)查和減輕已確認(rèn)事件所花費(fèi)的時間，顯示了安全運(yùn)營團(tuán)隊(duì)在分析和緩解安全事件的實(shí)際威脅方面的能力。因此，防守方的本質(zhì)就是降低 MTTD 和 MTTR，讓系統(tǒng)更安全地運(yùn)行，最終實(shí)現(xiàn)完整的安全運(yùn)營流程。

　　AISecOps

　　為提高安全運(yùn)營效率和質(zhì)量提供解題思路

　　作為聚焦AISecOps領(lǐng)域的方案提供商，孫捷表示眾智維科技以新一代人工智能+機(jī)器學(xué)習(xí)為驅(qū)動，通過AI+無代碼數(shù)字機(jī)器人+自動化協(xié)同安全響應(yīng)平臺+實(shí)戰(zhàn)對抗網(wǎng)格的創(chuàng)新組合打法，以無代碼數(shù)字安全機(jī)器人實(shí)現(xiàn)安全運(yùn)營輔助決策，以自主研發(fā)的SOAR安全自動化編排平臺實(shí)現(xiàn)攻防兩端的場景劇本自動化。

　　其AISecOps產(chǎn)品核心依托于MSS的云倉聯(lián)動體系，將眾智維科技的AI算法云倉、紅藍(lán)對抗數(shù)字機(jī)器人駕駛艙與企業(yè)安全運(yùn)營數(shù)據(jù)進(jìn)一步迭代整合，多維度構(gòu)建了紅藍(lán)紫軍三方高頻壓力下的安全運(yùn)營協(xié)同作戰(zhàn)體系。

　　孫捷以其拳頭產(chǎn)品RedOps紅鯨安全協(xié)同響應(yīng)平臺為例為我們闡述了眾智維科技在AISecOps領(lǐng)域的建樹。

　　RedOps是通過SOAR技術(shù)，以自動化編排為核心，充分使用自動化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同起來，將繁雜的安全運(yùn)行（尤其是安全響應(yīng)）過程梳理為任務(wù)和劇本，提供定制化的流程和控制，整合并加速有效網(wǎng)絡(luò)威脅的調(diào)查與緩解，可快速編排響應(yīng)策略，在收集不同來源的安全威脅數(shù)據(jù)和警報(bào)時，運(yùn)用人機(jī)結(jié)合的方法進(jìn)行事件分析與分類，根據(jù)標(biāo)準(zhǔn)流程輔助定義、排序和驅(qū)動標(biāo)準(zhǔn)化事件響應(yīng)行為，并應(yīng)用到防護(hù)、檢測與響應(yīng)的每個環(huán)節(jié)，實(shí)現(xiàn)簡化的統(tǒng)一協(xié)同響應(yīng)，節(jié)省手動分析時間，最終實(shí)現(xiàn)自動化安全運(yùn)營的安全協(xié)同響應(yīng)平臺。

　　根據(jù)Gartner的定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報(bào)警信息，或通過與其他技術(shù)的集成和自動化協(xié)調(diào)，提供包括安全事件響應(yīng)和威脅情報(bào)等功能。SOAR技術(shù)市場最終目標(biāo)是將安全編排和自動化（SOA）、安全事件響應(yīng)（SIR）和威脅情報(bào)平臺（TIP）功能融合到單個解決方案中，其三大核心能力是編排、自動化、安全響應(yīng)。

　　//安全能力編排化

　　據(jù)了解，RedOps一方面可以通過自底向上地通過安全設(shè)備接口化和安全接口應(yīng)用化實(shí)現(xiàn)安全應(yīng)用編排化；另一方面則自頂向下地將安全運(yùn)營者的安全運(yùn)營過程和規(guī)程進(jìn)行形式化落地，實(shí)現(xiàn)運(yùn)營過程的劇本化。最后，借助運(yùn)營過程劇本化和安全應(yīng)用編排化，實(shí)現(xiàn)安全能力的集成與編排，并為安全流程的自動化執(zhí)行奠定基礎(chǔ)。通過安全能力編排化，真正實(shí)現(xiàn)了將不同的設(shè)備和系統(tǒng)協(xié)同聯(lián)動起來的目標(biāo)。

　　//安全流程自動化

　　安全流程自動化不等于安全編排，實(shí)際上，安全編排得到的任務(wù)和劇本指明了一系列操作的步驟和下一步走向的判定條件，既可以人工執(zhí)行，也可以自動執(zhí)行。在實(shí)際應(yīng)用場景中，幾乎所有安全編排任務(wù)和劇本的執(zhí)行都或多或少地涉及自動化，否則安全編排的價(jià)值十分有限。

　　“還需要指出的是”，孫捷強(qiáng)調(diào)，“安全編排自動化不等于安全編排任務(wù)和劇本執(zhí)行的完全自動化，所有否認(rèn)人在安全運(yùn)營工作中的決定性作用的觀點(diǎn)都是不現(xiàn)實(shí)的。在實(shí)際應(yīng)用場景中，安全編排自動化基本都是半自動化?！盧edOps的安全運(yùn)營流程與規(guī)程盡可能地自動化執(zhí)行，從而大大提升安全流程的執(zhí)行效率，節(jié)約時間和人力成本，并確保能夠持續(xù)達(dá)成預(yù)期的效果。

　　//告警響應(yīng)智能化

　　對來自組織的各種告警信息進(jìn)行基于編排與自動化的響應(yīng)是 SOAR 產(chǎn)品的基本能力。此外，RedOps還提供了智能化告警響應(yīng)的能力，進(jìn)一步提升了告警響應(yīng)的精準(zhǔn)度和有效性。

　　智能告警分診：包括智能化、規(guī)約化的告警預(yù)處理，以及基于策略的告警合并。同時，系統(tǒng)可選的高級告警分析功能，幫助用戶進(jìn)一步提升告警價(jià)值，減少告警數(shù)量。告警分析采用基于關(guān)聯(lián)規(guī)則的分析技術(shù)，能夠?qū)⒉煌瑏碓吹母婢畔⑦B同外部的情境數(shù)據(jù)進(jìn)行交叉比對與關(guān)聯(lián)。

　　智能告警調(diào)查：安全運(yùn)維人員和分析師可以對告警信息進(jìn)行深入調(diào)查，支持交互式調(diào)查分析，支持基于劇本和應(yīng)用動作的編排化調(diào)查分析，支持告警統(tǒng)計(jì)與追溯下鉆。通過告警調(diào)查豐富告警信息、核實(shí)告警原因、對齊處置對策。

　　智能告警響應(yīng)：一旦確認(rèn)某個告警信息為安全事件（Incident），可以自動觸發(fā)響應(yīng)劇本，或者自動添加到相關(guān)的案例中，也可以提醒分析師進(jìn)行人工響應(yīng)。

　　總而言之，企業(yè)本質(zhì)上是為了避免業(yè)務(wù)受阻，有能力進(jìn)行安全對抗，提高安全運(yùn)營效率和質(zhì)量。借助RedOps，可以將分散的工具、人員和流程有機(jī)地整合到一起，幫助企業(yè)解決安全運(yùn)營的最后一公里落地問題；同時將人員從繁重的低端重復(fù)性勞動中解脫出來，通過編排與自動化技術(shù)手段提升人的運(yùn)營水平和績效；還能將有經(jīng)驗(yàn)的安全運(yùn)營人員的知識進(jìn)行固化、沉淀、分享，并不斷優(yōu)化；最終實(shí)現(xiàn)安全運(yùn)營效果的自動化、數(shù)字化度量，讓安全管理者更客觀、快速地掌握安全運(yùn)營團(tuán)隊(duì)的績效，以及安全運(yùn)營的實(shí)際效果。

　　安全運(yùn)營走向智能化、實(shí)戰(zhàn)化

　　落地AISecOps有章可循

　　根據(jù)安全運(yùn)營的新形勢，在未來，企業(yè)會不斷地在AI算法智能、自動化、無代碼作戰(zhàn)機(jī)器人層面不斷加碼。眾智維科技一直以來立足對安全運(yùn)營廠商產(chǎn)品生態(tài)體系的持續(xù)投入，與大量第三方安全廠商合作并資源整合，以構(gòu)建產(chǎn)品技術(shù)和運(yùn)營服務(wù)雙高壁壘，成為大數(shù)據(jù)+AISecOps安全領(lǐng)軍企業(yè)。目前眾智維科技RedOps紅鯨產(chǎn)品通過安全工具超市功能，實(shí)現(xiàn)與Check Point、亞信安全、奇安信、長亭科技、賽寧網(wǎng)安等國內(nèi)外150多家安全廠商建立API安全合作生態(tài)，覆蓋350款產(chǎn)品的自動化集成聯(lián)動，實(shí)現(xiàn)人與產(chǎn)品、產(chǎn)品與機(jī)器的高效集成，在網(wǎng)絡(luò)安全協(xié)作過程中為客戶實(shí)現(xiàn)各種安全資源的高效協(xié)同，落地AISecOps自動化、智能化、實(shí)戰(zhàn)化的產(chǎn)品和運(yùn)營實(shí)踐。

　　眾智維科技建議企業(yè)基于這些步驟來建設(shè)安全運(yùn)營體系：

　　01 制定安全運(yùn)營能力目標(biāo)。在部署SOC/SIEM基礎(chǔ)上，應(yīng)建設(shè)具備攻防能力、安全處置能力的專家或服務(wù)體系。通過嘗試落地SOAR、MITRE ATT&CK框架、協(xié)同作訓(xùn)來打通企業(yè)攻防安全基本運(yùn)營流程，從而清楚地認(rèn)識威脅的分布情況。

　　02 組建自有的安全攻防體系。目前在眾智維科技的客戶中，100%都面臨過針對性地攻擊，所以建議企業(yè)要保持攻防演練實(shí)戰(zhàn)化。企業(yè)管理層經(jīng)常問問運(yùn)營團(tuán)隊(duì)，“對手要拿我的什么信息？”這可能不僅僅是數(shù)據(jù)，也許是業(yè)務(wù)流程、組織架構(gòu)，甚至是高管信息、供應(yīng)鏈信息。這里所說的實(shí)戰(zhàn)化不是簡單的靶場演練，更多是可信眾測這類競爭檢測機(jī)制。

　　03 構(gòu)建彈性和可量化的運(yùn)營考核。眾智維科技為企業(yè)提供安全運(yùn)營方案的過程中，比較著重構(gòu)建彈性靈活的安全運(yùn)營方案，比如SOAR的APP安全接入、劇本Playbook實(shí)例化、USECASE案宗等，企業(yè)可以根據(jù)自身需求定義SecOps重點(diǎn)方向，從而多維度衡量常見安全事件處置效率（例如分為運(yùn)營人員、運(yùn)營團(tuán)隊(duì)、安全案宗各種角度的MTTD、MTTR），SOAR產(chǎn)品不僅僅能夠成為企業(yè)安全SecOps落地支撐，而且能實(shí)現(xiàn)量化運(yùn)營考核。

　　04 持續(xù)投入AI+SecOps建設(shè)。通過AI、ML、安全自動化的持續(xù)集成，可以釋放企業(yè)有限的安全運(yùn)營人員精力，降低企業(yè)運(yùn)營成本。

　　05 引入MSS安全專業(yè)托管。這將會是快速提高效率的另一種捷徑，越來越多的企業(yè)IT上云，也就意味著安全服務(wù)的云化。安全團(tuán)隊(duì)成員可以隨時隨地訪問這些企業(yè)應(yīng)用服務(wù)、運(yùn)營系統(tǒng)。企業(yè)通過SOC+SOAR+MSS托管服務(wù)將大大減輕安全團(tuán)隊(duì)的負(fù)擔(dān)，讓自有安全專家將能夠?qū)Ｗ⒂诟匾墓ぷ?，例如流程、協(xié)同、業(yè)務(wù)緩解和分析報(bào)告工作。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<