企業(yè)的安全建設總是跟隨其信息化建設逐步建立并完善，隨著企業(yè)的部門分支、系統(tǒng)規(guī)模的不停擴展，其安全設備也逐漸臃腫扎堆。這讓IT團隊不堪重負，誤報率居高不下，不同的安全策略相互掐架，響應效率低下，同時還要面臨業(yè)務團隊的嫌棄和抗拒。

　　安全運營成為當前企業(yè)做好網(wǎng)絡安全工作的重要抓手，安全419推出《安全運營解決方案》系列訪談選題，通過分析人、數(shù)據(jù)、工具、流程等安全運營中的基本元素，探討現(xiàn)代安全運營所需要的能力。本期，我們邀請到南京眾智維信息科技有限公司（以下簡稱 眾智維科技）創(chuàng)始人兼董事長孫捷先生，為大家分析企業(yè)如何恰到好處地落實安全運營，順暢地開展常態(tài)化的安全工作。

　　眾智維科技成立于2015年，是以國內知名的麒麟安全實驗室（原OPENX實驗室）為基礎建立的網(wǎng)絡安全軟件研發(fā)創(chuàng)新企業(yè)。公司堅持“眾智創(chuàng)新重塑安全生態(tài)、AI運營賦能網(wǎng)信安全”，是新一代人工智能+機器學習驅動，通過AI+無代碼數(shù)字機器人+自動化協(xié)同安全響應平臺+實戰(zhàn)對抗的網(wǎng)絡安全攻防運營（AISecOps）解決方案商。主要致力于為需求方提供安全自動化、風險評估、管理運維、流量分析、端點防護、SOAR、AI/ML等網(wǎng)絡安全服務。

　　新型安全運營體系意在實現(xiàn)

　　主動監(jiān)測、快速響應、積極演練

　　網(wǎng)絡安全工作并非部署設備之后就一勞永逸，面對安全態(tài)勢的持續(xù)監(jiān)控，對安全事件的應急響應，以及對安全目標和價值的評估量化，都要求網(wǎng)絡安全工作從“建設”持續(xù)走向“運營”。

　　長久以來，企業(yè)通過安全服務外包、安排人員駐場、或制定相關流程并采用一些基礎的評估、協(xié)同工具來開展安全運營，力求將安全產(chǎn)品、安全服務的能力發(fā)揮到極致，一定程度上提升了企業(yè)的安全感知和防護能力，避免業(yè)務系統(tǒng)、辦公系統(tǒng)及關鍵數(shù)據(jù)受到損害和竊取。

　　然而，攻防對抗總是在動態(tài)中較量升級，孫捷表示，數(shù)字化改革成為企業(yè)業(yè)務轉型和加強競爭力的必要路徑，新冠疫情的流行大力推動著這一進程的速度，一方面，愈加模糊的內外網(wǎng)邊界帶來愈加多的數(shù)字資產(chǎn)暴露面，無論是內部員工還是供應鏈環(huán)節(jié)都可能成為入口跳板，面對更加先進、智能的攻擊手段而防不勝防。另一方面，愈加復雜的IT架構帶來了愈加碎片化的安全設備，一座座安全孤島形成新的囚籠與盲區(qū)，以及專業(yè)安全人員的缺乏和遠程運維成為常態(tài)，讓0day漏洞等高危安全事件無法得到及時有效的處理。

　　以眾智維科技參與的一次實網(wǎng)攻防演練項目為例，我們可以直觀感受到在上述現(xiàn)狀下開展安全運營會遭遇的窘境。

　　某頭部金融客戶部署了超過20家供應商的安全產(chǎn)品，在演練保障期間，平均每款產(chǎn)品配備有1-3名安全服務人員提供駐場技術支撐，當安全事件發(fā)生，需要協(xié)同幾十款產(chǎn)品和上百號人員進行響應處置。矛盾之處在于，攻擊是針對組織整體，單點的安全產(chǎn)品無法窺見攻擊的全貌，難以還原完整的攻擊鏈路，異構產(chǎn)品的安全策略和處置流程以及專家們的知識經(jīng)驗彼此割裂，難以形成良性的合力，雖然能力和服務，面對實戰(zhàn)化進攻反而將戰(zhàn)線拉得很長，防護效果大打折扣。

　　“安全攻防就是雙方搶時間，必須要打通人與人、人與產(chǎn)品以及產(chǎn)品與產(chǎn)品之間的通路”，孫捷這樣闡述現(xiàn)代化安全運營的效用，“安全能力建設不是安全產(chǎn)品的堆疊，而是需要安全專家深度融入結合先進平臺對核心業(yè)務實施主動監(jiān)測，以服務提供快速響應，常態(tài)化演練提前發(fā)現(xiàn)威脅，從而去提升黑客的攻擊成本，拉長黑客攻擊周期，縮短事件發(fā)生后的響應時間，防范和化解高級、新型威脅帶來的影響，降低風險帶來的損失，形成一套主動監(jiān)測、快速響應、積極演練的新型安全運營體系?！?/p>

　　其核心目標之一——效能與效率，主要體現(xiàn)在兩點，一是平均檢測時間（Mean Incident Time to Detect，MTTD），安全風險事件從最初被檢測到最終確定其有效性所花費的時間，可以反映企業(yè)在識別安全事件的真實威脅方面的能力和水平；二是平均響應時間（Mean Incident Time to Response，MTTR），衡量調查和減輕已確認事件所花費的時間，顯示了安全運營團隊在分析和緩解安全事件的實際威脅方面的能力。因此，防守方的本質就是降低 MTTD 和 MTTR，讓系統(tǒng)更安全地運行，最終實現(xiàn)完整的安全運營流程。

　　AISecOps

　　為提高安全運營效率和質量提供解題思路

　　作為聚焦AISecOps領域的方案提供商，孫捷表示眾智維科技以新一代人工智能+機器學習為驅動，通過AI+無代碼數(shù)字機器人+自動化協(xié)同安全響應平臺+實戰(zhàn)對抗網(wǎng)格的創(chuàng)新組合打法，以無代碼數(shù)字安全機器人實現(xiàn)安全運營輔助決策，以自主研發(fā)的SOAR安全自動化編排平臺實現(xiàn)攻防兩端的場景劇本自動化。

　　其AISecOps產(chǎn)品核心依托于MSS的云倉聯(lián)動體系，將眾智維科技的AI算法云倉、紅藍對抗數(shù)字機器人駕駛艙與企業(yè)安全運營數(shù)據(jù)進一步迭代整合，多維度構建了紅藍紫軍三方高頻壓力下的安全運營協(xié)同作戰(zhàn)體系。

　　孫捷以其拳頭產(chǎn)品RedOps紅鯨安全協(xié)同響應平臺為例為我們闡述了眾智維科技在AISecOps領域的建樹。

　　RedOps是通過SOAR技術，以自動化編排為核心，充分使用自動化技術手段，將人、技術和流程高度協(xié)同起來，將繁雜的安全運行（尤其是安全響應）過程梳理為任務和劇本，提供定制化的流程和控制，整合并加速有效網(wǎng)絡威脅的調查與緩解，可快速編排響應策略，在收集不同來源的安全威脅數(shù)據(jù)和警報時，運用人機結合的方法進行事件分析與分類，根據(jù)標準流程輔助定義、排序和驅動標準化事件響應行為，并應用到防護、檢測與響應的每個環(huán)節(jié)，實現(xiàn)簡化的統(tǒng)一協(xié)同響應，節(jié)省手動分析時間，最終實現(xiàn)自動化安全運營的安全協(xié)同響應平臺。

　　根據(jù)Gartner的定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息，或通過與其他技術的集成和自動化協(xié)調，提供包括安全事件響應和威脅情報等功能。SOAR技術市場最終目標是將安全編排和自動化（SOA）、安全事件響應（SIR）和威脅情報平臺（TIP）功能融合到單個解決方案中，其三大核心能力是編排、自動化、安全響應。

　　//安全能力編排化

　　據(jù)了解，RedOps一方面可以通過自底向上地通過安全設備接口化和安全接口應用化實現(xiàn)安全應用編排化；另一方面則自頂向下地將安全運營者的安全運營過程和規(guī)程進行形式化落地，實現(xiàn)運營過程的劇本化。最后，借助運營過程劇本化和安全應用編排化，實現(xiàn)安全能力的集成與編排，并為安全流程的自動化執(zhí)行奠定基礎。通過安全能力編排化，真正實現(xiàn)了將不同的設備和系統(tǒng)協(xié)同聯(lián)動起來的目標。

　　//安全流程自動化

　　安全流程自動化不等于安全編排，實際上，安全編排得到的任務和劇本指明了一系列操作的步驟和下一步走向的判定條件，既可以人工執(zhí)行，也可以自動執(zhí)行。在實際應用場景中，幾乎所有安全編排任務和劇本的執(zhí)行都或多或少地涉及自動化，否則安全編排的價值十分有限。

　　“還需要指出的是”，孫捷強調，“安全編排自動化不等于安全編排任務和劇本執(zhí)行的完全自動化，所有否認人在安全運營工作中的決定性作用的觀點都是不現(xiàn)實的。在實際應用場景中，安全編排自動化基本都是半自動化。”RedOps的安全運營流程與規(guī)程盡可能地自動化執(zhí)行，從而大大提升安全流程的執(zhí)行效率，節(jié)約時間和人力成本，并確保能夠持續(xù)達成預期的效果。

　　//告警響應智能化

　　對來自組織的各種告警信息進行基于編排與自動化的響應是 SOAR 產(chǎn)品的基本能力。此外，RedOps還提供了智能化告警響應的能力，進一步提升了告警響應的精準度和有效性。

　　智能告警分診：包括智能化、規(guī)約化的告警預處理，以及基于策略的告警合并。同時，系統(tǒng)可選的高級告警分析功能，幫助用戶進一步提升告警價值，減少告警數(shù)量。告警分析采用基于關聯(lián)規(guī)則的分析技術，能夠將不同來源的告警信息連同外部的情境數(shù)據(jù)進行交叉比對與關聯(lián)。

　　智能告警調查：安全運維人員和分析師可以對告警信息進行深入調查，支持交互式調查分析，支持基于劇本和應用動作的編排化調查分析，支持告警統(tǒng)計與追溯下鉆。通過告警調查豐富告警信息、核實告警原因、對齊處置對策。

　　智能告警響應：一旦確認某個告警信息為安全事件（Incident），可以自動觸發(fā)響應劇本，或者自動添加到相關的案例中，也可以提醒分析師進行人工響應。

　　總而言之，企業(yè)本質上是為了避免業(yè)務受阻，有能力進行安全對抗，提高安全運營效率和質量。借助RedOps，可以將分散的工具、人員和流程有機地整合到一起，幫助企業(yè)解決安全運營的最后一公里落地問題；同時將人員從繁重的低端重復性勞動中解脫出來，通過編排與自動化技術手段提升人的運營水平和績效；還能將有經(jīng)驗的安全運營人員的知識進行固化、沉淀、分享，并不斷優(yōu)化；最終實現(xiàn)安全運營效果的自動化、數(shù)字化度量，讓安全管理者更客觀、快速地掌握安全運營團隊的績效，以及安全運營的實際效果。

　　安全運營走向智能化、實戰(zhàn)化

　　落地AISecOps有章可循

　　根據(jù)安全運營的新形勢，在未來，企業(yè)會不斷地在AI算法智能、自動化、無代碼作戰(zhàn)機器人層面不斷加碼。眾智維科技一直以來立足對安全運營廠商產(chǎn)品生態(tài)體系的持續(xù)投入，與大量第三方安全廠商合作并資源整合，以構建產(chǎn)品技術和運營服務雙高壁壘，成為大數(shù)據(jù)+AISecOps安全領軍企業(yè)。目前眾智維科技RedOps紅鯨產(chǎn)品通過安全工具超市功能，實現(xiàn)與Check Point、亞信安全、奇安信、長亭科技、賽寧網(wǎng)安等國內外150多家安全廠商建立API安全合作生態(tài)，覆蓋350款產(chǎn)品的自動化集成聯(lián)動，實現(xiàn)人與產(chǎn)品、產(chǎn)品與機器的高效集成，在網(wǎng)絡安全協(xié)作過程中為客戶實現(xiàn)各種安全資源的高效協(xié)同，落地AISecOps自動化、智能化、實戰(zhàn)化的產(chǎn)品和運營實踐。

　　眾智維科技建議企業(yè)基于這些步驟來建設安全運營體系：

　　01 制定安全運營能力目標。在部署SOC/SIEM基礎上，應建設具備攻防能力、安全處置能力的專家或服務體系。通過嘗試落地SOAR、MITRE ATT&CK框架、協(xié)同作訓來打通企業(yè)攻防安全基本運營流程，從而清楚地認識威脅的分布情況。

　　02 組建自有的安全攻防體系。目前在眾智維科技的客戶中，100%都面臨過針對性地攻擊，所以建議企業(yè)要保持攻防演練實戰(zhàn)化。企業(yè)管理層經(jīng)常問問運營團隊，“對手要拿我的什么信息？”這可能不僅僅是數(shù)據(jù)，也許是業(yè)務流程、組織架構，甚至是高管信息、供應鏈信息。這里所說的實戰(zhàn)化不是簡單的靶場演練，更多是可信眾測這類競爭檢測機制。

　　03 構建彈性和可量化的運營考核。眾智維科技為企業(yè)提供安全運營方案的過程中，比較著重構建彈性靈活的安全運營方案，比如SOAR的APP安全接入、劇本Playbook實例化、USECASE案宗等，企業(yè)可以根據(jù)自身需求定義SecOps重點方向，從而多維度衡量常見安全事件處置效率（例如分為運營人員、運營團隊、安全案宗各種角度的MTTD、MTTR），SOAR產(chǎn)品不僅僅能夠成為企業(yè)安全SecOps落地支撐，而且能實現(xiàn)量化運營考核。

　　04 持續(xù)投入AI+SecOps建設。通過AI、ML、安全自動化的持續(xù)集成，可以釋放企業(yè)有限的安全運營人員精力，降低企業(yè)運營成本。

　　05 引入MSS安全專業(yè)托管。這將會是快速提高效率的另一種捷徑，越來越多的企業(yè)IT上云，也就意味著安全服務的云化。安全團隊成員可以隨時隨地訪問這些企業(yè)應用服務、運營系統(tǒng)。企業(yè)通過SOC+SOAR+MSS托管服務將大大減輕安全團隊的負擔，讓自有安全專家將能夠專注于更重要的工作，例如流程、協(xié)同、業(yè)務緩解和分析報告工作。

更多信息可以來這里獲取==>>電子技術應用-AET<<