網(wǎng)絡(luò)安全建設(shè)對一般企業(yè)而言，是專業(yè)門檻比較高又必須要考慮的問題。對具備一定規(guī)模的企業(yè)，常見的安全建設(shè)模式，是越堆越多的各種不同類型的安全設(shè)備，加上若干長期駐場的來自安全廠商的安全運維人員。隨著遠(yuǎn)程辦公、辦公網(wǎng)、數(shù)據(jù)中心和多云成為目前企業(yè)的主要IT環(huán)境，傳統(tǒng)安全建設(shè)模式，投入大、成本高、效果低、難維護(hù)成為痛點問題。

　　云計算不僅改變了企業(yè)傳統(tǒng)的業(yè)務(wù)模式，也帶來了傳統(tǒng)安全運營模式的全新改變。云化時代，高速的信息傳播，使得安全運營的敏捷性成為必需。而云化技術(shù)又為實現(xiàn)敏捷的安全運營成為可能。因此，有觀點認(rèn)為，安全的未來靠運營，運營的未來在云上！

　　今年5月，綠盟科技正式發(fā)布云化戰(zhàn)略——T-ONE CLOUD，旨在以云的思路重構(gòu)安全運營體系，為用戶提供彈性敏捷的安全閉環(huán)保障能力。本期訪談特別邀請到綠盟科技集團(tuán)副總裁曹嘉，共同探討云時代企業(yè)安全運營服務(wù)的變革與發(fā)展。

　　16年安全行業(yè)從業(yè)經(jīng)歷，具備豐富的安全咨詢、項目管理及解決方案創(chuàng)新經(jīng)驗。多年來深耕網(wǎng)絡(luò)安全領(lǐng)域，率領(lǐng)團(tuán)隊長期從事安全服務(wù)業(yè)務(wù)，負(fù)責(zé)綠盟科技紅隊/藍(lán)隊管理、咨詢設(shè)計、網(wǎng)絡(luò)安全培訓(xùn)與教育、應(yīng)急響應(yīng)、安全開發(fā)等專業(yè)服務(wù)團(tuán)隊。

　　我們看到綠盟科技提出了“云運營再造新安全”的理念，這個理念的提出背景是什么？與傳統(tǒng)安全建設(shè)模式有什么區(qū)別？

　　曹嘉：

　　“云運營再造新安全”指的是云安全戰(zhàn)略。我們對未來安全運營上云和本地化的問題上做了很長時間的分析和討論，目前的業(yè)務(wù)場景上主要指托管檢測和響應(yīng)MDR（Managed Detection and Response），MDR立足在本地以及遠(yuǎn)程進(jìn)行威脅分析和響應(yīng)，即DR類服務(wù)，如果將安全運營的主要方向定義為對D和R的效率提升，則也可以說云化安全將會改變的首先就是DR類服務(wù)的效率和效果。與傳統(tǒng)安全模式的區(qū)別主要包括：

　　首先，云安全戰(zhàn)略一方面要保護(hù)客戶在云上的資產(chǎn)，另一方面要通過云的方式閉環(huán)客戶的安全需求來提供更好的服務(wù)。技術(shù)上，需要基于云化的SaaS服務(wù)來建立面向全行業(yè)的大中臺，面向客戶提供監(jiān)測預(yù)警分析、響應(yīng)的服務(wù)，為用戶閉環(huán)所有的安全問題。

　　其次，傳統(tǒng)模式下運營商、金融、政府是最大的安全買家，但他們更多會將運營責(zé)任放在自己身上。而云運營戰(zhàn)略主要是布局前瞻性的市場及未來客戶的發(fā)展需求。云連接促進(jìn)了新興制造業(yè)、連鎖集團(tuán)跨地域的快速發(fā)展，企業(yè)運營一方面會演變成云上云下混合的模式，企業(yè)很難找到一個統(tǒng)一的視角去看自己在混合云環(huán)境下的安全能力和安全風(fēng)險；另一方面，對于不停在各地進(jìn)行節(jié)點擴(kuò)張的企業(yè)來說，首先要解決合規(guī)準(zhǔn)入問題，而每增加一個新的連鎖店就要重復(fù)進(jìn)行系統(tǒng)建設(shè)，其建設(shè)、運營成本會成倍增長；此外，新興和小微企業(yè)初期都要考量自己的投入產(chǎn)出比，不可能上來就建個運營中心或SOC。云安全戰(zhàn)略定位主要是匹配這些跨地域快速擴(kuò)張的企業(yè)、廣域連接的新興行業(yè)及小微企業(yè)的安全運營需求。

　　企業(yè)用戶在應(yīng)對網(wǎng)絡(luò)威脅時，仍然經(jīng)常面臨“看不見，分不清，處置不及時”的情況，目前企業(yè)的安全運營能力與外部攻擊的對抗水平是否匹配？該如何應(yīng)對？

　　曹嘉：

　　在攻守兩端，防守永遠(yuǎn)難于攻擊，攻防雙方長期不對等。

　　從本質(zhì)上說，永遠(yuǎn)都會有新的漏洞、新的威脅出現(xiàn)，安全是一個對抗性的行業(yè)，攻擊在先的趨勢長期不可逆。在這個對抗的過程當(dāng)中，任何一個漏洞的出現(xiàn)，我們認(rèn)為它都是全新的，每個漏洞利用都有不同，要動態(tài)的看待每個漏洞和影響。

　　其次，安全運營的復(fù)雜度高。企業(yè)安全建設(shè)中涉及的安全廠商、產(chǎn)品、服務(wù)非常多樣，系統(tǒng)異構(gòu)、接口方式，以及廠家對漏洞、威脅的定義規(guī)則都不相同，安全資產(chǎn)缺少統(tǒng)籌管理，甚至很多資產(chǎn)都不在客戶管理的視圖中，僅對某一個系統(tǒng)打補丁做升級是防不住的。

　　再次，檢測和響應(yīng)效率不足，安全的未來應(yīng)該注重在效率上，即提高檢測時間（TTD）和響應(yīng)時間（TTR）。任何一個企業(yè)都可能被單點突破，遭受攻擊，企業(yè)失陷后恢復(fù)的時間越短，表示安全運營越完備。傳統(tǒng)運營方案的檢測能力受限，只有檢測能力和響應(yīng)能力更好，安全運營才能越轉(zhuǎn)越快。這要求從產(chǎn)品到平臺，從硬件到軟件，從人到流程都必須做的很好，有一個環(huán)節(jié)慢，檢測的和響應(yīng)的都不會快。能不能夠把TTD和TTR提得更高，是任何一個企業(yè)安全管理者都要解決的問題。

　　最后，系統(tǒng)自動化處置程度還比較低，基于人進(jìn)行處置很難使響應(yīng)效率得到有效提升，安全需要在盡可能準(zhǔn)確和盡可能全面的檢測和響應(yīng)之間折中取一個平衡點。

　　云計算技術(shù)給安全運營工作帶來的主要幫助有哪些，是否會成為主流或剛需的安全運營模式？

　　曹嘉：

　　云計算技術(shù)給安全運營所帶來的第一個顯示易見的幫助是集約化。云安全運營通過建立一個覆蓋全國的中臺系統(tǒng)或者工單系統(tǒng)實現(xiàn)能力和項目管理的拉通，能夠解決分布站點的等保合規(guī)訴求，降低企業(yè)合規(guī)建設(shè)的成本；幫助用戶實現(xiàn)云上云下統(tǒng)一視圖，使用戶的安全投入和產(chǎn)出比有更好的呈現(xiàn)；同時，在企業(yè)業(yè)務(wù)擴(kuò)展時安全能力可以彈性地擴(kuò)容，非常方便。

　　其次，自動化的工具平臺和云化的SaaS服務(wù)使評估和測試變得更加輕量化，覆蓋度會更高。常見的可利用的漏洞在自動化的工具平臺上都能覆蓋，針對不同的需求場景測試可分為不同類型，如高強度的對抗型測試、標(biāo)準(zhǔn)的安全功能測試、輕量級測試。特別是輕量級測試價格也會更低，能幫助客戶提升測試的覆蓋度，給用戶的測試結(jié)果都是可以被有效利用的、用戶最需要關(guān)注和解決的問題。

　　除集約化和輕量化外，云安全運營的最大優(yōu)勢是面向客戶提供監(jiān)測預(yù)警分析、響應(yīng)服務(wù)，能幫助企業(yè)減少安全事件檢測到響應(yīng)的工作鏈條，閉環(huán)所有的安全問題，提高檢測和響應(yīng)效率。安全事件解決需要從現(xiàn)象到證據(jù)鏈到分析，再從分析轉(zhuǎn)化到產(chǎn)品，整個過程需要規(guī)則工程師、研發(fā)工程師等不同環(huán)節(jié)的安全人員按一定流程分工協(xié)同工作。具有專業(yè)運營經(jīng)驗的云服務(wù)平臺，對告警的分析處理比在客戶端的判斷要快很多，處置的工具方法也會比客戶本地多很多，可以很快判斷告警是否是真正的風(fēng)險，幫助用戶提高了檢測的效率。同時，熱補丁技術(shù)在云安全運營中得到了更好的應(yīng)用，緩解新型攻擊應(yīng)對的壓力，這也是云安全運營帶給企業(yè)的紅利。

　　隨著企業(yè)上云，集約化政務(wù)云的大規(guī)模建設(shè)，政務(wù)系統(tǒng)大數(shù)據(jù)局的出現(xiàn)，用戶在云上產(chǎn)生的數(shù)據(jù)是不是安全，也是安全運營未來要解決的一個問題。從合規(guī)導(dǎo)向來看，國家在安全運營方面也匹配了相應(yīng)的政策，去年中國信息安全測評中心頒發(fā)了安全運營的資質(zhì)，這是安全行業(yè)最熱門的資質(zhì)之一，擁有這個資質(zhì)就證明企業(yè)有解決挖礦、勒索病毒、等級保護(hù)問題的能力，這也是市場的剛需，可以帶來更廣闊的安全運營服務(wù)市場。

　　采用云安全運營模式后，企業(yè)的數(shù)據(jù)資產(chǎn)是否也會從企業(yè)數(shù)據(jù)中心遷移到云端，擴(kuò)大企業(yè)的風(fēng)險暴露面？在檢測或出現(xiàn)安全事件后，云運營商又如何更好的幫助用戶解決安全風(fēng)險？

　　曹嘉：

　　企業(yè)的風(fēng)險暴露面并不會因為安全運營上云而變得擴(kuò)大。

　　首先，第三方安全運營商也是在受監(jiān)管的情況下進(jìn)行本地或遠(yuǎn)程的服務(wù)；

　　其次，安全運營并不需要用戶的所有數(shù)據(jù)，而是對疑似的流量做鏡像和保存。用戶只需要將本地關(guān)注的告警給到運營平臺，為便于事后追溯和溯源，一般是由客戶在本地做好全量數(shù)據(jù)留存，如果需要原始數(shù)據(jù)，要到客戶本地溯源；

　　部分關(guān)鍵行業(yè)如金融、政府，因數(shù)據(jù)合規(guī)要求會明確數(shù)據(jù)不能出網(wǎng)，數(shù)據(jù)不能出省，企業(yè)要將數(shù)據(jù)放在本地。但新興行業(yè)，如制造業(yè)、酒店行業(yè)，業(yè)務(wù)模式相對開放，不太涉及敏感業(yè)務(wù)，國家對其要求也沒有關(guān)基行業(yè)那么高。因此，企業(yè)在可控的情況下選擇云安全運營模式并不會給企業(yè)帶來更大的風(fēng)險。

　　在檢測到網(wǎng)絡(luò)安全風(fēng)險時，安全運營商首先要告知用戶風(fēng)險，督促客戶進(jìn)行盡可能有效的修復(fù)和閉環(huán)安全問題。然而，一旦出現(xiàn)失陷事件，如果是已知的安全問題，就會追究運營商是否盡到了督促修復(fù)的義務(wù)，如果是未知的風(fēng)險，除了讓用戶理解外，運營商也會通過高效的檢測和響應(yīng)能力協(xié)助用戶進(jìn)行修復(fù)工作以更快的收斂風(fēng)險。

　　在解決和處理云上安全事件時，會涉及業(yè)務(wù)提供方、租戶、云供應(yīng)商等多個環(huán)節(jié)，相對傳統(tǒng)企業(yè)的運營更復(fù)雜，安全運營商也需要找具有信用背書能力的業(yè)務(wù)平臺協(xié)調(diào)業(yè)務(wù)提供方和基礎(chǔ)設(shè)施建設(shè)方一起進(jìn)行安全改造。

　　責(zé)任界定時安全運營商需要平衡這些關(guān)系之間的安全責(zé)任，一般會按云計算的分層結(jié)構(gòu)進(jìn)行劃分：基礎(chǔ)設(shè)施安全由云基礎(chǔ)設(shè)備提供方去解決；業(yè)務(wù)邏輯漏洞問題由租戶去解決；運營方就要通盤看待這個問題并協(xié)同好各方去解決安全問題。這相對傳統(tǒng)的安全運營會更加復(fù)雜，安全運營商扮演的角色也變得更多。

　　不同類型企業(yè)在構(gòu)建安全運營能力時應(yīng)該如何選擇云安全運營服務(wù)，有沒有一些推薦的組件？

　　曹嘉：

　　小微企業(yè)多采用政務(wù)云或者托管在阿里云、騰訊云的公有云上走集約化的模式，需求以安全合規(guī)為主，安全投資不能太重，同時不能對業(yè)務(wù)有太多阻礙和影響，推薦基于SaaS的輕量化的測試服務(wù)。

　　而央企、醫(yī)療、大型制造類企業(yè)，一般沒有足夠的編制管理自己多方面的安全，甚至管理自己采購的多種產(chǎn)品和服務(wù)供應(yīng)商，托管服務(wù)會比較適合。其中，輕量點的托管服務(wù)有MSS，重一點可以讓運營商幫他們建設(shè)，甚至出人拉通云上云下的流程。以醫(yī)療行業(yè)為例，疫情環(huán)境下，衛(wèi)建委要求把數(shù)據(jù)下沉到每個三甲醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生所甚至藥店，這種場景下，云安全運營商就可以非常方便的通過將探針分布式部署到每一所三甲醫(yī)院、每一個衛(wèi)生所和每一個藥店，而衛(wèi)健委只在省一級的數(shù)據(jù)中心或運營中心構(gòu)建安全運營平臺。

　　關(guān)鍵信息基礎(chǔ)設(shè)施類行業(yè)，其面臨的網(wǎng)絡(luò)威脅相對以上兩類企業(yè)更嚴(yán)峻，自身的基礎(chǔ)安全建設(shè)相對比較完備，多數(shù)配有專業(yè)的安全團(tuán)隊，更希望有一些專項安全業(yè)務(wù)與現(xiàn)有的安全能力進(jìn)行補充，比如，紅藍(lán)對抗、供應(yīng)鏈安全的咨詢和分析、代碼安全分析、軟件成熟度分析等。

　　您認(rèn)為未來安全運營還會有哪些創(chuàng)新能力或特點出現(xiàn)，談一談您對安全運營服務(wù)未來的發(fā)展的看法？

　　曹嘉：

　　全球安全市場的收入是服務(wù)大于產(chǎn)品，而中國是產(chǎn)品大于服務(wù)，但是在過去十年，服務(wù)的比例和專業(yè)度在逐年提高，影響這個變化的因素非常多。首先，在我國部分行業(yè)IT建設(shè)高峰期的時間窗口基本已經(jīng)過去了，比如金融。投資高峰期過去之后必定會產(chǎn)生對運營的大量需求，這是安全運營必然興起的第一個原因；其次，國家在政策上對于服務(wù)型以及本土安全企業(yè)的支持，包括信創(chuàng)、數(shù)字化轉(zhuǎn)型、十四五規(guī)劃、產(chǎn)業(yè)供應(yīng)鏈規(guī)劃甚至數(shù)據(jù)安全、供應(yīng)鏈安全等對安全運營的促進(jìn)都非常明顯。未來安全運營在服務(wù)甚至在整個安全投資的比重會大幅增長。

　　隨著云安全運營技術(shù)的發(fā)展，未來風(fēng)險評估將會出現(xiàn)一些低成本、高可用的技術(shù)，評估手段變得更加的自動化、可復(fù)制化，能更好的解決安全評估的效率問題。典型的有輕量化的滲透測試、基于BAS對攻擊路徑進(jìn)行拉通式的評估、SOAR事件分析等等。除了測試技術(shù)，容器、微服務(wù)技術(shù)的應(yīng)用改變了客戶從開發(fā)到運維的流程，安全廠商除了自身在開發(fā)中要運用這樣的技術(shù)以外，還要配合客戶發(fā)現(xiàn)這方面存在的問題。比如K8S里邊的AK/SK泄漏問題、API接口問題等，這些問題必須要成為安全運營商配合客戶發(fā)展的新方向。

　   評論

　　安全建設(shè)從無到有，從初步應(yīng)用到廣泛應(yīng)用，運營起著非常關(guān)鍵性的作用，安全運營是企業(yè)安全建設(shè)發(fā)展到一定階段的必然需求。但安全運營的關(guān)鍵不完全是技術(shù)手段和自動化程度的提高，更重要的是找到安全運營的主要瓶頸和關(guān)鍵節(jié)點，才能真正使安全運營有質(zhì)的提升。目前來講，安全運營仍然有諸多待解決的問題，是安全探索的一個重要課題。未來對某些企業(yè)來講，物色一個綜合的安全運營方，幫他們更好的利用好自己的廠商、資產(chǎn)以及相應(yīng)的服務(wù)商，也將成為企業(yè)安全建設(shè)的一個重要選項。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<