信息來源：51cto

很多企業(yè)購買了安全產(chǎn)品和安全服務(wù)，建立團(tuán)隊(duì)來建設(shè)和運(yùn)營安全體系，但是還是遇到諸多問題。比如：企業(yè)采購大量異構(gòu)的安全設(shè)備，分散各處，產(chǎn)生海量日志，給日志分析、事件處置帶來了困難; IT高層被大量碎片化信息所淹沒，無法宏觀判斷，有效決策;IT運(yùn)維人員到處救火，每次重大安全事件保障都會(huì)手忙腳亂的應(yīng)對，效率低下，無法真正發(fā)揮出設(shè)備和平臺(tái)的能力……

在復(fù)雜且快速變化的大環(huán)境中，如何有效地保障企業(yè)安全，是擺在每個(gè)企業(yè)面前的關(guān)鍵問題。

安全運(yùn)營新趨勢

企業(yè)購買安全產(chǎn)品和安全服務(wù)，花錢雇傭安全工程師，目標(biāo)是要解決問題，而解決問題不僅僅是把一個(gè)安全產(chǎn)品買回來、拿到一份安全報(bào)告就結(jié)束的事情。隨著安全管理和技術(shù)的發(fā)展，安全運(yùn)營被提到越來越重要的地位。

在管理學(xué)中，對運(yùn)營有個(gè)定義“運(yùn)營就是對運(yùn)營過程的計(jì)劃、組織、實(shí)施和控制，是與產(chǎn)品生產(chǎn)和服務(wù)創(chuàng)造密切相關(guān)的各項(xiàng)管理工作的總稱”。而安全運(yùn)營，就是為了實(shí)現(xiàn)安全目標(biāo)，提出安全解決構(gòu)想、驗(yàn)證效果、分析問題、診斷問題、協(xié)調(diào)資源解決問題并持續(xù)迭代優(yōu)化的過程。通過安全運(yùn)營過程的統(tǒng)籌管理，滿足企業(yè)安全的動(dòng)態(tài)性、持續(xù)性和整體性需求。

近幾年來，安全運(yùn)營發(fā)生很多變化，我們看到有一些趨勢：

1、從“被動(dòng)防御”到“主動(dòng)響應(yīng)”

傳統(tǒng)安全體系關(guān)注邊界防御，把企業(yè)網(wǎng)絡(luò)部署成銅墻鐵壁，但是企業(yè)IT系統(tǒng)上云，移動(dòng)互聯(lián)網(wǎng)成為業(yè)務(wù)標(biāo)配，網(wǎng)絡(luò)邊界越來越模糊，帶來新的安全挑戰(zhàn)。安全體系開始從“被動(dòng)防御”，向“主動(dòng)響應(yīng)”轉(zhuǎn)變，與其被動(dòng)挨打，不如快速發(fā)現(xiàn)，及時(shí)響應(yīng)，減少風(fēng)險(xiǎn)，降低損失。

2、從“碎片化”到“可視化”

很多企業(yè)在網(wǎng)絡(luò)中部署不同的安全設(shè)備，大量多樣性設(shè)備產(chǎn)生海量日志，信息分散，分析手段匱乏，難以看清全局安全狀態(tài)，極大影響安全運(yùn)營的效率和效果。隨著平臺(tái)技術(shù)的發(fā)展，安全體系開始從“碎片化”向“可視化”轉(zhuǎn)變，通過平臺(tái)可視化和大數(shù)據(jù)分析技術(shù)，提高運(yùn)營效率，感知全局安全態(tài)勢。

3、從“操作規(guī)范”到“效率優(yōu)先”

對大部分企業(yè)來說，安全運(yùn)維就是定期發(fā)現(xiàn)漏洞，修補(bǔ)漏洞;配置安全設(shè)備策略，基于業(yè)務(wù)變化調(diào)整策略;針對攻擊或事故，應(yīng)急響應(yīng)，等等，運(yùn)維人員在繁雜的安全操作中，努力尋求“操作規(guī)范”。但是隨著企業(yè)IT環(huán)境越來越復(fù)雜，越來越多的以經(jīng)濟(jì)利益為目的的安全事件的出現(xiàn)，企業(yè)安全運(yùn)營已關(guān)系到企業(yè)的業(yè)務(wù)發(fā)展甚至存亡。企業(yè)不再滿足于“操作規(guī)范”，而是要“效率優(yōu)先”，用更好的安全技術(shù)和產(chǎn)品，來提升安全運(yùn)營效率，實(shí)現(xiàn)企業(yè)安全目標(biāo)。

總的來說，一方面安全運(yùn)營向“主動(dòng)響應(yīng)、可視化、效率優(yōu)先”演變，另一方面合規(guī)驅(qū)動(dòng)了安全運(yùn)營的發(fā)展。

隨著等保2.0國家標(biāo)準(zhǔn)的正式發(fā)布，安全管理平臺(tái)、安全運(yùn)營服務(wù)成為安全體系的“標(biāo)配”。今天的安全運(yùn)營，數(shù)據(jù)是核心，分析是靈魂，人員是紐帶，企業(yè)從資產(chǎn)發(fā)現(xiàn)、安全監(jiān)控、數(shù)據(jù)分析、情報(bào)預(yù)警、協(xié)同處置等方面，構(gòu)建“預(yù)測、保護(hù)、檢測、響應(yīng)”的自適應(yīng)安全能力。

綠盟科技的智能安全運(yùn)營之道

1、安全運(yùn)營體系

新型的網(wǎng)絡(luò)安全威脅層出不窮，高風(fēng)險(xiǎn)等級(jí)的安全事件不斷出現(xiàn)，這將是未來安全行業(yè)的“新常態(tài)”。每一次重大的“安全事件”都是對安全組織的一次重大考驗(yàn)。從獲取敵情、武器到位、到大規(guī)模實(shí)施“安全服務(wù)”、監(jiān)視和閉環(huán)管理等要素活動(dòng)都對安全組織的能力提出更高的挑戰(zhàn)。

因此，未來的企業(yè)安全運(yùn)營體系建設(shè)，需要關(guān)注以下幾個(gè)方面：

1)能夠在戰(zhàn)略和戰(zhàn)術(shù)上利用威脅情報(bào);

2)能夠利用機(jī)器學(xué)習(xí)、復(fù)雜統(tǒng)計(jì)分析或預(yù)測算法等技術(shù)進(jìn)行安全建模和高級(jí)分析;

3)能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯;

4)能夠進(jìn)行持續(xù)的監(jiān)控與分析，構(gòu)建自適應(yīng)體系;

5)盡可能的自動(dòng)化，提升安全運(yùn)營效率;

2015年，全球知名市場分析機(jī)構(gòu)Gartner提出了自適應(yīng)架構(gòu)框架(ASA)，到2018年，已演進(jìn)為持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估體系(CARTA)，受到越來越多的安全廠家和客戶的認(rèn)可。

CARTA從預(yù)測、防御、檢測、響應(yīng)四個(gè)維度，以持續(xù)監(jiān)控和分析為核心，持續(xù)構(gòu)建自適應(yīng)體系架構(gòu)，以平臺(tái)為中心整合各類安全能力，協(xié)調(diào)人員處置事件，然后通過安全管理流程與制度的落地，通過安全運(yùn)營團(tuán)隊(duì)的有效組織，打造“安全、可信、合規(guī)”的安全運(yùn)營體系。

基于Gartner提出的安全運(yùn)營架構(gòu)，綠盟科技在2016年提出并打造了適應(yīng)市場新變化的下一代安全運(yùn)營體系：即以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)系統(tǒng)為核心，在持續(xù)監(jiān)控和分析的基礎(chǔ)上，通過連續(xù)響應(yīng)，自適應(yīng)調(diào)整防護(hù)策略，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的動(dòng)態(tài)防御，形成閉環(huán)的安全運(yùn)營體系。

2、綠盟智能安全運(yùn)營平臺(tái)

基于多年態(tài)勢感知、企業(yè)安全管理平臺(tái)建設(shè)經(jīng)驗(yàn)，綠盟科技發(fā)布了全新版本，重磅推出綠盟智能安全運(yùn)營平臺(tái)(NSFOCUS Intelligent Security Operation Platform，iSOP)，這是遵循綠盟智慧安全2.0理念，以運(yùn)營為中心，智能化、全場景的統(tǒng)一安全管理平臺(tái)。iSOP以大數(shù)據(jù)框架為基礎(chǔ)，結(jié)合威脅情報(bào)系統(tǒng)，通過對攻防場景的機(jī)器學(xué)習(xí)、威脅建模、場景關(guān)聯(lián)分析、異常行為分析以及安全編排自動(dòng)化、可視化呈現(xiàn)等技術(shù)，幫助客戶建立和完善安全態(tài)勢全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、資產(chǎn)及漏洞全生命周期管理、安全事故緊急響應(yīng)能力。通過獨(dú)有的自適應(yīng)體系架構(gòu)，為安全運(yùn)營提供可靠的信息數(shù)據(jù)支撐，協(xié)助客戶快速發(fā)現(xiàn)和分析安全問題，并通過運(yùn)維手段實(shí)現(xiàn)安全閉環(huán)管理。

說起綠盟智能安全運(yùn)營平臺(tái)，不得不說它的“智能”特性，體現(xiàn)在事前智能預(yù)警、事中智能分析、事后智能響應(yīng)三個(gè)方面。

◆事前智能預(yù)警

綠盟威脅情報(bào)中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技依賴多年的安全經(jīng)驗(yàn)和情報(bào)數(shù)據(jù)積累推出的一款威脅情報(bào)分析和共享平臺(tái)，可為用戶提供及時(shí)準(zhǔn)確的威脅情報(bào)數(shù)據(jù)。

借助NTI的威脅情報(bào)支撐，用戶通過綠盟智能安全運(yùn)營平臺(tái)可及時(shí)洞悉資產(chǎn)面臨的安全威脅進(jìn)行準(zhǔn)確預(yù)警，了解新的威脅動(dòng)態(tài)，實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略，結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢，并準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。

◆事中智能分析

經(jīng)過多年的安全攻防研究和安全服務(wù)經(jīng)驗(yàn)積累，面向不同安全業(yè)務(wù)場景，綠盟智能安全運(yùn)營平臺(tái)構(gòu)建多種智能安全分析引擎，包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、攻擊鏈分析引擎、安全態(tài)勢理解及推理引擎、威脅情報(bào)分析引擎、機(jī)器學(xué)習(xí)引擎、用戶行為分析引擎等。

舉個(gè)例子，綠盟智能安全運(yùn)營平臺(tái)提供用戶異常行為分析，使用高級(jí)分析方法和機(jī)器學(xué)習(xí)的模型，對用戶和實(shí)體(例如ip地址、應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線，能夠發(fā)現(xiàn)內(nèi)鬼作案。

◆事后智能響應(yīng)

在日常安全運(yùn)維中，策略配置等操作繁瑣而且容易出錯(cuò)，造成響應(yīng)不及時(shí)，處置出錯(cuò)，效率低下。綠盟智能安全運(yùn)營平臺(tái)通過安全編排和自動(dòng)化響應(yīng)技術(shù)(SOAR)，將不同數(shù)據(jù)集和安全技術(shù)編排在一起，以自動(dòng)化的方式驅(qū)動(dòng)事件智能處置，來提高安全運(yùn)營效率。其核心是最小化事件響應(yīng)過程中重復(fù)性任務(wù)的人工干預(yù)，幫助加速問題的解決。

總結(jié)

作為業(yè)務(wù)、場景和數(shù)據(jù)三驅(qū)動(dòng)的自適應(yīng)安全綜合管控平臺(tái)，綠盟智能安全運(yùn)營平臺(tái)將原本分散的各種安全信息予以整合提煉，不但使運(yùn)維效率大幅度的提高，而且使運(yùn)維人員的安全分析視角在廣度和深度方面得到全面的突破，進(jìn)而推動(dòng)了以人為安全運(yùn)營主體向以平臺(tái)為安全運(yùn)營主體的安全運(yùn)營思路進(jìn)行躍變，可逐步降低運(yùn)維人員在安全運(yùn)營中的投入比重，盡可能實(shí)現(xiàn)智能化的安全自運(yùn)營治理生態(tài)體系。