信息來源：51cto

很多企業(yè)購買了安全產(chǎn)品和安全服務(wù)，建立團隊來建設(shè)和運營安全體系，但是還是遇到諸多問題。比如：企業(yè)采購大量異構(gòu)的安全設(shè)備，分散各處，產(chǎn)生海量日志，給日志分析、事件處置帶來了困難; IT高層被大量碎片化信息所淹沒，無法宏觀判斷，有效決策;IT運維人員到處救火，每次重大安全事件保障都會手忙腳亂的應(yīng)對，效率低下，無法真正發(fā)揮出設(shè)備和平臺的能力……

在復(fù)雜且快速變化的大環(huán)境中，如何有效地保障企業(yè)安全，是擺在每個企業(yè)面前的關(guān)鍵問題。

安全運營新趨勢

企業(yè)購買安全產(chǎn)品和安全服務(wù)，花錢雇傭安全工程師，目標(biāo)是要解決問題，而解決問題不僅僅是把一個安全產(chǎn)品買回來、拿到一份安全報告就結(jié)束的事情。隨著安全管理和技術(shù)的發(fā)展，安全運營被提到越來越重要的地位。

在管理學(xué)中，對運營有個定義“運營就是對運營過程的計劃、組織、實施和控制，是與產(chǎn)品生產(chǎn)和服務(wù)創(chuàng)造密切相關(guān)的各項管理工作的總稱”。而安全運營，就是為了實現(xiàn)安全目標(biāo)，提出安全解決構(gòu)想、驗證效果、分析問題、診斷問題、協(xié)調(diào)資源解決問題并持續(xù)迭代優(yōu)化的過程。通過安全運營過程的統(tǒng)籌管理，滿足企業(yè)安全的動態(tài)性、持續(xù)性和整體性需求。

近幾年來，安全運營發(fā)生很多變化，我們看到有一些趨勢：

1、從“被動防御”到“主動響應(yīng)”

傳統(tǒng)安全體系關(guān)注邊界防御，把企業(yè)網(wǎng)絡(luò)部署成銅墻鐵壁，但是企業(yè)IT系統(tǒng)上云，移動互聯(lián)網(wǎng)成為業(yè)務(wù)標(biāo)配，網(wǎng)絡(luò)邊界越來越模糊，帶來新的安全挑戰(zhàn)。安全體系開始從“被動防御”，向“主動響應(yīng)”轉(zhuǎn)變，與其被動挨打，不如快速發(fā)現(xiàn)，及時響應(yīng)，減少風(fēng)險，降低損失。

2、從“碎片化”到“可視化”

很多企業(yè)在網(wǎng)絡(luò)中部署不同的安全設(shè)備，大量多樣性設(shè)備產(chǎn)生海量日志，信息分散，分析手段匱乏，難以看清全局安全狀態(tài)，極大影響安全運營的效率和效果。隨著平臺技術(shù)的發(fā)展，安全體系開始從“碎片化”向“可視化”轉(zhuǎn)變，通過平臺可視化和大數(shù)據(jù)分析技術(shù)，提高運營效率，感知全局安全態(tài)勢。

3、從“操作規(guī)范”到“效率優(yōu)先”

對大部分企業(yè)來說，安全運維就是定期發(fā)現(xiàn)漏洞，修補漏洞;配置安全設(shè)備策略，基于業(yè)務(wù)變化調(diào)整策略;針對攻擊或事故，應(yīng)急響應(yīng)，等等，運維人員在繁雜的安全操作中，努力尋求“操作規(guī)范”。但是隨著企業(yè)IT環(huán)境越來越復(fù)雜，越來越多的以經(jīng)濟利益為目的的安全事件的出現(xiàn)，企業(yè)安全運營已關(guān)系到企業(yè)的業(yè)務(wù)發(fā)展甚至存亡。企業(yè)不再滿足于“操作規(guī)范”，而是要“效率優(yōu)先”，用更好的安全技術(shù)和產(chǎn)品，來提升安全運營效率，實現(xiàn)企業(yè)安全目標(biāo)。

總的來說，一方面安全運營向“主動響應(yīng)、可視化、效率優(yōu)先”演變，另一方面合規(guī)驅(qū)動了安全運營的發(fā)展。

隨著等保2.0國家標(biāo)準(zhǔn)的正式發(fā)布，安全管理平臺、安全運營服務(wù)成為安全體系的“標(biāo)配”。今天的安全運營，數(shù)據(jù)是核心，分析是靈魂，人員是紐帶，企業(yè)從資產(chǎn)發(fā)現(xiàn)、安全監(jiān)控、數(shù)據(jù)分析、情報預(yù)警、協(xié)同處置等方面，構(gòu)建“預(yù)測、保護、檢測、響應(yīng)”的自適應(yīng)安全能力。

綠盟科技的智能安全運營之道

1、安全運營體系

新型的網(wǎng)絡(luò)安全威脅層出不窮，高風(fēng)險等級的安全事件不斷出現(xiàn)，這將是未來安全行業(yè)的“新常態(tài)”。每一次重大的“安全事件”都是對安全組織的一次重大考驗。從獲取敵情、武器到位、到大規(guī)模實施“安全服務(wù)”、監(jiān)視和閉環(huán)管理等要素活動都對安全組織的能力提出更高的挑戰(zhàn)。

因此，未來的企業(yè)安全運營體系建設(shè)，需要關(guān)注以下幾個方面：

1)能夠在戰(zhàn)略和戰(zhàn)術(shù)上利用威脅情報;

2)能夠利用機器學(xué)習(xí)、復(fù)雜統(tǒng)計分析或預(yù)測算法等技術(shù)進行安全建模和高級分析;

3)能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯;

4)能夠進行持續(xù)的監(jiān)控與分析，構(gòu)建自適應(yīng)體系;

5)盡可能的自動化，提升安全運營效率;

2015年，全球知名市場分析機構(gòu)Gartner提出了自適應(yīng)架構(gòu)框架(ASA)，到2018年，已演進為持續(xù)自適應(yīng)風(fēng)險與信任評估體系(CARTA)，受到越來越多的安全廠家和客戶的認可。

CARTA從預(yù)測、防御、檢測、響應(yīng)四個維度，以持續(xù)監(jiān)控和分析為核心，持續(xù)構(gòu)建自適應(yīng)體系架構(gòu)，以平臺為中心整合各類安全能力，協(xié)調(diào)人員處置事件，然后通過安全管理流程與制度的落地，通過安全運營團隊的有效組織，打造“安全、可信、合規(guī)”的安全運營體系。

基于Gartner提出的安全運營架構(gòu)，綠盟科技在2016年提出并打造了適應(yīng)市場新變化的下一代安全運營體系：即以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)系統(tǒng)為核心，在持續(xù)監(jiān)控和分析的基礎(chǔ)上，通過連續(xù)響應(yīng)，自適應(yīng)調(diào)整防護策略，實現(xiàn)對網(wǎng)絡(luò)攻擊的動態(tài)防御，形成閉環(huán)的安全運營體系。

2、綠盟智能安全運營平臺

基于多年態(tài)勢感知、企業(yè)安全管理平臺建設(shè)經(jīng)驗，綠盟科技發(fā)布了全新版本，重磅推出綠盟智能安全運營平臺(NSFOCUS Intelligent Security Operation Platform，iSOP)，這是遵循綠盟智慧安全2.0理念，以運營為中心，智能化、全場景的統(tǒng)一安全管理平臺。iSOP以大數(shù)據(jù)框架為基礎(chǔ)，結(jié)合威脅情報系統(tǒng)，通過對攻防場景的機器學(xué)習(xí)、威脅建模、場景關(guān)聯(lián)分析、異常行為分析以及安全編排自動化、可視化呈現(xiàn)等技術(shù)，幫助客戶建立和完善安全態(tài)勢全面監(jiān)控、安全威脅實時預(yù)警、資產(chǎn)及漏洞全生命周期管理、安全事故緊急響應(yīng)能力。通過獨有的自適應(yīng)體系架構(gòu)，為安全運營提供可靠的信息數(shù)據(jù)支撐，協(xié)助客戶快速發(fā)現(xiàn)和分析安全問題，并通過運維手段實現(xiàn)安全閉環(huán)管理。

說起綠盟智能安全運營平臺，不得不說它的“智能”特性，體現(xiàn)在事前智能預(yù)警、事中智能分析、事后智能響應(yīng)三個方面。

◆事前智能預(yù)警

綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技依賴多年的安全經(jīng)驗和情報數(shù)據(jù)積累推出的一款威脅情報分析和共享平臺，可為用戶提供及時準(zhǔn)確的威脅情報數(shù)據(jù)。

借助NTI的威脅情報支撐，用戶通過綠盟智能安全運營平臺可及時洞悉資產(chǎn)面臨的安全威脅進行準(zhǔn)確預(yù)警，了解新的威脅動態(tài)，實施積極主動的威脅防御和快速響應(yīng)策略，結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢，并準(zhǔn)確地進行威脅追蹤和攻擊溯源。

◆事中智能分析

經(jīng)過多年的安全攻防研究和安全服務(wù)經(jīng)驗積累，面向不同安全業(yè)務(wù)場景，綠盟智能安全運營平臺構(gòu)建多種智能安全分析引擎，包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、攻擊鏈分析引擎、安全態(tài)勢理解及推理引擎、威脅情報分析引擎、機器學(xué)習(xí)引擎、用戶行為分析引擎等。

舉個例子，綠盟智能安全運營平臺提供用戶異常行為分析，使用高級分析方法和機器學(xué)習(xí)的模型，對用戶和實體(例如ip地址、應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進行評估、關(guān)聯(lián)并建立基線，能夠發(fā)現(xiàn)內(nèi)鬼作案。

◆事后智能響應(yīng)

在日常安全運維中，策略配置等操作繁瑣而且容易出錯，造成響應(yīng)不及時，處置出錯，效率低下。綠盟智能安全運營平臺通過安全編排和自動化響應(yīng)技術(shù)(SOAR)，將不同數(shù)據(jù)集和安全技術(shù)編排在一起，以自動化的方式驅(qū)動事件智能處置，來提高安全運營效率。其核心是最小化事件響應(yīng)過程中重復(fù)性任務(wù)的人工干預(yù)，幫助加速問題的解決。

總結(jié)

作為業(yè)務(wù)、場景和數(shù)據(jù)三驅(qū)動的自適應(yīng)安全綜合管控平臺，綠盟智能安全運營平臺將原本分散的各種安全信息予以整合提煉，不但使運維效率大幅度的提高，而且使運維人員的安全分析視角在廣度和深度方面得到全面的突破，進而推動了以人為安全運營主體向以平臺為安全運營主體的安全運營思路進行躍變，可逐步降低運維人員在安全運營中的投入比重，盡可能實現(xiàn)智能化的安全自運營治理生態(tài)體系。