企業的安全建設總是跟隨其信息化建設逐步建立并完善，隨著企業的部門分支、系統規模的不停擴展，其安全設備也逐漸臃腫扎堆。這讓IT團隊不堪重負，誤報率居高不下，不同的安全策略相互掐架，響應效率低下，同時還要面臨業務團隊的嫌棄和抗拒。

　　安全運營成為當前企業做好網絡安全工作的重要抓手，安全419推出《安全運營解決方案》系列訪談選題，通過分析人、數據、工具、流程等安全運營中的基本元素，探討現代安全運營所需要的能力。本期，我們邀請到南京眾智維信息科技有限公司（以下簡稱 眾智維科技）創始人兼董事長孫捷先生，為大家分析企業如何恰到好處地落實安全運營，順暢地開展常態化的安全工作。

　　眾智維科技成立于2015年，是以國內知名的麒麟安全實驗室（原OPENX實驗室）為基礎建立的網絡安全軟件研發創新企業。公司堅持“眾智創新重塑安全生態、AI運營賦能網信安全”，是新一代人工智能+機器學習驅動，通過AI+無代碼數字機器人+自動化協同安全響應平臺+實戰對抗的網絡安全攻防運營（AISecOps）解決方案商。主要致力于為需求方提供安全自動化、風險評估、管理運維、流量分析、端點防護、SOAR、AI/ML等網絡安全服務。

　　新型安全運營體系意在實現

　　主動監測、快速響應、積極演練

　　網絡安全工作并非部署設備之后就一勞永逸，面對安全態勢的持續監控，對安全事件的應急響應，以及對安全目標和價值的評估量化，都要求網絡安全工作從“建設”持續走向“運營”。

　　長久以來，企業通過安全服務外包、安排人員駐場、或制定相關流程并采用一些基礎的評估、協同工具來開展安全運營，力求將安全產品、安全服務的能力發揮到極致，一定程度上提升了企業的安全感知和防護能力，避免業務系統、辦公系統及關鍵數據受到損害和竊取。

　　然而，攻防對抗總是在動態中較量升級，孫捷表示，數字化改革成為企業業務轉型和加強競爭力的必要路徑，新冠疫情的流行大力推動著這一進程的速度，一方面，愈加模糊的內外網邊界帶來愈加多的數字資產暴露面，無論是內部員工還是供應鏈環節都可能成為入口跳板，面對更加先進、智能的攻擊手段而防不勝防。另一方面，愈加復雜的IT架構帶來了愈加碎片化的安全設備，一座座安全孤島形成新的囚籠與盲區，以及專業安全人員的缺乏和遠程運維成為常態，讓0day漏洞等高危安全事件無法得到及時有效的處理。

　　以眾智維科技參與的一次實網攻防演練項目為例，我們可以直觀感受到在上述現狀下開展安全運營會遭遇的窘境。

　　某頭部金融客戶部署了超過20家供應商的安全產品，在演練保障期間，平均每款產品配備有1-3名安全服務人員提供駐場技術支撐，當安全事件發生，需要協同幾十款產品和上百號人員進行響應處置。矛盾之處在于，攻擊是針對組織整體，單點的安全產品無法窺見攻擊的全貌，難以還原完整的攻擊鏈路，異構產品的安全策略和處置流程以及專家們的知識經驗彼此割裂，難以形成良性的合力，雖然能力和服務，面對實戰化進攻反而將戰線拉得很長，防護效果大打折扣。

　　“安全攻防就是雙方搶時間，必須要打通人與人、人與產品以及產品與產品之間的通路”，孫捷這樣闡述現代化安全運營的效用，“安全能力建設不是安全產品的堆疊，而是需要安全專家深度融入結合先進平臺對核心業務實施主動監測，以服務提供快速響應，常態化演練提前發現威脅，從而去提升黑客的攻擊成本，拉長黑客攻擊周期，縮短事件發生后的響應時間，防范和化解高級、新型威脅帶來的影響，降低風險帶來的損失，形成一套主動監測、快速響應、積極演練的新型安全運營體系?！?/p>

　　其核心目標之一——效能與效率，主要體現在兩點，一是平均檢測時間（Mean Incident Time to Detect，MTTD），安全風險事件從最初被檢測到最終確定其有效性所花費的時間，可以反映企業在識別安全事件的真實威脅方面的能力和水平；二是平均響應時間（Mean Incident Time to Response，MTTR），衡量調查和減輕已確認事件所花費的時間，顯示了安全運營團隊在分析和緩解安全事件的實際威脅方面的能力。因此，防守方的本質就是降低 MTTD 和 MTTR，讓系統更安全地運行，最終實現完整的安全運營流程。

　　AISecOps

　　為提高安全運營效率和質量提供解題思路

　　作為聚焦AISecOps領域的方案提供商，孫捷表示眾智維科技以新一代人工智能+機器學習為驅動，通過AI+無代碼數字機器人+自動化協同安全響應平臺+實戰對抗網格的創新組合打法，以無代碼數字安全機器人實現安全運營輔助決策，以自主研發的SOAR安全自動化編排平臺實現攻防兩端的場景劇本自動化。

　　其AISecOps產品核心依托于MSS的云倉聯動體系，將眾智維科技的AI算法云倉、紅藍對抗數字機器人駕駛艙與企業安全運營數據進一步迭代整合，多維度構建了紅藍紫軍三方高頻壓力下的安全運營協同作戰體系。

　　孫捷以其拳頭產品RedOps紅鯨安全協同響應平臺為例為我們闡述了眾智維科技在AISecOps領域的建樹。

　　RedOps是通過SOAR技術，以自動化編排為核心，充分使用自動化技術手段，將人、技術和流程高度協同起來，將繁雜的安全運行（尤其是安全響應）過程梳理為任務和劇本，提供定制化的流程和控制，整合并加速有效網絡威脅的調查與緩解，可快速編排響應策略，在收集不同來源的安全威脅數據和警報時，運用人機結合的方法進行事件分析與分類，根據標準流程輔助定義、排序和驅動標準化事件響應行為，并應用到防護、檢測與響應的每個環節，實現簡化的統一協同響應，節省手動分析時間，最終實現自動化安全運營的安全協同響應平臺。

　　根據Gartner的定義，SOAR是指能使企業組織從SIEM等監控系統中收集報警信息，或通過與其他技術的集成和自動化協調，提供包括安全事件響應和威脅情報等功能。SOAR技術市場最終目標是將安全編排和自動化（SOA）、安全事件響應（SIR）和威脅情報平臺（TIP）功能融合到單個解決方案中，其三大核心能力是編排、自動化、安全響應。

　　//安全能力編排化

　　據了解，RedOps一方面可以通過自底向上地通過安全設備接口化和安全接口應用化實現安全應用編排化；另一方面則自頂向下地將安全運營者的安全運營過程和規程進行形式化落地，實現運營過程的劇本化。最后，借助運營過程劇本化和安全應用編排化，實現安全能力的集成與編排，并為安全流程的自動化執行奠定基礎。通過安全能力編排化，真正實現了將不同的設備和系統協同聯動起來的目標。

　　//安全流程自動化

　　安全流程自動化不等于安全編排，實際上，安全編排得到的任務和劇本指明了一系列操作的步驟和下一步走向的判定條件，既可以人工執行，也可以自動執行。在實際應用場景中，幾乎所有安全編排任務和劇本的執行都或多或少地涉及自動化，否則安全編排的價值十分有限。

　　“還需要指出的是”，孫捷強調，“安全編排自動化不等于安全編排任務和劇本執行的完全自動化，所有否認人在安全運營工作中的決定性作用的觀點都是不現實的。在實際應用場景中，安全編排自動化基本都是半自動化?！盧edOps的安全運營流程與規程盡可能地自動化執行，從而大大提升安全流程的執行效率，節約時間和人力成本，并確保能夠持續達成預期的效果。

　　//告警響應智能化

　　對來自組織的各種告警信息進行基于編排與自動化的響應是 SOAR 產品的基本能力。此外，RedOps還提供了智能化告警響應的能力，進一步提升了告警響應的精準度和有效性。

　　智能告警分診：包括智能化、規約化的告警預處理，以及基于策略的告警合并。同時，系統可選的高級告警分析功能，幫助用戶進一步提升告警價值，減少告警數量。告警分析采用基于關聯規則的分析技術，能夠將不同來源的告警信息連同外部的情境數據進行交叉比對與關聯。

　　智能告警調查：安全運維人員和分析師可以對告警信息進行深入調查，支持交互式調查分析，支持基于劇本和應用動作的編排化調查分析，支持告警統計與追溯下鉆。通過告警調查豐富告警信息、核實告警原因、對齊處置對策。

　　智能告警響應：一旦確認某個告警信息為安全事件（Incident），可以自動觸發響應劇本，或者自動添加到相關的案例中，也可以提醒分析師進行人工響應。

　　總而言之，企業本質上是為了避免業務受阻，有能力進行安全對抗，提高安全運營效率和質量。借助RedOps，可以將分散的工具、人員和流程有機地整合到一起，幫助企業解決安全運營的最后一公里落地問題；同時將人員從繁重的低端重復性勞動中解脫出來，通過編排與自動化技術手段提升人的運營水平和績效；還能將有經驗的安全運營人員的知識進行固化、沉淀、分享，并不斷優化；最終實現安全運營效果的自動化、數字化度量，讓安全管理者更客觀、快速地掌握安全運營團隊的績效，以及安全運營的實際效果。

　　安全運營走向智能化、實戰化

　　落地AISecOps有章可循

　　根據安全運營的新形勢，在未來，企業會不斷地在AI算法智能、自動化、無代碼作戰機器人層面不斷加碼。眾智維科技一直以來立足對安全運營廠商產品生態體系的持續投入，與大量第三方安全廠商合作并資源整合，以構建產品技術和運營服務雙高壁壘，成為大數據+AISecOps安全領軍企業。目前眾智維科技RedOps紅鯨產品通過安全工具超市功能，實現與Check Point、亞信安全、奇安信、長亭科技、賽寧網安等國內外150多家安全廠商建立API安全合作生態，覆蓋350款產品的自動化集成聯動，實現人與產品、產品與機器的高效集成，在網絡安全協作過程中為客戶實現各種安全資源的高效協同，落地AISecOps自動化、智能化、實戰化的產品和運營實踐。

　　眾智維科技建議企業基于這些步驟來建設安全運營體系：

　　01 制定安全運營能力目標。在部署SOC/SIEM基礎上，應建設具備攻防能力、安全處置能力的專家或服務體系。通過嘗試落地SOAR、MITRE ATT&CK框架、協同作訓來打通企業攻防安全基本運營流程，從而清楚地認識威脅的分布情況。

　　02 組建自有的安全攻防體系。目前在眾智維科技的客戶中，100%都面臨過針對性地攻擊，所以建議企業要保持攻防演練實戰化。企業管理層經常問問運營團隊，“對手要拿我的什么信息？”這可能不僅僅是數據，也許是業務流程、組織架構，甚至是高管信息、供應鏈信息。這里所說的實戰化不是簡單的靶場演練，更多是可信眾測這類競爭檢測機制。

　　03 構建彈性和可量化的運營考核。眾智維科技為企業提供安全運營方案的過程中，比較著重構建彈性靈活的安全運營方案，比如SOAR的APP安全接入、劇本Playbook實例化、USECASE案宗等，企業可以根據自身需求定義SecOps重點方向，從而多維度衡量常見安全事件處置效率（例如分為運營人員、運營團隊、安全案宗各種角度的MTTD、MTTR），SOAR產品不僅僅能夠成為企業安全SecOps落地支撐，而且能實現量化運營考核。

　　04 持續投入AI+SecOps建設。通過AI、ML、安全自動化的持續集成，可以釋放企業有限的安全運營人員精力，降低企業運營成本。

　　05 引入MSS安全專業托管。這將會是快速提高效率的另一種捷徑，越來越多的企業IT上云，也就意味著安全服務的云化。安全團隊成員可以隨時隨地訪問這些企業應用服務、運營系統。企業通過SOC+SOAR+MSS托管服務將大大減輕安全團隊的負擔，讓自有安全專家將能夠專注于更重要的工作，例如流程、協同、業務緩解和分析報告工作。

更多信息可以來這里獲取==>>電子技術應用-AET<<