安全運營建設(shè)為什么總是半途而廢？

次閱讀 ? 作者：網(wǎng)絡? 來源：網(wǎng)絡 ? 2023-09-27

摘要：大量誤報告警、高級威脅、日志碎片化，讓安全運營疲于奔命！

“該工具可用于編寫惡意代碼、創(chuàng)建出一系列殺毒軟件無法檢測的惡意軟件、檢測網(wǎng)站漏洞、自動進行密碼撞庫等，目前已售賣超3000份”——這是一款近期在暗網(wǎng)上流通的AI工具FraudGPT，黑客在銷售頁上“極力攬客”。

據(jù)不完全統(tǒng)計，由ChatGPT聊天機器人創(chuàng)造出的“邪惡孿生”（evil twins）已有7種，黑客們早已在各種非法交易活動論壇上大肆宣揚“這就是未來網(wǎng)絡攻擊的雛形”。

然而長期以來，大多數(shù)企業(yè)面對0day、釣魚等高級攻擊手段都尚未找到突破之道，而日漸智能化、泛濫化的新型AI攻擊，無疑是給本就無效的安全建設(shè)“雪上加霜”。

當前警鐘已敲響：安全不能停留在建設(shè)階段，更需要日常運營維護，趕超攻擊者。但在現(xiàn)實中，安全運營可沒那么好做，甩鍋和背鍋是常有的事。很多CIO/CSO內(nèi)心也壓著很多委屈，明明我那么努力，投入了這么多預算和人力進行安全建設(shè)，盡心盡力防護，一旦安全出現(xiàn)問題，責任全是我的？

更普遍的情況是，在長期疲于奔命的安全運營建設(shè)中，安全團隊精氣神逐漸不足，運營意識也逐漸渙散，最終半途而廢。恰如開發(fā)商建房，開建之初，無一不是資金充裕、信心滿滿，但建造過程中，難免遭遇人力物力財力等種種難題，整個團隊心氣散亂、彼此推諉，最終致使不少樓盤建到一半停工，成了爛尾樓。

對于安全領(lǐng)域存在的這類問題，CIO/CSO也在思考，究竟是什么原因?qū)е拢渴欠翊嬖谇袑嵱行У慕鉀Q之法？為此，我們尋訪了一些甲方企業(yè)客戶，試圖從他們遭遇的安全運營困境中尋出一些端倪。

企業(yè)機構(gòu)安全運營都面臨哪些困擾

實踐出真知，問題往往都是在實踐中發(fā)掘，憑空想象很難觸及問題的本質(zhì)。唯有了解客戶真實遇到的難題，才能思索對應解決之法。

安全設(shè)備多，告警量大看不過來

客戶一是國內(nèi)某中型互聯(lián)網(wǎng)企業(yè)，因為體量較大、財力豐厚，所以他們配備了數(shù)十種安全工具，比如防火墻、威脅情報、IPS/IDS、認證系統(tǒng)、漏掃工具、終端安全、云安全等，安全運營還兼管數(shù)據(jù)庫審計、零信任認證、上網(wǎng)行為管理等，此外他們擁有自研的日志管理平臺，可以對安全設(shè)備、各類服務器以及終端等告警日志進行統(tǒng)一采集和處置。

看似很完備的防護與運營體系，卻并沒有想象得那么簡單。因為每天都會產(chǎn)生數(shù)以十萬百萬計的告警，各類攻擊IP不計其數(shù)。如此龐大的告警數(shù)量，縱然安全團隊經(jīng)常加班加點處理，往往也很難將真實的惡意攻擊行為從無數(shù)告警中提取出來。

也就是說，大量的誤報和檢測告警，讓安全運營人員處于一種高度緊張且疲于奔命的狀態(tài)。時間一長，安全團隊某些人員便心存僥幸，將許多告警信息歸類為誤報，所以必然會存在漏網(wǎng)之魚，給企業(yè)安全帶來很大的潛在問題。

客戶二是國內(nèi)某大型金融機構(gòu)，他們擁有數(shù)萬臺終端和服務器，在全國各地擁有多個分部和數(shù)據(jù)中心，采購配置了上百種網(wǎng)絡安全設(shè)備和審計類產(chǎn)品，也配備了足夠人手的安全團隊進行日常運維。

可以看出，他們的安全基礎(chǔ)建設(shè)相當扎實，理論上應該不存在什么安全大問題。但據(jù)透露，正是因為安全設(shè)備很多，所以每天接收的風險威脅告警就有數(shù)十萬條，告警量極其龐大，久而久之已經(jīng)超出了安全團隊承受的極限。

目前，他們盡管付出了諸多努力，也只能處理全部告警的不到20%。更無奈的是，安全運維人員已經(jīng)產(chǎn)生了告警疲勞，在檢測告警的過程中，可能會遺漏某些真實威脅，給機構(gòu)帶來相當大的風險隱患。

從上述兩家客戶可以看出，他們的安全設(shè)備配置上并不存在大問題，該上的設(shè)備都已經(jīng)上齊，導致每天產(chǎn)生大量告警，超出了安全團隊的承受極限，因此根本無法查看所有告警，也沒法研判哪些才是關(guān)鍵告警，進而導致告警疲勞，很多告警日志便慢慢不再去管。

缺乏應對高級威脅檢測的手段和能力

客戶三是國內(nèi)某金融機構(gòu)，整體安全信息化建設(shè)水平高，有專門的安全運營團隊，配備市面上各類安全設(shè)備上百套，比如防火墻、威脅情報、終端安全、NDR、HIDS、RASP、郵件網(wǎng)關(guān)等，是最早一批落實基于SOC技術(shù)構(gòu)建安全運營中心用戶。

針對0day漏洞防御檢測問題，客戶在服務器區(qū)核心網(wǎng)絡部署大量商網(wǎng)絡探針，同時幾萬臺服務器部署了主機安全軟件，但每年攻防演練依然有0day攻擊成功，高級威脅識別的壓力較大。

針對辦公網(wǎng)釣魚，客戶已部署5w+的終端安全軟件，但還是頻發(fā)主機被釣魚入侵。不難發(fā)現(xiàn)，傳統(tǒng)終端防護檢測模式已經(jīng)無法對抗高級威脅攻擊。

難以統(tǒng)一治理碎片化的安全設(shè)備日志

客戶四是某大型國企，他們耗資100萬元購置了SOC平臺，又花費60萬元購買了廠商服務，駐場3個月結(jié)合現(xiàn)狀寫安全日志和關(guān)聯(lián)分析規(guī)則。
但隨著業(yè)務擴張帶動網(wǎng)絡變化，加之安全設(shè)備更替以及版本升級，不到半年，有些SIEM關(guān)聯(lián)規(guī)則就開始失效。一年之后，就有接近50%的規(guī)則失效?？蛻魺o奈吐槽：“10 條告警里 8 條是誤報，基本沒法看。”隨后又投入幾十萬買服務更新一遍規(guī)則，接著又是不斷失效，不到兩年時間，基本不再去看各類告警。
我們很容易看出這些客戶的問題本質(zhì)所在，即難以對碎片化的安全設(shè)備日志做統(tǒng)一治理，基本都需要人工去處理，不但技術(shù)要求高，而且工作量非常大。其次，隨著業(yè)務發(fā)展、網(wǎng)絡環(huán)境變化、設(shè)備更替和版本升級，規(guī)則很容易失效，企業(yè)要持續(xù)進行高成本的投入，且規(guī)則維持時間又難以長久，最終基本不再去用。

當前業(yè)內(nèi)主要采取哪些解決方案

網(wǎng)絡安全存在問題，安全廠商自然會致力于解決問題。因此，上述安全運營建設(shè)方面的問題，其實在業(yè)內(nèi)一直在探索解法。雖然各大廠商的路線技術(shù)有所差異，但整個安全行業(yè)內(nèi)，存在著通行解法的思路。

網(wǎng)絡安全真正起航大約已有二三十年，崛起差不多是近十年。但實際上在近二十年前，就已經(jīng)誕生了針對安全控制以及監(jiān)測、審計和報告的安全平臺，即安全信息和事件管理（SIEM）平臺，也是曾經(jīng)唯一可以幫助安全團隊集檢測、調(diào)查和響應為一體的解決方案。

但隨著互聯(lián)網(wǎng)的發(fā)展，SIEM也開始力不從心，具體表現(xiàn)在如下三個方面：

首先，SIEM基于安全產(chǎn)品的已有的安全告警結(jié)果，難以發(fā)現(xiàn)繞過攻擊，即無法實現(xiàn)1+1大于2的效果；

其次，受限于數(shù)據(jù)治理框架的不足，SIEM難以真正打通網(wǎng)絡維度和主機維度的安全數(shù)據(jù)，在攻擊全鏈條還原和威脅實體定位方面，存在天然的技術(shù)短板；

最后，由于SIEM本身缺乏安全分析能力，需要人工編寫關(guān)聯(lián)分析規(guī)則，重度依賴人的安全知識和經(jīng)驗，導致運營維護成本也始終居高不下，即便業(yè)內(nèi)部分產(chǎn)品內(nèi)置了關(guān)聯(lián)規(guī)則模板，對用戶而言仍有著極高的技術(shù)門檻。

因此，最早于2018年開始，業(yè)內(nèi)正在逐步轉(zhuǎn)向擴展檢測和響應，即XDR解決方案，以統(tǒng)一整個企業(yè)組織的威脅檢測和響應。

可以說，XDR代表著新一代安全運營解決方案的核心技術(shù)。XDR更聚焦威脅本身，關(guān)注及時的威脅調(diào)查、隔離、遏制和對攻擊的響應，且強調(diào)內(nèi)置安全檢測框架，圍繞攻擊鏈條自動化關(guān)聯(lián)安全數(shù)據(jù)，能夠有效滿足用戶對性能和效率的追求。

通過上述理論解析可以看出，針對告警量大、告警威脅難以定位處置、碎片化安全設(shè)備日志難以統(tǒng)一處理等安全運營建設(shè)問題，XDR解決方案可以提供較為完善的解決之道。

但問題來了，XDR是一個新興解決方案，其提供了一個宏觀的思路和途徑，在具體操作實踐落地層面，還需要更細致的技術(shù)和產(chǎn)品去落實。事實上，國內(nèi)很多安全廠商已經(jīng)涉足XDR領(lǐng)域，并探研出各自的解決方案來。

所以，亟待解決上述三類問題，我們還需要拿出具體一個產(chǎn)品，或者是一家安全廠商的理念，來針對性地回答和解決這些問題。

國內(nèi)安全廠商的具體解法是什么

9月，深信服召開了兩場發(fā)布會，通過觀摩發(fā)布會，我們發(fā)現(xiàn)其提出了“安全運營新范式”，重磅發(fā)布了安全GPT 2.0升級能力，正是圍繞著上述用戶安全運營長期所面臨的難解之題。

在“安全設(shè)備多告警量大看不過來”難題上，企業(yè)安全團隊的人員數(shù)量和專業(yè)化水平差距是造成告警困境的根本原因，告警研判所需的專業(yè)知識面廣、處置分析路徑多樣化，也造成僅有的安全人力研判困難、研判疲勞的巨大壓力，無法從更高視角去縱覽企業(yè)全局安全水位。

本質(zhì)來說，這就是“運營效率”的問題。在提升運營效率上，深信服引入了汽車行業(yè)“輔助駕駛”和“智能駕駛”的理念，配合安全人員進行分層次的自動化運營落地，對齊企業(yè)安全人員水平的差異、擴大安全運營的“虛擬人力”規(guī)模。

其中，“輔助駕駛”模式提供對話式的網(wǎng)絡安全態(tài)勢分析、解讀、建議等，通過連續(xù)對話提供場景化的安全處置指導，每個安全運營人員都可以自由地根據(jù)自己的業(yè)務水平獲取額外知識、梳理合適的處置路徑，快速實現(xiàn)閉環(huán)。

“智能駕駛”模式則將在安全運營人員的授權(quán)和審核下，全面接管安全運營的全生命周期（資產(chǎn)漏洞治理、威脅檢測發(fā)現(xiàn)、告警事件閉環(huán)、處置調(diào)查、總結(jié)匯報）的關(guān)鍵工作，自動化進行告警研判、上報研判結(jié)果、提供研判證據(jù)鏈，以自動化的方式大幅度優(yōu)化MTTD、MTTR，提升組織的安全能力，將日常安全運營所花費的時間減少95%。

以往安全建設(shè)模式高度依賴于人，人是效果的天花板，亦是組織的短板。所以深信服認為，安全運營應當如同智能汽車“智能駕駛”一般，用技術(shù)紅利釋放人的精力。

無論是“輔助駕駛”也好，“智能駕駛”也罷，最終掌握“方向盤”的還是人類，安全GPT可以將專業(yè)人員的精力從低效率的繁瑣工作解放出來，轉(zhuǎn)化為更高層次的安全決策和運營能力，幫助組織單位提升效率、降低成本。

在“缺乏應對高級威脅檢測的手段和能力”問題上，由于安全運營工作涵蓋范圍很廣，功能設(shè)計比較靈活，但最終效果的達成取決于內(nèi)核能力的建設(shè)質(zhì)量——即實戰(zhàn)化的威脅對抗能力，安全運營應當以效果為核心、以閉環(huán)為目的，聚焦檢測能力提升，實現(xiàn)精準高效的效果，若缺乏有效應對高級威脅的檢測能力，最終不可避免地會導致半途而廢。

顯而易見，這是“檢測效果”層面的問題。在此方面，深信服利用安全領(lǐng)域積累的高質(zhì)量數(shù)據(jù)、算力、場景信息等優(yōu)勢，基于XDR的攻擊故事線還原、多源數(shù)據(jù)融合分析能力，有效識別“0Day、釣魚，憑證竊取，無文件攻擊”等高級攻擊手法，結(jié)合安全GPT的強大邏輯思維和自然語言處理能力，安全GPT持續(xù)賦能XDR，強化隱蔽和未知威脅的檢測效果，支持對Webshell加密通信、加密漏洞（如Shiro）、Java反序列化等高危風險的檢測，針對長周期、高混淆攻擊的識別率提升80%以上。　

在“難以統(tǒng)一治理碎片化的安全設(shè)備日志”難題上，深信服基于“開放平臺+領(lǐng)先組件+云端服務”的安全理念進行落地，通過“聚合簡化、云智賦能”的方式，以開放的XDR平臺承載安全的核心能力，多樣化的領(lǐng)先組件深入各類場景洞見風險、處置威脅，云端和本地服務最終保障效果落地，由此形成體系化、智能化的運轉(zhuǎn)方式，幫助組織單位提升安全水位線，深信服稱之為“安全運營新范式”。

安全建設(shè)不再半途而廢
安全運營更省心有效

一直以來，安全與威脅始終是“道高一尺魔高一丈”的博弈，但誰高一尺誰高一丈，往往存在不確定性。但不可否認的是，眾多安全廠商在這場道魔之爭的拉鋸戰(zhàn)中，均投入了大量的資源與心血。

比如深信服，其理念在于用技術(shù)紅利釋放人的精力。例如，利用高級威脅檢測，有效檢出“0Day、釣魚，憑證竊取，無文件攻擊”等各類攻擊；多源數(shù)據(jù)融合分析，針對三方數(shù)據(jù)進行二次誤報校驗，去除無效噪聲；狙擊威脅根因，可視化攻擊故事線，快速開展威脅調(diào)查和溯源分析。

通俗來講就是，通過XDR對E+N多源數(shù)據(jù)進行深度上下文的聚合分析，有效削減海量告警，進而轉(zhuǎn)換為用戶能夠理解的高價值安全事件，并通過深度關(guān)聯(lián)分析引擎，完整還原攻擊故事線，易于舉證和下一步研判。此外，安全GPT技術(shù)賦能XDR，強化檢測能力，提升運營效率，助力安全運營工作邁向“智能駕駛”時代。

可以看出，解決安全運營建設(shè)半途而廢的問題，是一項長期而艱巨的工程。任何一家探索此道的安全廠商，都值得尊敬和贊賞。

西漢劉安在《淮南子·兵略訓》有言：“ 千人同心，則得千人之力”。安全，往小里說，是安全廠商之間的競爭；往大里說，是黑與白、正與邪的角力。安全行業(yè)同心同力，在各自細分領(lǐng)域一往無前迸發(fā)力量，將新的技術(shù)理念絢麗繽紛，安全才能氣象萬千，才能更好鏟除“安全運營建設(shè)半途而廢”，這個看似不大卻影響深遠的安全痼疾。

在此，觀一深信服，可為同行參照爾。

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡安全領(lǐng)域人物梳理行業(yè)脈絡，通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡安全發(fā)展的脈絡；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）

人妻网站成熟人妻VA网站,国产一级无码 片内射,国产情侣在视频先锋影音,免费看污国产片视频软件

安全運營建設(shè)為什么總是半途而廢？

人妻网站成熟人妻VA网站,国产一级无码片内射,国产情侣在视频先锋影音,免费看污国产片视频软件

安全運營建設(shè)為什么總是半途而廢？