态势感知驱动安全运营体系创新

6月9日，由中国信息协会主办的2017中国网络信息安全峰会在北京举行，中央网信办、公安部、工信部、国家保密局等政府主管部门领导，国家多个重点行业、大型企业和机构的信息化和信息安全负责人参加了本次峰会，360企业安全集团左英男副总裁受邀在峰会上做了题为“数据驱动态势感知，协同创新安全运营”的主题演讲。

在演讲中，左英男结合上个月爆发的“永恒之蓝”勒索蠕虫攻击事件，分析了当前安全运营存在的问题，同时提出了基于态势感知的安全运营创新思维和方法。

从“永恒之蓝”事件看安全运营创新

5月12日开始爆发的“永恒之蓝”勒索蠕虫事件是勒索软件这种简单粗暴的黑产方式首次和蠕虫结合在一起，利用了Windows的漏洞，用了一个核武器级的攻击武器，进行了一次针对平民的无差别的攻击，传播速度快，影响范围广。虽然此次攻击事件只是使数据遭到破坏，但对生产、生活都产生了影响。可以推测在未来的两三年内，这可能会成为越来越普及的网络攻击模式。

透过永恒之蓝事件，网络安全工作有很多值得深思的地方：

（1）漏洞补丁运维能力要加强；

（2）内网隔离不能一隔了之，物理内网也需要在建立纵深防御体系；

（3）网络安全监测预警、分析响应缺乏有效的技术手段，缺乏体系化的应急响应机制；

（4）安全意识淡薄和安全防御观念上的落后。

左英男认为，面对这种现实，我们的安全运营的工作需要从三个方面进行创新：

（1）理念创新。安全意识、安全防御的观念、理念，必须有新的思路应对我们面临的没有攻不破的网络、没有不存在漏洞的系统这种安全现实；

（2）在平台、技术上的创新；

（3）在流程、机制上创新，用好新的平台和技术。

态势感知是安全理念的创新

在新的安全威胁下，安全建设的起点不是从防御开始，更应该从监测开始，核心目的是要发现找到那些透过原有防御系统的东西，然后做出分析和响应、处置的动作。通过威胁情报，可以发现可能发生的威胁，再有计划、有步骤地调整安全策略，做持续的监测和响应，这就是自适应的安全架构，是应对新安全形势的一种新理念。

左英男称，态势感知就是迎合这种新形势的新理念，以建设监测、响应和预测能力为主构建安全能力，也是改善防御措施的基础，态势感知是一种方法，是安全能力的一种落地的体现。

态势感知的重点是要制定决策、指导行动，而不仅仅是状态或者趋势的呈现。它是基于环境的、动态的、整体的安全防御，以大数据为基础，从全局的视角提升对安全的发现、识别、理解、分析和响应处置的能力，最终目的是为了决策和行动。

要做好安全运营工作，首先安全理念上要创新，利用态势感知这样的安全能力辅助安全运营工作。

围绕态势感知的平台技术创新

左英男认为，建好态势感知系统，需要在平台和技术上创新。态势感知系统包括了数据的采集、数据的处理、数据的分析、最终态势的感知和业务研判五个部分，要使得态势感知平台发挥效应需要以下四个关键技术点：

1、大数据平台。传统的安全运营基于SOC或者SIEM，态势感知并不是在SOC和SIEM上能力的一个简单提升，而应该是彻底的改造。因为安全运营的核心是应对安全威胁，要持续的监测和响应，随着我们监测范围的扩大，数据量也在扩大，需要一个具备大数据处理和计算能力的平台，这是整个态势感知平台建设很重要的基础。

2、基于威胁情报的监测。这是态势感知平台能够落地的很重要的要素，在我们实践过程中，威胁情报对于降低大量数据和报警中的垃圾数据或者报警噪声，帮助我们更快速、更高效的发现攻击行为和攻击者非常关键，威胁情报的质量是检验态势感知平台能力的很重要的方面。

3、全要素数据的采集。利用态势感知这样的平台能力的核心目的，是要监测到复杂的、高级的攻击，就需要态势感知平台首先要捕获到微观的状态，低成本、高效率的全要素数据采集能力是基础。

4、基于攻击场景的分析研判。攻击不再是基于特征的监测，需要运用威胁情报、运用一些专家的经验，来构建基于场景的分析系统，它不是一个静态的东西，是一个与时俱进的攻防对抗过程中不断学习、学习参考的过程，需要持续运营这样的分析管理，需要更多的专家的经验和安全运营人员的参与。

这四个关键的技术点，也是评估一个态势感知解决方案能力是否能真正落地的四个关键点。

基于态势感知的流程机制创新

过去的两年时间里，很多机构和大型企业都建设了态势感知平台，然而用好态势感知系统更关键，只有用好才能真正发挥态势感知平台的价值。

左英男称，态势感知不是一个简单的平台，它是一个体系，是安全运营的体系，通过合理的流程和机制，将态势感知平台和安全运营有机地结合在一起。

安全运营最核心的目的是要解决问题，通过流程和人的参与、平台整合的人和流程的参与，能够在分析响应管理上形成闭环，形成固化，才能真正把系统用起来。在这个过程中有两个非常重要的点：

1、协同处置，特别是要自动化的处置闭环。自动化程度越高效率越高，在和攻击者破坏抢时间的过程中就可以节省更多的时间。

2、人员保障，安全运营离不开人的参与。态势感知系统运行中，安全分析师和安全运营工程师这两个岗位对于平台真正发挥效应作用是巨大的，而恰恰很多的企业、政府、组织机构在安全分析师和安全运营工程师上面的人力是缺乏的，可以通过和类似360这样的安全服务能力强的安全企业合作解决。

左英男表示态势感知是系统和平台，其最核心目的，是要帮助大型企业和组织有效的解决安全问题，完整的构建安全能力，需要在理念、平台和流程机制上有所创新，才能真正使态势感知和安全运营落地，有效解决安全问题。