“人机共智”做好安全运营工作

文│ 深信服安全服务团队 何丹宁 洪增荣

从字面上看，安全运营就是把信息安全这摊事给运营起来，这里面关键是运营。当前，安全运营已成为企业做好安全工作的普遍性需求。

一、企业为什么需要安全运营？

尽管安全防护技术一直在不断发展，但每年的安全事件数量还在递增，这就引发一系列的思考：企业内部现有的安全措施已经非常完善，但安全效果究竟如何，怎么提升？企业如何在安全成本与威胁产生危害之间正确抉择？如何让企业具备持续的安全能力，面对日益升级的安全威胁？

此时，安全运营就应运而生。对于技术人员来说，通过“安全运营”可以将自身的工作从被动变为主动，逐步提升单位的安全水平，让繁琐的工作变得更有价值；对于管理人员来说，可以对安全体系化建设作出正确决策,更好地为单位内部体系化建设提供数据支撑；对于集团企业来说，可以全盘了解当前集团的安全态势以及存在的薄弱点，指导信息安全工作开展；对于监管部门来说，通过安全运营持续监督被监管单位的安全建设情况，更好地履行单位职责。

深信服认为，安全运营就是以安全效果为目标，以资产、脆弱性、威胁以及事件的四要素为安全效果提升的核心抓手，遵循PDCA的闭环原则，以“人机共智”的创新模式持续开展网络安全保障工作。

二、安全运营将会爆发式增长

安全运营是信息安全发展的必经之路。帮助用户把“安全”实实在在的“运营”起来，人员、平台、工具、流程都是不可或缺的关键点。安全的本质是攻防双方知识的积累，企业内部的人员难以有这样的环境和精力培养高端安全人员；每天的安全工作中迷失平台和工具爆发出来的海量安全日志中，疲于奔命；对于安全事件的流程因缺少处置经验而没法固化，陷入安全运营的死循环。让用户的信息资产更安全，让用户的安全工作更有价值，是每个安全厂商责无旁贷的责任。

安全运营这两年在我国发展的态势比较迅速，已经是信息安全领域中的热点话题，用户及安全服务提供商都意识到安全运营的重要性以及必要性，安全运营具有良好的发展前景，不久的将来会有迎来爆发期。在国内“安全运营”最好的交付方式是服务化交付，未来安全运营服务也会大规模爆发。

根据国际权威报告，安全运营的主要载体：威胁监测与主动响应服务将会成为中国最具吸引力的安全服务，2023年市场容量将达到13亿美元，相对于2016年（1.7亿美元）呈现大规模增长，而且增长速度每年加快。究其原因，安全运营让用户复用安全厂家的安全能力快速扩张自己的安全团队，使其能面对日益复杂的安全威胁；能复用安全厂家的平台和工具以及流程，更有效率开展安全管理工作，未雨绸缪，主动运营。

三、当前安全运营落地存在的问题

“安全运营”落地的方式有两种，一种是单位建设自己的安全运营体系，但是在落地的过程中会遇到以下问题：缺乏高端安全人才，对内部的安全问题确诊、闭环处置。缺乏持续监测手段，持续监测的好处是可以认清整个安全事件全貌，在下个安全事件节点发生之前提前预防。缺少研判经验和响应流程，出了安全事件无法及时响应，导致信息安全工作的不标准、不持续和不及时，安全问题无法闭环。

另外一种落地的方式就是服务外包。但当前业界比较成熟的安全运营方案较少，基本都是传统的安全服务，存在两个问题。一是安全服务常常是阶段性的，而不能提供持续的服务。比如漏洞检测，传统的服务可能就是工具漏扫或者人工做渗透测试 ，但做完以后，可能用户的业务发生变动，又有了新的漏洞和风险，但是用户却不知道。还有一个问题，就是服务质量严重依赖于实施服务的个人，人员能力强，责任心强，服务效果就好。反之效果就无法保障。

四、如何做好安全运营工作

当前，国内大多数企业在信息安全建设初期，安全工作的主要内容是购买安全设备和部署安全管控系统并进行日常维护。从网络层、系统层、应用层、数据层、终端层部署了一系列安全设备或软件并确保其稳定运行，但发现安全状况并没有得到有效改善，安全问题频发。

以上问题其根本原因是企业一直在进行被动防护，没有进行有效的安全运营。

深信服公司自研安全运营平台，最主要的特点就是通过高阶安全专家+AI自动化引擎对外输出“人机共智”的安全服务效果，能够实现7*24小时的持续安全能力输出，为用户构建一套持续、主动、闭环、动态安全运营体系，并通过自动化的服务监控平台，将服务水平标准化，确保对外输出都是专家级服务。

深信服认为基于“人机共智”的创新模式才能更好地解决当前用户遇到的安全问题，“人”指的是我们高阶的安全专家，深信服采用专家资源共享的方式让每个用户都能享受到专家级的优质服务，同时也提供科学家、数学家对平台的AI检测引擎进行场景训练，确保AI检测引擎持续进化；“机”指的是深信服自研的AI安全运营平台、基于威胁情报打造的脆弱性管理平台、标准化服务监控平台，这些平台使得我们的技术底蕴、管理理念都处于业界领先；同时引入国际知名咨询公司参与服务战略设计、服务流程设计等工作，使得“人机”之间得以高效配合，循序渐进。

针对客户的实际业务发展需求和网络情况，深信服通过在客户网络环境中部署安全组件，将收集到的安全日志汇聚到云端平台，形成客户内部的安全信息，达到知己的状态。同时云端平台实时采集外部的安全信息，观察大环境下当前有哪些安全事件，以及这些安全事件的行为特征、攻击路径、传播方式等信息，达到知彼的状态。

将内部信息和外部信息通过AI引擎自动化分析后，形成针对客户特有的威胁消息，这些威胁消息就可以去推动安全管理体系中的人员、流程去跟进处置。通过从安全组件、云端研判、云端专家形成一套7*24小时的持续、闭环、主动、动态的安全运营体系，帮助用户提前预警，快速研判，精准响应，同时提供安全体系建设规划的数据支撑，为安全建设决策提供正确决策因素。

五、立足本地化的安全运营理念

安全运营的底层支撑技术已被国际权威组织Gartner多次提及，在技术层面上，国外厂商底层的支撑技术如基于AI技术和机器学习自动化动态识别并构建关联分析的场景，和威胁情报的利用方法都是可以借鉴的地方。从应用层面，很多国际厂商在全球范围投入安全运营中心的业务,通过Local Shift或者Local Shift or Follow the sun这种运营模式实现全球范围内的7*24小时安全监测等安全运营服务。这种模式的好处是具备了全球化的安全视角，当东半球大规模发生了一起安全事件后，可以快速地将预防措施同步到西半球，达到防患于未然的作用。

但是国外的这种运作方式并不适用于国内大部分客户。首先，个人信息保护法律法规的相继出台会对国外安全运营的这种运作方式提出挑战；其次国内很多客户认为分析问题和处置问题同样重要，而国外安全运营的模式重点在于海量的安全体征中发现安全问题，并不提供相应的闭环措施，导致问题一直存在。深信服“人机共智”的安全运营理念吸收了国外先进的理念和技术，并且在业务模式上更站在用户的视角解决用户实际问题，并且更加合规。

（本文刊登于《中国信息安全》杂志2019年第8期）