探寻构建安全运营体系的核心要素

数字时代的网络安全新挑战

当前数字化的应用领域正从互联网行业向政府、金融、零售、农业、工业、交通、物流、医疗健康等行业深入。其中，政府、零售业等将成为受云计算、人工智能、IoT等新技术影响 深的行业领域，在未来3-5年内，数字化程度有望达到70%-80%。随着各行业数字化转型速度不断加快，各种应用、云服务和移动设备越来越多，企业面对的攻击面也急剧扩大。

同时，外部的安全形势也变得更加严峻。 先，外部威胁变化加快，根据国家权威机构CNCERT披露，去年出现的勒索软件数量高达14万个，其中一款勒索软件一年时间迭代19个版本，平均19天就会出现一个变种，这些威胁直接增加了各行业网络安全事件爆发的几率。
“

安全事件频发的本质是攻防上的不对等，黑客往往是先手一方，敌在暗，我在明处，一次成功的黑客攻击，黑客可以做到速战速决，而防守方为了及时发现入侵并控制安全事件带来的影响，往往需要耗费大量的建设时间和人力成本。
”

李焕波提到，传统的安全运维体系，安全效果很难达到预期。传统的安全运维体系往往具有以下四个特点：

1. 纯防御+呆控制

传统的安全运维体系以防御为主，但业务所需的安全保护却不能及时到位， 终常常会制约业务开展。

2. 不协同+难管理

传统的安全运维体系分对象构建安全保护措施，各自为政，难以联合和管理，面对高级威胁或复合型攻击束手无策。

3. 缺感知+不可视

在面对新型网络安全威胁时，传统的安全运维体系在被攻击之后，难以查明攻击来源、途径和过程，也很难确定是否有攻击事件发生、是否有潜在的危险。

4. 轻运营＋难进化

在需要应用新IT技术或根据业务提出新安全需求时，传统的安全运维体系调整往往流程繁琐、响应迟钝，并且往往不具备7*24小时网络安全保障能力。

数字时代下网络安全运营新体系

为更好应对数字时代的网络安全新挑战，深信服构建了以安全效果为目标、以“人机共智”为驱动的持续化安全运营体系。

1. 以安全效果为目标

通过管理资产、漏洞、威胁以及事件在内的四个控制要素，结合“人机共智”模式开展持续化的网络安全保障工作，实现安全合规、风险可控、能力提升、价值呈现。

以安全效果为目标，要在日常工作中对资产、漏洞、威胁以及事件在内的四个控制要素进行把控，在快速响应流程和安全专家支持下，大幅度降低安全事件发生的概率，同时提升整个组织的安全能力，实现安全合规，风险可控。在此过程中，深信服可以对用户进行能力提升，将安全工作的价值呈现出来。

2. 以“人机共智”为驱动

深信服“人机共智”的安全运营技术架构， 先会对用户资产的日志数据进行搜集过滤，并按照相关合规要求做脱敏处理并加密传输到云端，同时通过强大的AI分析能力与3级安全专家梯队(T1\T2\T3)形成“人机共智”。在安全事件发生时，遵照标准化的响应流程（监测、分析、通告、处置），输出精准的安全事件研判信息和解决办法，并及时通告给用户，协同用户一起进行处置工作。

深信服安全运营体系的背后，主要由以下3点做支撑：

1. 基于业界 佳实践的威胁检测技术

MITRE的ATT&CK是当前 流行威胁检测框架，这个框架系统地描述了黑客攻击过程的十二个阶段，从初始化，到中间的横向移动到 后窃取数据造成影响，所有已发现的黑客攻击手法和检测建议都收录在里面，由业界 顶尖攻防专家共同维护。

深信服依托自身近20年的安全沉淀，对标ATT&CK框架，具备全面的网络检测和端点检测能力，结合云端强大的威胁情报能力、AI检测能力（200+个Usecase）以及专家研判能力，为用户输出精准的告警研判信息。

2. 基于OODA循环的动态响应机制

OODA环，又称博依德环，现被广泛应用于网络战、诉讼战以及金融战。深信服安全运营体系应用OODA，通过系统化的动态响应机制，来解决与黑客攻防对抗过程中的及时监测与响应问题，通过自动化的操作流程（Playbook+Runbook），协同用户快速处置并控制安全事件的风险。

3. 7*24小时在线的安全服务专家体系

目前深信服安全运营体系拥有完善的三级安全专家梯队。其中涉及病毒专家、安全数据分析专家、安全事件响应专家、威胁追踪专家、情报分析专家、安全架构专家、Web安全专家、渗透测试专家、漏洞挖掘专家等等，安全专家团队在各自领域拥有丰富的专业经验，通过集中办公将各自优势整合统一，帮助用户应对各类风险。