安全運(yùn)營建設(shè)為什么總是半途而廢？

次閱讀 ? 作者：網(wǎng)絡(luò)? 來源：網(wǎng)絡(luò) ? 2023-09-27

摘要：大量誤報(bào)告警、高級(jí)威脅、日志碎片化，讓安全運(yùn)營疲于奔命！

“該工具可用于編寫惡意代碼、創(chuàng)建出一系列殺毒軟件無法檢測的惡意軟件、檢測網(wǎng)站漏洞、自動(dòng)進(jìn)行密碼撞庫等，目前已售賣超3000份”——這是一款近期在暗網(wǎng)上流通的AI工具FraudGPT，黑客在銷售頁上“極力攬客”。

據(jù)不完全統(tǒng)計(jì)，由ChatGPT聊天機(jī)器人創(chuàng)造出的“邪惡孿生”（evil twins）已有7種，黑客們早已在各種非法交易活動(dòng)論壇上大肆宣揚(yáng)“這就是未來網(wǎng)絡(luò)攻擊的雛形”。

然而長期以來，大多數(shù)企業(yè)面對(duì)0day、釣魚等高級(jí)攻擊手段都尚未找到突破之道，而日漸智能化、泛濫化的新型AI攻擊，無疑是給本就無效的安全建設(shè)“雪上加霜”。

當(dāng)前警鐘已敲響：安全不能停留在建設(shè)階段，更需要日常運(yùn)營維護(hù)，趕超攻擊者。但在現(xiàn)實(shí)中，安全運(yùn)營可沒那么好做，甩鍋和背鍋是常有的事。很多CIO/CSO內(nèi)心也壓著很多委屈，明明我那么努力，投入了這么多預(yù)算和人力進(jìn)行安全建設(shè)，盡心盡力防護(hù)，一旦安全出現(xiàn)問題，責(zé)任全是我的？

更普遍的情況是，在長期疲于奔命的安全運(yùn)營建設(shè)中，安全團(tuán)隊(duì)精氣神逐漸不足，運(yùn)營意識(shí)也逐漸渙散，最終半途而廢。恰如開發(fā)商建房，開建之初，無一不是資金充裕、信心滿滿，但建造過程中，難免遭遇人力物力財(cái)力等種種難題，整個(gè)團(tuán)隊(duì)心氣散亂、彼此推諉，最終致使不少樓盤建到一半停工，成了爛尾樓。

對(duì)于安全領(lǐng)域存在的這類問題，CIO/CSO也在思考，究竟是什么原因?qū)е?？是否存在切?shí)有效的解決之法？為此，我們尋訪了一些甲方企業(yè)客戶，試圖從他們遭遇的安全運(yùn)營困境中尋出一些端倪。

企業(yè)機(jī)構(gòu)安全運(yùn)營都面臨哪些困擾

實(shí)踐出真知，問題往往都是在實(shí)踐中發(fā)掘，憑空想象很難觸及問題的本質(zhì)。唯有了解客戶真實(shí)遇到的難題，才能思索對(duì)應(yīng)解決之法。

安全設(shè)備多，告警量大看不過來

客戶一是國內(nèi)某中型互聯(lián)網(wǎng)企業(yè)，因?yàn)轶w量較大、財(cái)力豐厚，所以他們配備了數(shù)十種安全工具，比如防火墻、威脅情報(bào)、IPS/IDS、認(rèn)證系統(tǒng)、漏掃工具、終端安全、云安全等，安全運(yùn)營還兼管數(shù)據(jù)庫審計(jì)、零信任認(rèn)證、上網(wǎng)行為管理等，此外他們擁有自研的日志管理平臺(tái)，可以對(duì)安全設(shè)備、各類服務(wù)器以及終端等告警日志進(jìn)行統(tǒng)一采集和處置。

看似很完備的防護(hù)與運(yùn)營體系，卻并沒有想象得那么簡單。因?yàn)槊刻於紩?huì)產(chǎn)生數(shù)以十萬百萬計(jì)的告警，各類攻擊IP不計(jì)其數(shù)。如此龐大的告警數(shù)量，縱然安全團(tuán)隊(duì)經(jīng)常加班加點(diǎn)處理，往往也很難將真實(shí)的惡意攻擊行為從無數(shù)告警中提取出來。

也就是說，大量的誤報(bào)和檢測告警，讓安全運(yùn)營人員處于一種高度緊張且疲于奔命的狀態(tài)。時(shí)間一長，安全團(tuán)隊(duì)某些人員便心存僥幸，將許多告警信息歸類為誤報(bào)，所以必然會(huì)存在漏網(wǎng)之魚，給企業(yè)安全帶來很大的潛在問題。

客戶二是國內(nèi)某大型金融機(jī)構(gòu)，他們擁有數(shù)萬臺(tái)終端和服務(wù)器，在全國各地?fù)碛卸鄠€(gè)分部和數(shù)據(jù)中心，采購配置了上百種網(wǎng)絡(luò)安全設(shè)備和審計(jì)類產(chǎn)品，也配備了足夠人手的安全團(tuán)隊(duì)進(jìn)行日常運(yùn)維。

可以看出，他們的安全基礎(chǔ)建設(shè)相當(dāng)扎實(shí)，理論上應(yīng)該不存在什么安全大問題。但據(jù)透露，正是因?yàn)榘踩O(shè)備很多，所以每天接收的風(fēng)險(xiǎn)威脅告警就有數(shù)十萬條，告警量極其龐大，久而久之已經(jīng)超出了安全團(tuán)隊(duì)承受的極限。

目前，他們盡管付出了諸多努力，也只能處理全部告警的不到20%。更無奈的是，安全運(yùn)維人員已經(jīng)產(chǎn)生了告警疲勞，在檢測告警的過程中，可能會(huì)遺漏某些真實(shí)威脅，給機(jī)構(gòu)帶來相當(dāng)大的風(fēng)險(xiǎn)隱患。

從上述兩家客戶可以看出，他們的安全設(shè)備配置上并不存在大問題，該上的設(shè)備都已經(jīng)上齊，導(dǎo)致每天產(chǎn)生大量告警，超出了安全團(tuán)隊(duì)的承受極限，因此根本無法查看所有告警，也沒法研判哪些才是關(guān)鍵告警，進(jìn)而導(dǎo)致告警疲勞，很多告警日志便慢慢不再去管。

缺乏應(yīng)對(duì)高級(jí)威脅檢測的手段和能力

客戶三是國內(nèi)某金融機(jī)構(gòu)，整體安全信息化建設(shè)水平高，有專門的安全運(yùn)營團(tuán)隊(duì)，配備市面上各類安全設(shè)備上百套，比如防火墻、威脅情報(bào)、終端安全、NDR、HIDS、RASP、郵件網(wǎng)關(guān)等，是最早一批落實(shí)基于SOC技術(shù)構(gòu)建安全運(yùn)營中心用戶。

針對(duì)0day漏洞防御檢測問題，客戶在服務(wù)器區(qū)核心網(wǎng)絡(luò)部署大量商網(wǎng)絡(luò)探針，同時(shí)幾萬臺(tái)服務(wù)器部署了主機(jī)安全軟件，但每年攻防演練依然有0day攻擊成功，高級(jí)威脅識(shí)別的壓力較大。

針對(duì)辦公網(wǎng)釣魚，客戶已部署5w+的終端安全軟件，但還是頻發(fā)主機(jī)被釣魚入侵。不難發(fā)現(xiàn)，傳統(tǒng)終端防護(hù)檢測模式已經(jīng)無法對(duì)抗高級(jí)威脅攻擊。

難以統(tǒng)一治理碎片化的安全設(shè)備日志

客戶四是某大型國企，他們耗資100萬元購置了SOC平臺(tái)，又花費(fèi)60萬元購買了廠商服務(wù)，駐場3個(gè)月結(jié)合現(xiàn)狀寫安全日志和關(guān)聯(lián)分析規(guī)則。
但隨著業(yè)務(wù)擴(kuò)張帶動(dòng)網(wǎng)絡(luò)變化，加之安全設(shè)備更替以及版本升級(jí)，不到半年，有些SIEM關(guān)聯(lián)規(guī)則就開始失效。一年之后，就有接近50%的規(guī)則失效?？蛻魺o奈吐槽：“10 條告警里 8 條是誤報(bào)，基本沒法看。”隨后又投入幾十萬買服務(wù)更新一遍規(guī)則，接著又是不斷失效，不到兩年時(shí)間，基本不再去看各類告警。
我們很容易看出這些客戶的問題本質(zhì)所在，即難以對(duì)碎片化的安全設(shè)備日志做統(tǒng)一治理，基本都需要人工去處理，不但技術(shù)要求高，而且工作量非常大。其次，隨著業(yè)務(wù)發(fā)展、網(wǎng)絡(luò)環(huán)境變化、設(shè)備更替和版本升級(jí)，規(guī)則很容易失效，企業(yè)要持續(xù)進(jìn)行高成本的投入，且規(guī)則維持時(shí)間又難以長久，最終基本不再去用。

當(dāng)前業(yè)內(nèi)主要采取哪些解決方案

網(wǎng)絡(luò)安全存在問題，安全廠商自然會(huì)致力于解決問題。因此，上述安全運(yùn)營建設(shè)方面的問題，其實(shí)在業(yè)內(nèi)一直在探索解法。雖然各大廠商的路線技術(shù)有所差異，但整個(gè)安全行業(yè)內(nèi)，存在著通行解法的思路。

網(wǎng)絡(luò)安全真正起航大約已有二三十年，崛起差不多是近十年。但實(shí)際上在近二十年前，就已經(jīng)誕生了針對(duì)安全控制以及監(jiān)測、審計(jì)和報(bào)告的安全平臺(tái)，即安全信息和事件管理（SIEM）平臺(tái)，也是曾經(jīng)唯一可以幫助安全團(tuán)隊(duì)集檢測、調(diào)查和響應(yīng)為一體的解決方案。

但隨著互聯(lián)網(wǎng)的發(fā)展，SIEM也開始力不從心，具體表現(xiàn)在如下三個(gè)方面：

首先，SIEM基于安全產(chǎn)品的已有的安全告警結(jié)果，難以發(fā)現(xiàn)繞過攻擊，即無法實(shí)現(xiàn)1+1大于2的效果；

其次，受限于數(shù)據(jù)治理框架的不足，SIEM難以真正打通網(wǎng)絡(luò)維度和主機(jī)維度的安全數(shù)據(jù)，在攻擊全鏈條還原和威脅實(shí)體定位方面，存在天然的技術(shù)短板；

最后，由于SIEM本身缺乏安全分析能力，需要人工編寫關(guān)聯(lián)分析規(guī)則，重度依賴人的安全知識(shí)和經(jīng)驗(yàn)，導(dǎo)致運(yùn)營維護(hù)成本也始終居高不下，即便業(yè)內(nèi)部分產(chǎn)品內(nèi)置了關(guān)聯(lián)規(guī)則模板，對(duì)用戶而言仍有著極高的技術(shù)門檻。

因此，最早于2018年開始，業(yè)內(nèi)正在逐步轉(zhuǎn)向擴(kuò)展檢測和響應(yīng)，即XDR解決方案，以統(tǒng)一整個(gè)企業(yè)組織的威脅檢測和響應(yīng)。

可以說，XDR代表著新一代安全運(yùn)營解決方案的核心技術(shù)。XDR更聚焦威脅本身，關(guān)注及時(shí)的威脅調(diào)查、隔離、遏制和對(duì)攻擊的響應(yīng)，且強(qiáng)調(diào)內(nèi)置安全檢測框架，圍繞攻擊鏈條自動(dòng)化關(guān)聯(lián)安全數(shù)據(jù)，能夠有效滿足用戶對(duì)性能和效率的追求。

通過上述理論解析可以看出，針對(duì)告警量大、告警威脅難以定位處置、碎片化安全設(shè)備日志難以統(tǒng)一處理等安全運(yùn)營建設(shè)問題，XDR解決方案可以提供較為完善的解決之道。

但問題來了，XDR是一個(gè)新興解決方案，其提供了一個(gè)宏觀的思路和途徑，在具體操作實(shí)踐落地層面，還需要更細(xì)致的技術(shù)和產(chǎn)品去落實(shí)。事實(shí)上，國內(nèi)很多安全廠商已經(jīng)涉足XDR領(lǐng)域，并探研出各自的解決方案來。

所以，亟待解決上述三類問題，我們還需要拿出具體一個(gè)產(chǎn)品，或者是一家安全廠商的理念，來針對(duì)性地回答和解決這些問題。

國內(nèi)安全廠商的具體解法是什么

9月，深信服召開了兩場發(fā)布會(huì)，通過觀摩發(fā)布會(huì)，我們發(fā)現(xiàn)其提出了“安全運(yùn)營新范式”，重磅發(fā)布了安全GPT 2.0升級(jí)能力，正是圍繞著上述用戶安全運(yùn)營長期所面臨的難解之題。

在“安全設(shè)備多告警量大看不過來”難題上，企業(yè)安全團(tuán)隊(duì)的人員數(shù)量和專業(yè)化水平差距是造成告警困境的根本原因，告警研判所需的專業(yè)知識(shí)面廣、處置分析路徑多樣化，也造成僅有的安全人力研判困難、研判疲勞的巨大壓力，無法從更高視角去縱覽企業(yè)全局安全水位。

本質(zhì)來說，這就是“運(yùn)營效率”的問題。在提升運(yùn)營效率上，深信服引入了汽車行業(yè)“輔助駕駛”和“智能駕駛”的理念，配合安全人員進(jìn)行分層次的自動(dòng)化運(yùn)營落地，對(duì)齊企業(yè)安全人員水平的差異、擴(kuò)大安全運(yùn)營的“虛擬人力”規(guī)模。

其中，“輔助駕駛”模式提供對(duì)話式的網(wǎng)絡(luò)安全態(tài)勢分析、解讀、建議等，通過連續(xù)對(duì)話提供場景化的安全處置指導(dǎo)，每個(gè)安全運(yùn)營人員都可以自由地根據(jù)自己的業(yè)務(wù)水平獲取額外知識(shí)、梳理合適的處置路徑，快速實(shí)現(xiàn)閉環(huán)。

“智能駕駛”模式則將在安全運(yùn)營人員的授權(quán)和審核下，全面接管安全運(yùn)營的全生命周期（資產(chǎn)漏洞治理、威脅檢測發(fā)現(xiàn)、告警事件閉環(huán)、處置調(diào)查、總結(jié)匯報(bào)）的關(guān)鍵工作，自動(dòng)化進(jìn)行告警研判、上報(bào)研判結(jié)果、提供研判證據(jù)鏈，以自動(dòng)化的方式大幅度優(yōu)化MTTD、MTTR，提升組織的安全能力，將日常安全運(yùn)營所花費(fèi)的時(shí)間減少95%。

以往安全建設(shè)模式高度依賴于人，人是效果的天花板，亦是組織的短板。所以深信服認(rèn)為，安全運(yùn)營應(yīng)當(dāng)如同智能汽車“智能駕駛”一般，用技術(shù)紅利釋放人的精力。

無論是“輔助駕駛”也好，“智能駕駛”也罷，最終掌握“方向盤”的還是人類，安全GPT可以將專業(yè)人員的精力從低效率的繁瑣工作解放出來，轉(zhuǎn)化為更高層次的安全決策和運(yùn)營能力，幫助組織單位提升效率、降低成本。

在“缺乏應(yīng)對(duì)高級(jí)威脅檢測的手段和能力”問題上，由于安全運(yùn)營工作涵蓋范圍很廣，功能設(shè)計(jì)比較靈活，但最終效果的達(dá)成取決于內(nèi)核能力的建設(shè)質(zhì)量——即實(shí)戰(zhàn)化的威脅對(duì)抗能力，安全運(yùn)營應(yīng)當(dāng)以效果為核心、以閉環(huán)為目的，聚焦檢測能力提升，實(shí)現(xiàn)精準(zhǔn)高效的效果，若缺乏有效應(yīng)對(duì)高級(jí)威脅的檢測能力，最終不可避免地會(huì)導(dǎo)致半途而廢。

顯而易見，這是“檢測效果”層面的問題。在此方面，深信服利用安全領(lǐng)域積累的高質(zhì)量數(shù)據(jù)、算力、場景信息等優(yōu)勢，基于XDR的攻擊故事線還原、多源數(shù)據(jù)融合分析能力，有效識(shí)別“0Day、釣魚，憑證竊取，無文件攻擊”等高級(jí)攻擊手法，結(jié)合安全GPT的強(qiáng)大邏輯思維和自然語言處理能力，安全GPT持續(xù)賦能XDR，強(qiáng)化隱蔽和未知威脅的檢測效果，支持對(duì)Webshell加密通信、加密漏洞（如Shiro）、Java反序列化等高危風(fēng)險(xiǎn)的檢測，針對(duì)長周期、高混淆攻擊的識(shí)別率提升80%以上。　

在“難以統(tǒng)一治理碎片化的安全設(shè)備日志”難題上，深信服基于“開放平臺(tái)+領(lǐng)先組件+云端服務(wù)”的安全理念進(jìn)行落地，通過“聚合簡化、云智賦能”的方式，以開放的XDR平臺(tái)承載安全的核心能力，多樣化的領(lǐng)先組件深入各類場景洞見風(fēng)險(xiǎn)、處置威脅，云端和本地服務(wù)最終保障效果落地，由此形成體系化、智能化的運(yùn)轉(zhuǎn)方式，幫助組織單位提升安全水位線，深信服稱之為“安全運(yùn)營新范式”。

安全建設(shè)不再半途而廢
安全運(yùn)營更省心有效

一直以來，安全與威脅始終是“道高一尺魔高一丈”的博弈，但誰高一尺誰高一丈，往往存在不確定性。但不可否認(rèn)的是，眾多安全廠商在這場道魔之爭的拉鋸戰(zhàn)中，均投入了大量的資源與心血。

比如深信服，其理念在于用技術(shù)紅利釋放人的精力。例如，利用高級(jí)威脅檢測，有效檢出“0Day、釣魚，憑證竊取，無文件攻擊”等各類攻擊；多源數(shù)據(jù)融合分析，針對(duì)三方數(shù)據(jù)進(jìn)行二次誤報(bào)校驗(yàn)，去除無效噪聲；狙擊威脅根因，可視化攻擊故事線，快速開展威脅調(diào)查和溯源分析。

通俗來講就是，通過XDR對(duì)E+N多源數(shù)據(jù)進(jìn)行深度上下文的聚合分析，有效削減海量告警，進(jìn)而轉(zhuǎn)換為用戶能夠理解的高價(jià)值安全事件，并通過深度關(guān)聯(lián)分析引擎，完整還原攻擊故事線，易于舉證和下一步研判。此外，安全GPT技術(shù)賦能XDR，強(qiáng)化檢測能力，提升運(yùn)營效率，助力安全運(yùn)營工作邁向“智能駕駛”時(shí)代。

可以看出，解決安全運(yùn)營建設(shè)半途而廢的問題，是一項(xiàng)長期而艱巨的工程。任何一家探索此道的安全廠商，都值得尊敬和贊賞。

西漢劉安在《淮南子·兵略訓(xùn)》有言：“ 千人同心，則得千人之力”。安全，往小里說，是安全廠商之間的競爭；往大里說，是黑與白、正與邪的角力。安全行業(yè)同心同力，在各自細(xì)分領(lǐng)域一往無前迸發(fā)力量，將新的技術(shù)理念絢麗繽紛，安全才能氣象萬千，才能更好鏟除“安全運(yùn)營建設(shè)半途而廢”，這個(gè)看似不大卻影響深遠(yuǎn)的安全痼疾。

在此，觀一深信服，可為同行參照爾。

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）

h漫全彩纯肉无码网站,欧美日韩作爱视频免费,日本在线国产精品,亚洲三级精品在线观看

安全運(yùn)營建設(shè)為什么總是半途而廢？

安全運(yùn)營建設(shè)為什么總是半途而廢？