網(wǎng)絡(luò)安全建設(shè)對(duì)一般企業(yè)而言，是專業(yè)門檻比較高又必須要考慮的問題。對(duì)具備一定規(guī)模的企業(yè)，常見的安全建設(shè)模式，是越堆越多的各種不同類型的安全設(shè)備，加上若干長期駐場的來自安全廠商的安全運(yùn)維人員。隨著遠(yuǎn)程辦公、辦公網(wǎng)、數(shù)據(jù)中心和多云成為目前企業(yè)的主要IT環(huán)境，傳統(tǒng)安全建設(shè)模式，投入大、成本高、效果低、難維護(hù)成為痛點(diǎn)問題。

　　云計(jì)算不僅改變了企業(yè)傳統(tǒng)的業(yè)務(wù)模式，也帶來了傳統(tǒng)安全運(yùn)營模式的全新改變。云化時(shí)代，高速的信息傳播，使得安全運(yùn)營的敏捷性成為必需。而云化技術(shù)又為實(shí)現(xiàn)敏捷的安全運(yùn)營成為可能。因此，有觀點(diǎn)認(rèn)為，安全的未來靠運(yùn)營，運(yùn)營的未來在云上！

　　今年5月，綠盟科技正式發(fā)布云化戰(zhàn)略——T-ONE CLOUD，旨在以云的思路重構(gòu)安全運(yùn)營體系，為用戶提供彈性敏捷的安全閉環(huán)保障能力。本期訪談特別邀請(qǐng)到綠盟科技集團(tuán)副總裁曹嘉，共同探討云時(shí)代企業(yè)安全運(yùn)營服務(wù)的變革與發(fā)展。

　　16年安全行業(yè)從業(yè)經(jīng)歷，具備豐富的安全咨詢、項(xiàng)目管理及解決方案創(chuàng)新經(jīng)驗(yàn)。多年來深耕網(wǎng)絡(luò)安全領(lǐng)域，率領(lǐng)團(tuán)隊(duì)長期從事安全服務(wù)業(yè)務(wù)，負(fù)責(zé)綠盟科技紅隊(duì)/藍(lán)隊(duì)管理、咨詢?cè)O(shè)計(jì)、網(wǎng)絡(luò)安全培訓(xùn)與教育、應(yīng)急響應(yīng)、安全開發(fā)等專業(yè)服務(wù)團(tuán)隊(duì)。

　　我們看到綠盟科技提出了“云運(yùn)營再造新安全”的理念，這個(gè)理念的提出背景是什么？與傳統(tǒng)安全建設(shè)模式有什么區(qū)別？

　　曹嘉：

　　“云運(yùn)營再造新安全”指的是云安全戰(zhàn)略。我們對(duì)未來安全運(yùn)營上云和本地化的問題上做了很長時(shí)間的分析和討論，目前的業(yè)務(wù)場景上主要指托管檢測和響應(yīng)MDR（Managed Detection and Response），MDR立足在本地以及遠(yuǎn)程進(jìn)行威脅分析和響應(yīng)，即DR類服務(wù)，如果將安全運(yùn)營的主要方向定義為對(duì)D和R的效率提升，則也可以說云化安全將會(huì)改變的首先就是DR類服務(wù)的效率和效果。與傳統(tǒng)安全模式的區(qū)別主要包括：

　　首先，云安全戰(zhàn)略一方面要保護(hù)客戶在云上的資產(chǎn)，另一方面要通過云的方式閉環(huán)客戶的安全需求來提供更好的服務(wù)。技術(shù)上，需要基于云化的SaaS服務(wù)來建立面向全行業(yè)的大中臺(tái)，面向客戶提供監(jiān)測預(yù)警分析、響應(yīng)的服務(wù)，為用戶閉環(huán)所有的安全問題。

　　其次，傳統(tǒng)模式下運(yùn)營商、金融、政府是最大的安全買家，但他們更多會(huì)將運(yùn)營責(zé)任放在自己身上。而云運(yùn)營戰(zhàn)略主要是布局前瞻性的市場及未來客戶的發(fā)展需求。云連接促進(jìn)了新興制造業(yè)、連鎖集團(tuán)跨地域的快速發(fā)展，企業(yè)運(yùn)營一方面會(huì)演變成云上云下混合的模式，企業(yè)很難找到一個(gè)統(tǒng)一的視角去看自己在混合云環(huán)境下的安全能力和安全風(fēng)險(xiǎn)；另一方面，對(duì)于不停在各地進(jìn)行節(jié)點(diǎn)擴(kuò)張的企業(yè)來說，首先要解決合規(guī)準(zhǔn)入問題，而每增加一個(gè)新的連鎖店就要重復(fù)進(jìn)行系統(tǒng)建設(shè)，其建設(shè)、運(yùn)營成本會(huì)成倍增長；此外，新興和小微企業(yè)初期都要考量自己的投入產(chǎn)出比，不可能上來就建個(gè)運(yùn)營中心或SOC。云安全戰(zhàn)略定位主要是匹配這些跨地域快速擴(kuò)張的企業(yè)、廣域連接的新興行業(yè)及小微企業(yè)的安全運(yùn)營需求。

　　企業(yè)用戶在應(yīng)對(duì)網(wǎng)絡(luò)威脅時(shí)，仍然經(jīng)常面臨“看不見，分不清，處置不及時(shí)”的情況，目前企業(yè)的安全運(yùn)營能力與外部攻擊的對(duì)抗水平是否匹配？該如何應(yīng)對(duì)？

　　曹嘉：

　　在攻守兩端，防守永遠(yuǎn)難于攻擊，攻防雙方長期不對(duì)等。

　　從本質(zhì)上說，永遠(yuǎn)都會(huì)有新的漏洞、新的威脅出現(xiàn)，安全是一個(gè)對(duì)抗性的行業(yè)，攻擊在先的趨勢(shì)長期不可逆。在這個(gè)對(duì)抗的過程當(dāng)中，任何一個(gè)漏洞的出現(xiàn)，我們認(rèn)為它都是全新的，每個(gè)漏洞利用都有不同，要?jiǎng)討B(tài)的看待每個(gè)漏洞和影響。

　　其次，安全運(yùn)營的復(fù)雜度高。企業(yè)安全建設(shè)中涉及的安全廠商、產(chǎn)品、服務(wù)非常多樣，系統(tǒng)異構(gòu)、接口方式，以及廠家對(duì)漏洞、威脅的定義規(guī)則都不相同，安全資產(chǎn)缺少統(tǒng)籌管理，甚至很多資產(chǎn)都不在客戶管理的視圖中，僅對(duì)某一個(gè)系統(tǒng)打補(bǔ)丁做升級(jí)是防不住的。

　　再次，檢測和響應(yīng)效率不足，安全的未來應(yīng)該注重在效率上，即提高檢測時(shí)間（TTD）和響應(yīng)時(shí)間（TTR）。任何一個(gè)企業(yè)都可能被單點(diǎn)突破，遭受攻擊，企業(yè)失陷后恢復(fù)的時(shí)間越短，表示安全運(yùn)營越完備。傳統(tǒng)運(yùn)營方案的檢測能力受限，只有檢測能力和響應(yīng)能力更好，安全運(yùn)營才能越轉(zhuǎn)越快。這要求從產(chǎn)品到平臺(tái)，從硬件到軟件，從人到流程都必須做的很好，有一個(gè)環(huán)節(jié)慢，檢測的和響應(yīng)的都不會(huì)快。能不能夠把TTD和TTR提得更高，是任何一個(gè)企業(yè)安全管理者都要解決的問題。

　　最后，系統(tǒng)自動(dòng)化處置程度還比較低，基于人進(jìn)行處置很難使響應(yīng)效率得到有效提升，安全需要在盡可能準(zhǔn)確和盡可能全面的檢測和響應(yīng)之間折中取一個(gè)平衡點(diǎn)。

　　云計(jì)算技術(shù)給安全運(yùn)營工作帶來的主要幫助有哪些，是否會(huì)成為主流或剛需的安全運(yùn)營模式？

　　曹嘉：

　　云計(jì)算技術(shù)給安全運(yùn)營所帶來的第一個(gè)顯示易見的幫助是集約化。云安全運(yùn)營通過建立一個(gè)覆蓋全國的中臺(tái)系統(tǒng)或者工單系統(tǒng)實(shí)現(xiàn)能力和項(xiàng)目管理的拉通，能夠解決分布站點(diǎn)的等保合規(guī)訴求，降低企業(yè)合規(guī)建設(shè)的成本；幫助用戶實(shí)現(xiàn)云上云下統(tǒng)一視圖，使用戶的安全投入和產(chǎn)出比有更好的呈現(xiàn)；同時(shí)，在企業(yè)業(yè)務(wù)擴(kuò)展時(shí)安全能力可以彈性地?cái)U(kuò)容，非常方便。

　　其次，自動(dòng)化的工具平臺(tái)和云化的SaaS服務(wù)使評(píng)估和測試變得更加輕量化，覆蓋度會(huì)更高。常見的可利用的漏洞在自動(dòng)化的工具平臺(tái)上都能覆蓋，針對(duì)不同的需求場景測試可分為不同類型，如高強(qiáng)度的對(duì)抗型測試、標(biāo)準(zhǔn)的安全功能測試、輕量級(jí)測試。特別是輕量級(jí)測試價(jià)格也會(huì)更低，能幫助客戶提升測試的覆蓋度，給用戶的測試結(jié)果都是可以被有效利用的、用戶最需要關(guān)注和解決的問題。

　　除集約化和輕量化外，云安全運(yùn)營的最大優(yōu)勢(shì)是面向客戶提供監(jiān)測預(yù)警分析、響應(yīng)服務(wù)，能幫助企業(yè)減少安全事件檢測到響應(yīng)的工作鏈條，閉環(huán)所有的安全問題，提高檢測和響應(yīng)效率。安全事件解決需要從現(xiàn)象到證據(jù)鏈到分析，再從分析轉(zhuǎn)化到產(chǎn)品，整個(gè)過程需要規(guī)則工程師、研發(fā)工程師等不同環(huán)節(jié)的安全人員按一定流程分工協(xié)同工作。具有專業(yè)運(yùn)營經(jīng)驗(yàn)的云服務(wù)平臺(tái)，對(duì)告警的分析處理比在客戶端的判斷要快很多，處置的工具方法也會(huì)比客戶本地多很多，可以很快判斷告警是否是真正的風(fēng)險(xiǎn)，幫助用戶提高了檢測的效率。同時(shí)，熱補(bǔ)丁技術(shù)在云安全運(yùn)營中得到了更好的應(yīng)用，緩解新型攻擊應(yīng)對(duì)的壓力，這也是云安全運(yùn)營帶給企業(yè)的紅利。

　　隨著企業(yè)上云，集約化政務(wù)云的大規(guī)模建設(shè)，政務(wù)系統(tǒng)大數(shù)據(jù)局的出現(xiàn)，用戶在云上產(chǎn)生的數(shù)據(jù)是不是安全，也是安全運(yùn)營未來要解決的一個(gè)問題。從合規(guī)導(dǎo)向來看，國家在安全運(yùn)營方面也匹配了相應(yīng)的政策，去年中國信息安全測評(píng)中心頒發(fā)了安全運(yùn)營的資質(zhì)，這是安全行業(yè)最熱門的資質(zhì)之一，擁有這個(gè)資質(zhì)就證明企業(yè)有解決挖礦、勒索病毒、等級(jí)保護(hù)問題的能力，這也是市場的剛需，可以帶來更廣闊的安全運(yùn)營服務(wù)市場。

　　采用云安全運(yùn)營模式后，企業(yè)的數(shù)據(jù)資產(chǎn)是否也會(huì)從企業(yè)數(shù)據(jù)中心遷移到云端，擴(kuò)大企業(yè)的風(fēng)險(xiǎn)暴露面？在檢測或出現(xiàn)安全事件后，云運(yùn)營商又如何更好的幫助用戶解決安全風(fēng)險(xiǎn)？

　　曹嘉：

　　企業(yè)的風(fēng)險(xiǎn)暴露面并不會(huì)因?yàn)榘踩\(yùn)營上云而變得擴(kuò)大。

　　首先，第三方安全運(yùn)營商也是在受監(jiān)管的情況下進(jìn)行本地或遠(yuǎn)程的服務(wù)；

　　其次，安全運(yùn)營并不需要用戶的所有數(shù)據(jù)，而是對(duì)疑似的流量做鏡像和保存。用戶只需要將本地關(guān)注的告警給到運(yùn)營平臺(tái)，為便于事后追溯和溯源，一般是由客戶在本地做好全量數(shù)據(jù)留存，如果需要原始數(shù)據(jù)，要到客戶本地溯源；

　　部分關(guān)鍵行業(yè)如金融、政府，因數(shù)據(jù)合規(guī)要求會(huì)明確數(shù)據(jù)不能出網(wǎng)，數(shù)據(jù)不能出省，企業(yè)要將數(shù)據(jù)放在本地。但新興行業(yè)，如制造業(yè)、酒店行業(yè)，業(yè)務(wù)模式相對(duì)開放，不太涉及敏感業(yè)務(wù)，國家對(duì)其要求也沒有關(guān)基行業(yè)那么高。因此，企業(yè)在可控的情況下選擇云安全運(yùn)營模式并不會(huì)給企業(yè)帶來更大的風(fēng)險(xiǎn)。

　　在檢測到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，安全運(yùn)營商首先要告知用戶風(fēng)險(xiǎn)，督促客戶進(jìn)行盡可能有效的修復(fù)和閉環(huán)安全問題。然而，一旦出現(xiàn)失陷事件，如果是已知的安全問題，就會(huì)追究運(yùn)營商是否盡到了督促修復(fù)的義務(wù)，如果是未知的風(fēng)險(xiǎn)，除了讓用戶理解外，運(yùn)營商也會(huì)通過高效的檢測和響應(yīng)能力協(xié)助用戶進(jìn)行修復(fù)工作以更快的收斂風(fēng)險(xiǎn)。

　　在解決和處理云上安全事件時(shí)，會(huì)涉及業(yè)務(wù)提供方、租戶、云供應(yīng)商等多個(gè)環(huán)節(jié)，相對(duì)傳統(tǒng)企業(yè)的運(yùn)營更復(fù)雜，安全運(yùn)營商也需要找具有信用背書能力的業(yè)務(wù)平臺(tái)協(xié)調(diào)業(yè)務(wù)提供方和基礎(chǔ)設(shè)施建設(shè)方一起進(jìn)行安全改造。

　　責(zé)任界定時(shí)安全運(yùn)營商需要平衡這些關(guān)系之間的安全責(zé)任，一般會(huì)按云計(jì)算的分層結(jié)構(gòu)進(jìn)行劃分：基礎(chǔ)設(shè)施安全由云基礎(chǔ)設(shè)備提供方去解決；業(yè)務(wù)邏輯漏洞問題由租戶去解決；運(yùn)營方就要通盤看待這個(gè)問題并協(xié)同好各方去解決安全問題。這相對(duì)傳統(tǒng)的安全運(yùn)營會(huì)更加復(fù)雜，安全運(yùn)營商扮演的角色也變得更多。

　　不同類型企業(yè)在構(gòu)建安全運(yùn)營能力時(shí)應(yīng)該如何選擇云安全運(yùn)營服務(wù)，有沒有一些推薦的組件？

　　曹嘉：

　　小微企業(yè)多采用政務(wù)云或者托管在阿里云、騰訊云的公有云上走集約化的模式，需求以安全合規(guī)為主，安全投資不能太重，同時(shí)不能對(duì)業(yè)務(wù)有太多阻礙和影響，推薦基于SaaS的輕量化的測試服務(wù)。

　　而央企、醫(yī)療、大型制造類企業(yè)，一般沒有足夠的編制管理自己多方面的安全，甚至管理自己采購的多種產(chǎn)品和服務(wù)供應(yīng)商，托管服務(wù)會(huì)比較適合。其中，輕量點(diǎn)的托管服務(wù)有MSS，重一點(diǎn)可以讓運(yùn)營商幫他們建設(shè)，甚至出人拉通云上云下的流程。以醫(yī)療行業(yè)為例，疫情環(huán)境下，衛(wèi)建委要求把數(shù)據(jù)下沉到每個(gè)三甲醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生所甚至藥店，這種場景下，云安全運(yùn)營商就可以非常方便的通過將探針分布式部署到每一所三甲醫(yī)院、每一個(gè)衛(wèi)生所和每一個(gè)藥店，而衛(wèi)健委只在省一級(jí)的數(shù)據(jù)中心或運(yùn)營中心構(gòu)建安全運(yùn)營平臺(tái)。

　　關(guān)鍵信息基礎(chǔ)設(shè)施類行業(yè)，其面臨的網(wǎng)絡(luò)威脅相對(duì)以上兩類企業(yè)更嚴(yán)峻，自身的基礎(chǔ)安全建設(shè)相對(duì)比較完備，多數(shù)配有專業(yè)的安全團(tuán)隊(duì)，更希望有一些專項(xiàng)安全業(yè)務(wù)與現(xiàn)有的安全能力進(jìn)行補(bǔ)充，比如，紅藍(lán)對(duì)抗、供應(yīng)鏈安全的咨詢和分析、代碼安全分析、軟件成熟度分析等。

　　您認(rèn)為未來安全運(yùn)營還會(huì)有哪些創(chuàng)新能力或特點(diǎn)出現(xiàn)，談一談您對(duì)安全運(yùn)營服務(wù)未來的發(fā)展的看法？

　　曹嘉：

　　全球安全市場的收入是服務(wù)大于產(chǎn)品，而中國是產(chǎn)品大于服務(wù)，但是在過去十年，服務(wù)的比例和專業(yè)度在逐年提高，影響這個(gè)變化的因素非常多。首先，在我國部分行業(yè)IT建設(shè)高峰期的時(shí)間窗口基本已經(jīng)過去了，比如金融。投資高峰期過去之后必定會(huì)產(chǎn)生對(duì)運(yùn)營的大量需求，這是安全運(yùn)營必然興起的第一個(gè)原因；其次，國家在政策上對(duì)于服務(wù)型以及本土安全企業(yè)的支持，包括信創(chuàng)、數(shù)字化轉(zhuǎn)型、十四五規(guī)劃、產(chǎn)業(yè)供應(yīng)鏈規(guī)劃甚至數(shù)據(jù)安全、供應(yīng)鏈安全等對(duì)安全運(yùn)營的促進(jìn)都非常明顯。未來安全運(yùn)營在服務(wù)甚至在整個(gè)安全投資的比重會(huì)大幅增長。

　　隨著云安全運(yùn)營技術(shù)的發(fā)展，未來風(fēng)險(xiǎn)評(píng)估將會(huì)出現(xiàn)一些低成本、高可用的技術(shù)，評(píng)估手段變得更加的自動(dòng)化、可復(fù)制化，能更好的解決安全評(píng)估的效率問題。典型的有輕量化的滲透測試、基于BAS對(duì)攻擊路徑進(jìn)行拉通式的評(píng)估、SOAR事件分析等等。除了測試技術(shù)，容器、微服務(wù)技術(shù)的應(yīng)用改變了客戶從開發(fā)到運(yùn)維的流程，安全廠商除了自身在開發(fā)中要運(yùn)用這樣的技術(shù)以外，還要配合客戶發(fā)現(xiàn)這方面存在的問題。比如K8S里邊的AK/SK泄漏問題、API接口問題等，這些問題必須要成為安全運(yùn)營商配合客戶發(fā)展的新方向。

　   評(píng)論

　　安全建設(shè)從無到有，從初步應(yīng)用到廣泛應(yīng)用，運(yùn)營起著非常關(guān)鍵性的作用，安全運(yùn)營是企業(yè)安全建設(shè)發(fā)展到一定階段的必然需求。但安全運(yùn)營的關(guān)鍵不完全是技術(shù)手段和自動(dòng)化程度的提高，更重要的是找到安全運(yùn)營的主要瓶頸和關(guān)鍵節(jié)點(diǎn)，才能真正使安全運(yùn)營有質(zhì)的提升。目前來講，安全運(yùn)營仍然有諸多待解決的問題，是安全探索的一個(gè)重要課題。未來對(duì)某些企業(yè)來講，物色一個(gè)綜合的安全運(yùn)營方，幫他們更好的利用好自己的廠商、資產(chǎn)以及相應(yīng)的服務(wù)商，也將成為企業(yè)安全建設(shè)的一個(gè)重要選項(xiàng)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<