?

簡介：

騰訊安全思享會完滿收官，SOC變革與演進(jìn)全盤點不容錯過！

大數(shù)據(jù)和云計算的時代，數(shù)據(jù)和個人信息成了“云上的金子”，因為其堪比石油的巨大價值，針對企業(yè)和個人的數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件時有發(fā)生。這個時候，新一代 SOC（Security Operation  Center）應(yīng)運(yùn)而生，在網(wǎng)絡(luò)與信息安全保護(hù)中充當(dāng)著越來越重要的角色。

在 2021 年 3 月 27 日舉辦的騰訊安全思享會上，來自上海霧幟智能科技有限公司 CTO 傅奎，綠盟科技集團(tuán)股份有限公司 天樞實驗室 高級安全研究員 張潤滋，天融信大數(shù)據(jù)分析產(chǎn)品線 總監(jiān) 鮑青波，騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人 肖煜，騰訊安全SOC產(chǎn)品總監(jiān) 劉桂澤等騰訊及其合作伙伴安全領(lǐng)域?qū)＜遥浴霸茣r代下SOC的變革與演進(jìn)”為主題，通過技術(shù)解讀與案例實踐分享和各自在 SOC 建設(shè)上的豐富經(jīng)驗，探討了從被動式防御到自適應(yīng)實時監(jiān)測與響應(yīng)、智能安全編排與自動化，到新一代網(wǎng)絡(luò)安全運(yùn)營架構(gòu)等熱門話題，并在圓桌論壇上共探 SOC 的技術(shù)演進(jìn)與未來發(fā)展趨勢，吸引了眾多業(yè)內(nèi)外人的關(guān)注。

在思享會上，專家們都“傳授”了哪些安全運(yùn)營之道？本文將帶領(lǐng)大家一起回顧活動中專家的精彩觀點分享，快來一睹為快！

Cloud SOC—云時代讓安全運(yùn)營工作煥發(fā)新生

在題為《Cloud SOC—云時代讓安全運(yùn)營工作煥發(fā)新生》的演講中，騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人 肖煜為大家?guī)砹嗽茣r代下 SOC 運(yùn)營存在的問題與解決秘訣：

騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人肖煜

云時代安全運(yùn)營面臨的問題大家不陌生，還是會存在事多、人雜、不好管的狀況。

其中，“事多”體現(xiàn)在事件量大，云時代之后這個問題依然存在，大量安全事件堆積難以處置，讓安全運(yùn)營人員疲于奔命。“人雜”是因為涉及到一些第三方帳號，用戶行為對于安全運(yùn)營人員來說是一個新的挑戰(zhàn)，不久前 Solarwinds 事件爆發(fā)，原因可能就在于供應(yīng)鏈管理上存在大量不可追溯的帳號問題，供應(yīng)鏈管理、人員帳號管理沒有做到位。“不好管”，在指云時代的資產(chǎn)有著快速消亡與新建的特點，相對傳統(tǒng)環(huán)境來說更靈活，但更容易出現(xiàn)再衍資產(chǎn)，做好資產(chǎn)管理梳理也是云時代所面臨的問題。

由此，云時代出現(xiàn)了一些新需求，比如平臺模式下服務(wù)方、消費(fèi)方都會產(chǎn)生安全訴求，服務(wù)方要求自身安全管理和消費(fèi)者安全有保障，消費(fèi)方也希望自身安全管理做到位。

此外，云場景下平臺與租戶的責(zé)任劃分也是一個新的需求。騰訊為此提出一個新概念，叫做 Cloud SOC，它要解決的就是安全和管理上的問題。

租戶和多環(huán)境兩個模塊是要解決管理問題，而處理安全問題的思路則是進(jìn)行監(jiān)測和深挖，利用可視化和開放平臺等技術(shù)手段來解決問題。

總的來說，Cloud SOC 會把相關(guān)安全信息，包括云上日志、第三方數(shù)據(jù)匯集到體系中進(jìn)行運(yùn)營，安全體系包括防御、檢測、相應(yīng)、預(yù)測模式，同時兼顧平臺和租戶。

這個體系的安全思路，在防御方面，強(qiáng)化自身就是最好的防御策略，同時在檢測和相應(yīng)模塊打造一個有機(jī)閉環(huán)，以可靠的服務(wù)作為支撐整個體系運(yùn)轉(zhuǎn)的基礎(chǔ)保障。

其中，防御要解決“不好管”的問題，騰訊 Cloud SOC 可以做到通過端、API 對原生資產(chǎn)與第三方資產(chǎn)進(jìn)行打通，而在這一點上，騰訊擁有多年從端、流量中獲取資產(chǎn)數(shù)據(jù)的經(jīng)驗。

在云這方面，Cloud SOC 的 CSPM（云安全態(tài)勢管理）是指云安全風(fēng)險配置化的管理檢查，利用此機(jī)制對云上資產(chǎn)進(jìn)行自動化檢查，不符合要求的配置會被平臺識別為風(fēng)險資產(chǎn)，并提醒安全運(yùn)營人員。

針對“人員雜”的問題，Cloud SOC 會在檢測和相應(yīng)兩個環(huán)節(jié)，通過騰訊自己提出的 XDR 小閉環(huán)，SIEM，以及智能 UEBA 模式，針對可靠流量和端點，獲得精準(zhǔn)的情報信息，進(jìn)而歸納總結(jié)，抓取真實的威脅信息，提高安全運(yùn)營覆蓋，以此進(jìn)行有質(zhì)量的告警及響應(yīng)。

從管理思路上來說，Cloud SOC 模式的驅(qū)動整體上還是平臺＋人，依賴于監(jiān)控、分析響應(yīng)和總結(jié)報告等服務(wù)，加上運(yùn)營專家／攻防專家，讓平臺高效運(yùn)轉(zhuǎn)起來。

另一方面，在平臺方和租戶的責(zé)任劃分上，Cloud SOC 天然地從兼顧雙方的視角來看問題，在平臺側(cè)和租戶側(cè)打上一些鮮明的標(biāo)簽對數(shù)據(jù)進(jìn)行區(qū)分，利用經(jīng)典和成熟的 RBAC 進(jìn)行功能相關(guān)的控制 。此外，這個數(shù)據(jù)標(biāo)簽還可以拓展到所有平臺模式上，將相關(guān)數(shù)據(jù)責(zé)任人歸屬于平臺方或租戶，并利用云平臺的優(yōu)勢，對相關(guān)數(shù)據(jù)功能進(jìn)行統(tǒng)一納管和運(yùn)營。

如今，騰訊 Cloud SOC 已經(jīng)在實踐中經(jīng)過檢驗，比如在某企事業(yè)單位，Cloud SOC 利用強(qiáng)檢測響應(yīng)閉環(huán)構(gòu)建“演練”最佳防護(hù)，在某大型金融組織機(jī)構(gòu)中，Cloud SOC 可在專有云或 IDC 部署，實現(xiàn)多環(huán)境數(shù)據(jù)統(tǒng)一納管，并適配上下級聯(lián)，實現(xiàn)全局可管、可控安全運(yùn)營。

安全運(yùn)營 SOAR Easy！

接下來，上海霧幟智能科技有限公司 CTO 傅奎帶來了《安全運(yùn)營 SOAR Easy》的主題分享：

我之前也做過一線的安全運(yùn)營人員，切身體會到一些痛苦的現(xiàn)狀，比如每天接到四千萬條事件運(yùn)營，但真正能有效處理的事件不到 10 個。安全運(yùn)營過程中的人工交互太多，費(fèi)時費(fèi)力。雖然過去二十多年，安全運(yùn)營在安全理論、技術(shù)、產(chǎn)品、客戶運(yùn)營水平上有所提高，檢測時間越來越短，但是安全運(yùn)營人員同時還面臨著自動化、智能化、網(wǎng)絡(luò)武器作戰(zhàn)平臺的“對手”，而絕大多數(shù)用戶只能徒手應(yīng)急響應(yīng)——溝通靠吼，響應(yīng)靠手。為改變現(xiàn)狀，我們用  SOAR 幫助我們快速開展安全運(yùn)營。

目前，國內(nèi)外已經(jīng)有不少廠商在跟進(jìn) SOAR 相關(guān)技術(shù)，并做到了分鐘級和秒級響應(yīng)。大家的基本思路都是通過圖形化的劇本編排界面，使用低代碼或無代碼實現(xiàn)安全事件響應(yīng)過程的編排，支持?jǐn)?shù)據(jù)交互和任務(wù)調(diào)度。

SOAR 可以是獨立平臺，也可以是內(nèi)置模塊。在實際落地中，SOAR 的應(yīng)急響應(yīng)快準(zhǔn)穩(wěn)，其出色的表現(xiàn)已經(jīng)得到業(yè)界的認(rèn)可。今天我們可以依靠系統(tǒng)，實現(xiàn) 通用安全事件響應(yīng)場景80％ 以上步驟的落地。以一個典型的威脅IP處置過程為例，經(jīng)過與人工操作的對比會發(fā)現(xiàn)，SOAR 自動化處置可以實現(xiàn)分鐘級和秒級，僅時間效率就提升了 84 倍，這還不包括人員成本的加工地。實際上，SOAR 在實際應(yīng)用中可以在不同場景里產(chǎn)生不同的效果，不僅在應(yīng)急響應(yīng)中，在事件分析、診斷、協(xié)同、寫報告等才做中，也可以快速完成，避免了人工的浪費(fèi)。而且，這種“套路”一旦沉淀就可以重復(fù)使用。

目前，霧幟在 HoneyGuide 中通過虛擬作戰(zhàn)式和 AI 機(jī)器人解決事件響應(yīng)過程中協(xié)同問題，用編排和自動化幫助客戶實現(xiàn)加速安全運(yùn)營。此外，除了自動化響應(yīng)，霧幟還希望能夠用自然語言與機(jī)器人進(jìn)行交互，提高安全運(yùn)營效率。基于安排編排自動化響應(yīng)以及 AI 人機(jī)協(xié)同的安全運(yùn)營，霧幟SOAR可實現(xiàn)分鐘級或秒級的應(yīng)急響應(yīng)，大幅節(jié)約了人工操作時間。

SOAR 是數(shù)字化經(jīng)驗幫助安全團(tuán)隊實現(xiàn)運(yùn)營傳承和技能積累的有效手段，通過充分發(fā)揮人類工程師的智慧和機(jī)器的智能與速度，最終讓“安全防護(hù)超越攻擊的速度規(guī)模”成為可能。

最后，不得不提的是，自動化永遠(yuǎn)都是手段，持續(xù)運(yùn)營才是靈活。運(yùn)營團(tuán)隊要有思想，主動采取戰(zhàn)略，主動思考，借助自動化手段實現(xiàn)目標(biāo)，不能完全依賴工具，這才是最重要的。

智能安全運(yùn)營技術(shù)發(fā)展思考與實踐

綠盟科技集團(tuán)股份有限公司 天樞實驗室的張潤滋還分享了主題為《智能安全運(yùn)營技術(shù)發(fā)展思考與實踐》的主題演講：

安全運(yùn)營團(tuán)隊的痛苦都是相似的，雖然解決思路和方法略有不同，但大的趨勢都是依靠自動化來對抗信息爆炸帶來的困難。

安全專家數(shù)量有限，告警疲勞和痛苦的作戰(zhàn)方式，倒逼安全運(yùn)營技術(shù)迭代式地發(fā)展，從傳統(tǒng)的單點攻防到邊界防御，再到安全運(yùn)營中心，安全運(yùn)營的下一步是智能化運(yùn)營。

Gartner 為安全運(yùn)營打上了一些關(guān)鍵的技術(shù)標(biāo)簽，比如 SIEM、UEBA 等，最近 SOAR、XDR 等也是比較熱門的話題，但似乎這些都缺乏內(nèi)在安全機(jī)制，隱私防護(hù)需求也造成系統(tǒng)黑盒。目前，安全運(yùn)營的還面臨著一些關(guān)鍵挑戰(zhàn)，如運(yùn)營需要細(xì)節(jié)與態(tài)勢并重，數(shù)據(jù)膨脹找到安全威脅猶如大海撈針，召回模型高誤報，技術(shù)／平臺低交互或無交互，以及缺乏魯邦安全性等。

為應(yīng)對這些問題，我們提出了 AISecOps，就是廣泛地把人、機(jī)器和流程資源結(jié)合起來做運(yùn)營。

實際上，國外和國內(nèi)已經(jīng)形成了智能運(yùn)維的研究生態(tài)，我們要做的就是把自動化、智能化帶到運(yùn)營中。

從概念上來說，AISecOps 包含四大要素，即“智能驅(qū)動安全運(yùn)營，以安全運(yùn)營目標(biāo)為導(dǎo)向，以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎(chǔ)，面向預(yù)防、檢測、響應(yīng)、預(yù)測、恢復(fù)等網(wǎng)絡(luò)安全風(fēng)險控制、攻防對抗的關(guān)鍵環(huán)節(jié)，構(gòu)建具有高自動化水平的可信任安全智能，以輔助甚至代替人提供各類安全運(yùn)營服務(wù)的能力，”我們的最終目標(biāo)，是用技術(shù)支持運(yùn)營，且技術(shù)自身可運(yùn)營。

為了讓技術(shù)本身可運(yùn)營，我們需要做一個模型來指導(dǎo)方向，思考自己在做的事情覆蓋到了運(yùn)營的哪些階段。從上圖可以看到，我們離自動化運(yùn)營還很遠(yuǎn)，處于 L2－L3 階段，只是在有限場景下，運(yùn)用數(shù)據(jù)分析手段，把情報打通。

為了支撐完整的自動化運(yùn)營，我們需要把從感知識別到認(rèn)知產(chǎn)生，再到產(chǎn)生策略的全流程串聯(lián)起來，打通人機(jī)協(xié)同循環(huán)。這是我們的工作模型和思考，目標(biāo)是希望人機(jī)協(xié)同能夠在未來 5－10 年間在很多場景下是此案完全自動化運(yùn)營。

目前，我們在做的一些工作包括超融合知識圖譜，在底層建立可以支撐全數(shù)據(jù)、多場景的 DSL 語言設(shè)計，建立融合的數(shù)據(jù)分析機(jī)制。

在此基礎(chǔ)上，打造可以針對不同場景下所需的不同檢測單元、召回單元、風(fēng)險評估單元、反饋解釋單元的可編排推薦引擎，讓引擎學(xué)習(xí)專家或運(yùn)營的不同偏好。

此外，我們還初步基于開源的文本類型解釋模型創(chuàng)建了可解釋引擎，可以實現(xiàn)自動化提取關(guān)鍵詞，目前僅支持文本，但后續(xù)將支持圖。

為了做到以數(shù)據(jù)驅(qū)動的方式支持人機(jī)協(xié)同，我們利用規(guī)則提取引擎，通過可解釋模型將學(xué)習(xí)成果告訴專家，并在推薦引擎中提取的知識中找出規(guī)律，形成規(guī)則和策略，然后通過搜索引擎，用統(tǒng)一的語言抽象進(jìn)行知識固化。

總結(jié)起來，安全專家的經(jīng)驗難以復(fù)制，人的精力有限，但是機(jī)器可以做到。第一，數(shù)據(jù)驅(qū)動的方式只是緩兵之計，面臨關(guān)鍵決策，要分具體情況，但以數(shù)據(jù)支撐決策和策略是我們技術(shù)路線的根本出發(fā)點；可編排能力要支撐不同業(yè)務(wù)場景，在每個運(yùn)營環(huán)節(jié)做響應(yīng)；“授人以魚不如授人以漁”，要能解釋清楚為什么用數(shù)據(jù)驅(qū)動能解決一切問題；最后一點是要打造可信任的安全智能“戰(zhàn)友”，保證 AI 的安全性。

安全運(yùn)營無法一步到位，我們希望將安全運(yùn)營中的知識固化下來，形成打造機(jī)器的戰(zhàn)甲，不能要求每個人都是超人，我們要做的就是要打造機(jī)器型的戰(zhàn)甲。

構(gòu)建智能化縱深安全分析體系

天融信大數(shù)據(jù)分析產(chǎn)品線 總監(jiān) 鮑青波分享了主題為《構(gòu)建智能化縱深安全分析體系》的精彩演講：

天融信大數(shù)據(jù)分析產(chǎn)品線總監(jiān)鮑青波

我的分享主要聚焦于安全分析，兩個關(guān)鍵詞分別是“智能化”和“縱深”。

首先介紹一下我國網(wǎng)絡(luò)安全現(xiàn)狀。據(jù) CNCERT 統(tǒng)計，2019 年，面向我國工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)嗅探事件約有 14，900 萬起，較 2018 年的約 4，451 萬起有顯著增長。經(jīng)分析，嗅探行為源自于美國、瑞士、法國等境外 130 個國家和地區(qū)，目標(biāo)涉及我國能源、制造、電信等重點行業(yè)的聯(lián)網(wǎng)工業(yè)控制設(shè)備和系統(tǒng)。大量關(guān)鍵信息基礎(chǔ)設(shè)施和聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)信息被境外嗅探，給我國網(wǎng)絡(luò)空間安全帶來隱患。對此國家非常重視，從十三五規(guī)劃到《網(wǎng)絡(luò)安全法》、《等級保護(hù) 2．0》到“十四五規(guī)劃”，國家要求建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力，特別是要加快人工智能的安全技術(shù)創(chuàng)新。

人工智能賦能安全分析，是此次演講的核心。不得不說，當(dāng)前 AI 在特定場景下賦能安全分析，還面臨著一些困境，如數(shù)據(jù)標(biāo)注、特征處理、結(jié)果評估，以及工程化難題，特別是針對零日、APT 高級攻擊、長周期潛伏的未知威脅時，AI 不一定能發(fā)揮很好的作用。這時，通常情況下會采取行為分析的手段，通過時序分析等方式發(fā)現(xiàn)異常。

網(wǎng)絡(luò)安全分析場景可分為“已知的已知”、“已知的未知”和“未知的未知”三個部分，為應(yīng)對不同程度的分析需求，我們建立了一套智能化縱深安全分析體系。

這套智能化縱深安全分析體系，主要包括智能檢測、自動化處置和智能研判三個部分。

從最左側(cè)典型的數(shù)據(jù)處理流程之后，進(jìn)入智能檢測，這是縱深分享的第一步，也是最核心的一步。這里，系統(tǒng)會通過關(guān)聯(lián)分析、AI 分析、行為分析、專項分析等分析引擎手段，利用深度學(xué)習(xí)、機(jī)器學(xué)習(xí)和圖分析等方法，建立深度學(xué)習(xí)模型，以串聯(lián)或組合的方式進(jìn)行智能檢測。

之后進(jìn)入自動化處置流程，這一步可以做到誤報去除和告警智能歸并，把單點告警以更高維度的指令聚合起來進(jìn)行智能化處置。

而對于規(guī)定后無法自動化處置的，就進(jìn)入下一步的智能研判，經(jīng)過研判可視化和全域數(shù)據(jù)分析發(fā)現(xiàn)重點數(shù)據(jù)的步驟后，系統(tǒng)會從重點數(shù)據(jù)出發(fā)，以人機(jī)交互的方式提供利于專家做智能研判的依據(jù)，如內(nèi)置各種數(shù)據(jù)處理算子、機(jī)器學(xué)習(xí)、特征處理、結(jié)果評估和模型部署算子等，研判后再連接 SOAR 進(jìn)行響應(yīng)。

總結(jié)起來，通過智能檢測、自動化處置和智能研判等方面的工作，我們建立了一套縱深的安全分析體系，有了這些能力之后，我們才有基礎(chǔ)去考慮人工智能賦能網(wǎng)絡(luò)安全究竟能帶來什么樣的價值。

圓桌論壇共話 SOC 未來

活動最后，幾位專家還以在圓桌論壇上，探討了 SOC 的最新演變和發(fā)展趨勢，共議新時代下 SOC 的壓力與機(jī)遇所在。

從左至右依次為：騰訊安全SOC產(chǎn)品總監(jiān)劉桂澤（主持人）、上海霧幟智能科技有限公司 CTO 傅奎、騰訊安全SOC產(chǎn)品負(fù)責(zé)人肖煜、天融信大數(shù)據(jù)分析產(chǎn)品線總監(jiān)鮑青波，以及綠盟科技集團(tuán)股份有限公司天樞實驗室高級安全研究員張潤滋

至此，這場匯聚安全領(lǐng)域?qū)＜业木驶顒訄A滿結(jié)束，讓在座的觀眾與線上的網(wǎng)友對于 SOC 技術(shù)與嚴(yán)謹(jǐn)有了更加清晰的認(rèn)知，滿載而歸。