?

簡介：

騰訊安全思享會(huì)完滿收官，SOC變革與演進(jìn)全盤點(diǎn)不容錯(cuò)過！

大數(shù)據(jù)和云計(jì)算的時(shí)代，數(shù)據(jù)和個(gè)人信息成了“云上的金子”，因?yàn)槠淇氨仁偷木薮髢r(jià)值，針對(duì)企業(yè)和個(gè)人的數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件時(shí)有發(fā)生。這個(gè)時(shí)候，新一代 SOC（Security Operation  Center）應(yīng)運(yùn)而生，在網(wǎng)絡(luò)與信息安全保護(hù)中充當(dāng)著越來越重要的角色。

在 2021 年 3 月 27 日舉辦的騰訊安全思享會(huì)上，來自上海霧幟智能科技有限公司 CTO 傅奎，綠盟科技集團(tuán)股份有限公司 天樞實(shí)驗(yàn)室 高級(jí)安全研究員 張潤滋，天融信大數(shù)據(jù)分析產(chǎn)品線 總監(jiān) 鮑青波，騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人 肖煜，騰訊安全SOC產(chǎn)品總監(jiān) 劉桂澤等騰訊及其合作伙伴安全領(lǐng)域?qū)＜?，以“云時(shí)代下SOC的變革與演進(jìn)”為主題，通過技術(shù)解讀與案例實(shí)踐分享和各自在 SOC 建設(shè)上的豐富經(jīng)驗(yàn)，探討了從被動(dòng)式防御到自適應(yīng)實(shí)時(shí)監(jiān)測(cè)與響應(yīng)、智能安全編排與自動(dòng)化，到新一代網(wǎng)絡(luò)安全運(yùn)營架構(gòu)等熱門話題，并在圓桌論壇上共探 SOC 的技術(shù)演進(jìn)與未來發(fā)展趨勢(shì)，吸引了眾多業(yè)內(nèi)外人的關(guān)注。

在思享會(huì)上，專家們都“傳授”了哪些安全運(yùn)營之道？本文將帶領(lǐng)大家一起回顧活動(dòng)中專家的精彩觀點(diǎn)分享，快來一睹為快！

Cloud SOC—云時(shí)代讓安全運(yùn)營工作煥發(fā)新生

在題為《Cloud SOC—云時(shí)代讓安全運(yùn)營工作煥發(fā)新生》的演講中，騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人 肖煜為大家?guī)砹嗽茣r(shí)代下 SOC 運(yùn)營存在的問題與解決秘訣：

騰訊安全 SOC 產(chǎn)品負(fù)責(zé)人肖煜

云時(shí)代安全運(yùn)營面臨的問題大家不陌生，還是會(huì)存在事多、人雜、不好管的狀況。

其中，“事多”體現(xiàn)在事件量大，云時(shí)代之后這個(gè)問題依然存在，大量安全事件堆積難以處置，讓安全運(yùn)營人員疲于奔命?！叭穗s”是因?yàn)樯婕暗揭恍┑谌綆ぬ?hào)，用戶行為對(duì)于安全運(yùn)營人員來說是一個(gè)新的挑戰(zhàn)，不久前 Solarwinds 事件爆發(fā)，原因可能就在于供應(yīng)鏈管理上存在大量不可追溯的帳號(hào)問題，供應(yīng)鏈管理、人員帳號(hào)管理沒有做到位。“不好管”，在指云時(shí)代的資產(chǎn)有著快速消亡與新建的特點(diǎn)，相對(duì)傳統(tǒng)環(huán)境來說更靈活，但更容易出現(xiàn)再衍資產(chǎn)，做好資產(chǎn)管理梳理也是云時(shí)代所面臨的問題。

由此，云時(shí)代出現(xiàn)了一些新需求，比如平臺(tái)模式下服務(wù)方、消費(fèi)方都會(huì)產(chǎn)生安全訴求，服務(wù)方要求自身安全管理和消費(fèi)者安全有保障，消費(fèi)方也希望自身安全管理做到位。

此外，云場景下平臺(tái)與租戶的責(zé)任劃分也是一個(gè)新的需求。騰訊為此提出一個(gè)新概念，叫做 Cloud SOC，它要解決的就是安全和管理上的問題。

租戶和多環(huán)境兩個(gè)模塊是要解決管理問題，而處理安全問題的思路則是進(jìn)行監(jiān)測(cè)和深挖，利用可視化和開放平臺(tái)等技術(shù)手段來解決問題。

總的來說，Cloud SOC 會(huì)把相關(guān)安全信息，包括云上日志、第三方數(shù)據(jù)匯集到體系中進(jìn)行運(yùn)營，安全體系包括防御、檢測(cè)、相應(yīng)、預(yù)測(cè)模式，同時(shí)兼顧平臺(tái)和租戶。

這個(gè)體系的安全思路，在防御方面，強(qiáng)化自身就是最好的防御策略，同時(shí)在檢測(cè)和相應(yīng)模塊打造一個(gè)有機(jī)閉環(huán)，以可靠的服務(wù)作為支撐整個(gè)體系運(yùn)轉(zhuǎn)的基礎(chǔ)保障。

其中，防御要解決“不好管”的問題，騰訊 Cloud SOC 可以做到通過端、API 對(duì)原生資產(chǎn)與第三方資產(chǎn)進(jìn)行打通，而在這一點(diǎn)上，騰訊擁有多年從端、流量中獲取資產(chǎn)數(shù)據(jù)的經(jīng)驗(yàn)。

在云這方面，Cloud SOC 的 CSPM（云安全態(tài)勢(shì)管理）是指云安全風(fēng)險(xiǎn)配置化的管理檢查，利用此機(jī)制對(duì)云上資產(chǎn)進(jìn)行自動(dòng)化檢查，不符合要求的配置會(huì)被平臺(tái)識(shí)別為風(fēng)險(xiǎn)資產(chǎn)，并提醒安全運(yùn)營人員。

針對(duì)“人員雜”的問題，Cloud SOC 會(huì)在檢測(cè)和相應(yīng)兩個(gè)環(huán)節(jié)，通過騰訊自己提出的 XDR 小閉環(huán)，SIEM，以及智能 UEBA 模式，針對(duì)可靠流量和端點(diǎn)，獲得精準(zhǔn)的情報(bào)信息，進(jìn)而歸納總結(jié)，抓取真實(shí)的威脅信息，提高安全運(yùn)營覆蓋，以此進(jìn)行有質(zhì)量的告警及響應(yīng)。

從管理思路上來說，Cloud SOC 模式的驅(qū)動(dòng)整體上還是平臺(tái)＋人，依賴于監(jiān)控、分析響應(yīng)和總結(jié)報(bào)告等服務(wù)，加上運(yùn)營專家／攻防專家，讓平臺(tái)高效運(yùn)轉(zhuǎn)起來。

另一方面，在平臺(tái)方和租戶的責(zé)任劃分上，Cloud SOC 天然地從兼顧雙方的視角來看問題，在平臺(tái)側(cè)和租戶側(cè)打上一些鮮明的標(biāo)簽對(duì)數(shù)據(jù)進(jìn)行區(qū)分，利用經(jīng)典和成熟的 RBAC 進(jìn)行功能相關(guān)的控制 。此外，這個(gè)數(shù)據(jù)標(biāo)簽還可以拓展到所有平臺(tái)模式上，將相關(guān)數(shù)據(jù)責(zé)任人歸屬于平臺(tái)方或租戶，并利用云平臺(tái)的優(yōu)勢(shì)，對(duì)相關(guān)數(shù)據(jù)功能進(jìn)行統(tǒng)一納管和運(yùn)營。

如今，騰訊 Cloud SOC 已經(jīng)在實(shí)踐中經(jīng)過檢驗(yàn)，比如在某企事業(yè)單位，Cloud SOC 利用強(qiáng)檢測(cè)響應(yīng)閉環(huán)構(gòu)建“演練”最佳防護(hù)，在某大型金融組織機(jī)構(gòu)中，Cloud SOC 可在專有云或 IDC 部署，實(shí)現(xiàn)多環(huán)境數(shù)據(jù)統(tǒng)一納管，并適配上下級(jí)聯(lián)，實(shí)現(xiàn)全局可管、可控安全運(yùn)營。

安全運(yùn)營 SOAR Easy！

接下來，上海霧幟智能科技有限公司 CTO 傅奎帶來了《安全運(yùn)營 SOAR Easy》的主題分享：

我之前也做過一線的安全運(yùn)營人員，切身體會(huì)到一些痛苦的現(xiàn)狀，比如每天接到四千萬條事件運(yùn)營，但真正能有效處理的事件不到 10 個(gè)。安全運(yùn)營過程中的人工交互太多，費(fèi)時(shí)費(fèi)力。雖然過去二十多年，安全運(yùn)營在安全理論、技術(shù)、產(chǎn)品、客戶運(yùn)營水平上有所提高，檢測(cè)時(shí)間越來越短，但是安全運(yùn)營人員同時(shí)還面臨著自動(dòng)化、智能化、網(wǎng)絡(luò)武器作戰(zhàn)平臺(tái)的“對(duì)手”，而絕大多數(shù)用戶只能徒手應(yīng)急響應(yīng)——溝通靠吼，響應(yīng)靠手。為改變現(xiàn)狀，我們用  SOAR 幫助我們快速開展安全運(yùn)營。

目前，國內(nèi)外已經(jīng)有不少廠商在跟進(jìn) SOAR 相關(guān)技術(shù)，并做到了分鐘級(jí)和秒級(jí)響應(yīng)。大家的基本思路都是通過圖形化的劇本編排界面，使用低代碼或無代碼實(shí)現(xiàn)安全事件響應(yīng)過程的編排，支持?jǐn)?shù)據(jù)交互和任務(wù)調(diào)度。

SOAR 可以是獨(dú)立平臺(tái)，也可以是內(nèi)置模塊。在實(shí)際落地中，SOAR 的應(yīng)急響應(yīng)快準(zhǔn)穩(wěn)，其出色的表現(xiàn)已經(jīng)得到業(yè)界的認(rèn)可。今天我們可以依靠系統(tǒng)，實(shí)現(xiàn) 通用安全事件響應(yīng)場景80％ 以上步驟的落地。以一個(gè)典型的威脅IP處置過程為例，經(jīng)過與人工操作的對(duì)比會(huì)發(fā)現(xiàn)，SOAR 自動(dòng)化處置可以實(shí)現(xiàn)分鐘級(jí)和秒級(jí)，僅時(shí)間效率就提升了 84 倍，這還不包括人員成本的加工地。實(shí)際上，SOAR 在實(shí)際應(yīng)用中可以在不同場景里產(chǎn)生不同的效果，不僅在應(yīng)急響應(yīng)中，在事件分析、診斷、協(xié)同、寫報(bào)告等才做中，也可以快速完成，避免了人工的浪費(fèi)。而且，這種“套路”一旦沉淀就可以重復(fù)使用。

目前，霧幟在 HoneyGuide 中通過虛擬作戰(zhàn)式和 AI 機(jī)器人解決事件響應(yīng)過程中協(xié)同問題，用編排和自動(dòng)化幫助客戶實(shí)現(xiàn)加速安全運(yùn)營。此外，除了自動(dòng)化響應(yīng)，霧幟還希望能夠用自然語言與機(jī)器人進(jìn)行交互，提高安全運(yùn)營效率。基于安排編排自動(dòng)化響應(yīng)以及 AI 人機(jī)協(xié)同的安全運(yùn)營，霧幟SOAR可實(shí)現(xiàn)分鐘級(jí)或秒級(jí)的應(yīng)急響應(yīng)，大幅節(jié)約了人工操作時(shí)間。

SOAR 是數(shù)字化經(jīng)驗(yàn)幫助安全團(tuán)隊(duì)實(shí)現(xiàn)運(yùn)營傳承和技能積累的有效手段，通過充分發(fā)揮人類工程師的智慧和機(jī)器的智能與速度，最終讓“安全防護(hù)超越攻擊的速度規(guī)模”成為可能。

最后，不得不提的是，自動(dòng)化永遠(yuǎn)都是手段，持續(xù)運(yùn)營才是靈活。運(yùn)營團(tuán)隊(duì)要有思想，主動(dòng)采取戰(zhàn)略，主動(dòng)思考，借助自動(dòng)化手段實(shí)現(xiàn)目標(biāo)，不能完全依賴工具，這才是最重要的。

智能安全運(yùn)營技術(shù)發(fā)展思考與實(shí)踐

綠盟科技集團(tuán)股份有限公司 天樞實(shí)驗(yàn)室的張潤滋還分享了主題為《智能安全運(yùn)營技術(shù)發(fā)展思考與實(shí)踐》的主題演講：

安全運(yùn)營團(tuán)隊(duì)的痛苦都是相似的，雖然解決思路和方法略有不同，但大的趨勢(shì)都是依靠自動(dòng)化來對(duì)抗信息爆炸帶來的困難。

安全專家數(shù)量有限，告警疲勞和痛苦的作戰(zhàn)方式，倒逼安全運(yùn)營技術(shù)迭代式地發(fā)展，從傳統(tǒng)的單點(diǎn)攻防到邊界防御，再到安全運(yùn)營中心，安全運(yùn)營的下一步是智能化運(yùn)營。

Gartner 為安全運(yùn)營打上了一些關(guān)鍵的技術(shù)標(biāo)簽，比如 SIEM、UEBA 等，最近 SOAR、XDR 等也是比較熱門的話題，但似乎這些都缺乏內(nèi)在安全機(jī)制，隱私防護(hù)需求也造成系統(tǒng)黑盒。目前，安全運(yùn)營的還面臨著一些關(guān)鍵挑戰(zhàn)，如運(yùn)營需要細(xì)節(jié)與態(tài)勢(shì)并重，數(shù)據(jù)膨脹找到安全威脅猶如大海撈針，召回模型高誤報(bào)，技術(shù)／平臺(tái)低交互或無交互，以及缺乏魯邦安全性等。

為應(yīng)對(duì)這些問題，我們提出了 AISecOps，就是廣泛地把人、機(jī)器和流程資源結(jié)合起來做運(yùn)營。

實(shí)際上，國外和國內(nèi)已經(jīng)形成了智能運(yùn)維的研究生態(tài)，我們要做的就是把自動(dòng)化、智能化帶到運(yùn)營中。

從概念上來說，AISecOps 包含四大要素，即“智能驅(qū)動(dòng)安全運(yùn)營，以安全運(yùn)營目標(biāo)為導(dǎo)向，以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎(chǔ)，面向預(yù)防、檢測(cè)、響應(yīng)、預(yù)測(cè)、恢復(fù)等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制、攻防對(duì)抗的關(guān)鍵環(huán)節(jié)，構(gòu)建具有高自動(dòng)化水平的可信任安全智能，以輔助甚至代替人提供各類安全運(yùn)營服務(wù)的能力，”我們的最終目標(biāo)，是用技術(shù)支持運(yùn)營，且技術(shù)自身可運(yùn)營。

為了讓技術(shù)本身可運(yùn)營，我們需要做一個(gè)模型來指導(dǎo)方向，思考自己在做的事情覆蓋到了運(yùn)營的哪些階段。從上圖可以看到，我們離自動(dòng)化運(yùn)營還很遠(yuǎn)，處于 L2－L3 階段，只是在有限場景下，運(yùn)用數(shù)據(jù)分析手段，把情報(bào)打通。

為了支撐完整的自動(dòng)化運(yùn)營，我們需要把從感知識(shí)別到認(rèn)知產(chǎn)生，再到產(chǎn)生策略的全流程串聯(lián)起來，打通人機(jī)協(xié)同循環(huán)。這是我們的工作模型和思考，目標(biāo)是希望人機(jī)協(xié)同能夠在未來 5－10 年間在很多場景下是此案完全自動(dòng)化運(yùn)營。

目前，我們?cè)谧龅囊恍┕ぷ靼ǔ诤现R(shí)圖譜，在底層建立可以支撐全數(shù)據(jù)、多場景的 DSL 語言設(shè)計(jì)，建立融合的數(shù)據(jù)分析機(jī)制。

在此基礎(chǔ)上，打造可以針對(duì)不同場景下所需的不同檢測(cè)單元、召回單元、風(fēng)險(xiǎn)評(píng)估單元、反饋解釋單元的可編排推薦引擎，讓引擎學(xué)習(xí)專家或運(yùn)營的不同偏好。

此外，我們還初步基于開源的文本類型解釋模型創(chuàng)建了可解釋引擎，可以實(shí)現(xiàn)自動(dòng)化提取關(guān)鍵詞，目前僅支持文本，但后續(xù)將支持圖。

為了做到以數(shù)據(jù)驅(qū)動(dòng)的方式支持人機(jī)協(xié)同，我們利用規(guī)則提取引擎，通過可解釋模型將學(xué)習(xí)成果告訴專家，并在推薦引擎中提取的知識(shí)中找出規(guī)律，形成規(guī)則和策略，然后通過搜索引擎，用統(tǒng)一的語言抽象進(jìn)行知識(shí)固化。

總結(jié)起來，安全專家的經(jīng)驗(yàn)難以復(fù)制，人的精力有限，但是機(jī)器可以做到。第一，數(shù)據(jù)驅(qū)動(dòng)的方式只是緩兵之計(jì)，面臨關(guān)鍵決策，要分具體情況，但以數(shù)據(jù)支撐決策和策略是我們技術(shù)路線的根本出發(fā)點(diǎn)；可編排能力要支撐不同業(yè)務(wù)場景，在每個(gè)運(yùn)營環(huán)節(jié)做響應(yīng)；“授人以魚不如授人以漁”，要能解釋清楚為什么用數(shù)據(jù)驅(qū)動(dòng)能解決一切問題；最后一點(diǎn)是要打造可信任的安全智能“戰(zhàn)友”，保證 AI 的安全性。

安全運(yùn)營無法一步到位，我們希望將安全運(yùn)營中的知識(shí)固化下來，形成打造機(jī)器的戰(zhàn)甲，不能要求每個(gè)人都是超人，我們要做的就是要打造機(jī)器型的戰(zhàn)甲。

構(gòu)建智能化縱深安全分析體系

天融信大數(shù)據(jù)分析產(chǎn)品線 總監(jiān) 鮑青波分享了主題為《構(gòu)建智能化縱深安全分析體系》的精彩演講：

天融信大數(shù)據(jù)分析產(chǎn)品線總監(jiān)鮑青波

我的分享主要聚焦于安全分析，兩個(gè)關(guān)鍵詞分別是“智能化”和“縱深”。

首先介紹一下我國網(wǎng)絡(luò)安全現(xiàn)狀。據(jù) CNCERT 統(tǒng)計(jì)，2019 年，面向我國工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)嗅探事件約有 14，900 萬起，較 2018 年的約 4，451 萬起有顯著增長。經(jīng)分析，嗅探行為源自于美國、瑞士、法國等境外 130 個(gè)國家和地區(qū)，目標(biāo)涉及我國能源、制造、電信等重點(diǎn)行業(yè)的聯(lián)網(wǎng)工業(yè)控制設(shè)備和系統(tǒng)。大量關(guān)鍵信息基礎(chǔ)設(shè)施和聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)信息被境外嗅探，給我國網(wǎng)絡(luò)空間安全帶來隱患。對(duì)此國家非常重視，從十三五規(guī)劃到《網(wǎng)絡(luò)安全法》、《等級(jí)保護(hù) 2．0》到“十四五規(guī)劃”，國家要求建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測(cè)預(yù)警、應(yīng)急指揮、攻擊溯源能力，特別是要加快人工智能的安全技術(shù)創(chuàng)新。

人工智能賦能安全分析，是此次演講的核心。不得不說，當(dāng)前 AI 在特定場景下賦能安全分析，還面臨著一些困境，如數(shù)據(jù)標(biāo)注、特征處理、結(jié)果評(píng)估，以及工程化難題，特別是針對(duì)零日、APT 高級(jí)攻擊、長周期潛伏的未知威脅時(shí)，AI 不一定能發(fā)揮很好的作用。這時(shí)，通常情況下會(huì)采取行為分析的手段，通過時(shí)序分析等方式發(fā)現(xiàn)異常。

網(wǎng)絡(luò)安全分析場景可分為“已知的已知”、“已知的未知”和“未知的未知”三個(gè)部分，為應(yīng)對(duì)不同程度的分析需求，我們建立了一套智能化縱深安全分析體系。

這套智能化縱深安全分析體系，主要包括智能檢測(cè)、自動(dòng)化處置和智能研判三個(gè)部分。

從最左側(cè)典型的數(shù)據(jù)處理流程之后，進(jìn)入智能檢測(cè)，這是縱深分享的第一步，也是最核心的一步。這里，系統(tǒng)會(huì)通過關(guān)聯(lián)分析、AI 分析、行為分析、專項(xiàng)分析等分析引擎手段，利用深度學(xué)習(xí)、機(jī)器學(xué)習(xí)和圖分析等方法，建立深度學(xué)習(xí)模型，以串聯(lián)或組合的方式進(jìn)行智能檢測(cè)。

之后進(jìn)入自動(dòng)化處置流程，這一步可以做到誤報(bào)去除和告警智能歸并，把單點(diǎn)告警以更高維度的指令聚合起來進(jìn)行智能化處置。

而對(duì)于規(guī)定后無法自動(dòng)化處置的，就進(jìn)入下一步的智能研判，經(jīng)過研判可視化和全域數(shù)據(jù)分析發(fā)現(xiàn)重點(diǎn)數(shù)據(jù)的步驟后，系統(tǒng)會(huì)從重點(diǎn)數(shù)據(jù)出發(fā)，以人機(jī)交互的方式提供利于專家做智能研判的依據(jù)，如內(nèi)置各種數(shù)據(jù)處理算子、機(jī)器學(xué)習(xí)、特征處理、結(jié)果評(píng)估和模型部署算子等，研判后再連接 SOAR 進(jìn)行響應(yīng)。

總結(jié)起來，通過智能檢測(cè)、自動(dòng)化處置和智能研判等方面的工作，我們建立了一套縱深的安全分析體系，有了這些能力之后，我們才有基礎(chǔ)去考慮人工智能賦能網(wǎng)絡(luò)安全究竟能帶來什么樣的價(jià)值。

圓桌論壇共話 SOC 未來

活動(dòng)最后，幾位專家還以在圓桌論壇上，探討了 SOC 的最新演變和發(fā)展趨勢(shì)，共議新時(shí)代下 SOC 的壓力與機(jī)遇所在。

從左至右依次為：騰訊安全SOC產(chǎn)品總監(jiān)劉桂澤（主持人）、上海霧幟智能科技有限公司 CTO 傅奎、騰訊安全SOC產(chǎn)品負(fù)責(zé)人肖煜、天融信大數(shù)據(jù)分析產(chǎn)品線總監(jiān)鮑青波，以及綠盟科技集團(tuán)股份有限公司天樞實(shí)驗(yàn)室高級(jí)安全研究員張潤滋

至此，這場匯聚安全領(lǐng)域?qū)＜业木驶顒?dòng)圓滿結(jié)束，讓在座的觀眾與線上的網(wǎng)友對(duì)于 SOC 技術(shù)與嚴(yán)謹(jǐn)有了更加清晰的認(rèn)知，滿載而歸。