“常態實戰化的安全運營，能夠提升企業整體威脅發現和應急響應的能力，在發生安全事件時，改進檢測和響應時間，以最短時間保障業務系統的正常執行。”8月19日——21日，第八屆網際網路安全會（ISC 2020）的應急響應與安全運營論壇中，360集團資訊保安中心負責人張睿帶來《基於360安全大腦的威脅運營落地與實踐》的分享，從360威脅運營的思路與方法、基於360安全大腦的威脅運營建設、基於360安全大腦的威脅運營工程實踐三個方面論述了360的安全運營。

一、360威脅運營的思路與方法

1. 威脅運營的現狀：

360內部安全團隊每天面對著非常複雜的運營戰場，為滿足網際網路業務敏捷和彈性需求，將基礎網路發展成為龐大異構的網際網路業務混合雲架構，全球設有200多個資料中心，十幾萬的雲伺服器，包括自建骨幹網路、邊緣網路，私有云和公有云，內部有容器等各類雲原生服務等。透過移動客戶端“360家”實現BYOD遠端辦公，整合了雲盤、OA、IM等辦公應用，後端聯動API閘道器實現基於員工身份對業務系統訪問的鑑權。

在高度複雜的基礎架構環境下，每天威脅運營團隊會面對各種安全問題。總之，在出現問題覆盤時，運營的同學總會說自己本可以做到“更”好。

2. 指導安全運營的核心思想：

安全運營團隊真實想做的和現實做到的往往有非常大的差距，希望建造一個堅強穩固的堡壘，實際上經常會發現牆上破了一個又一個窟窿，運營人員總是在補窟窿的路上。

在逐步展開安全建設後，360安全運營團隊意識到攻防本質上是成本的對抗，也是人與人的對抗，攻防之間需要形成一種相對動態的平衡，安全防禦就要在受保護的目標資產價值、安全建設投入和價效比之間的做好平衡關係。

360內部指導安全運營的三條核心思想：（1）找準ROI持續投入進行安全建設；（2）自主可控，攻防實踐加工具開發；（3）工程能力是落地安全防禦體系能力的核心。

3. 轉變思路-走向真正的資料驅動安全：

透過落地基礎的日常安全運營工作，可以形成縱深防禦體系，提升攻擊者成本，減小響應的時間視窗；但僅僅做好這些基礎功課肯定還是不夠的，會遺漏很多潛在的威脅。入侵是不可避免的，只要檢測和響應足夠快，業務不會被破壞。所以要轉變思路，朝著真正的資料驅動安全的方向。

資料驅動安全的理念代表著是一種檢測思路的轉變，由傳統的以漏洞為中心，聚焦檢測逐漸轉向以威脅為中心，聚焦在資料收集上。傳統的檢測是依賴精準的特徵，不太區分具體的威脅型別和場景去被動監測這些告警，而基於資料的方法主要會依賴各種來源的資料，逐步覆蓋各類威脅場景的攻擊手法，依賴內外部的威脅情報，主動做威脅狩獵。

總結來看，就是首先要去積極的檢測和響應，結合特徵檢測和行為檢測，運營人員需要主動威脅狩獵和響應，在檢測上不再追求單點的完備性和告警的精準性，實現基於全盤資料的統籌關聯，有點及面的實現對威脅的探索和發現。

1） 有目標的資料收集

為了實現基於資料驅動的威脅分析，首先需要做到有目標的資料採集與監測。首先資料的儲存成本和傳輸成本是非常高的，資料也永遠都沒有收集完整的那一天，所以切忌盲目地去收集相關資料。

從經驗上來看，首先資料收集要儘可能去靠近一些收斂的集中點，這樣可以降低資料收集或者標準化的成本。除此之外，資料本身的收集是一個長期的持續動態的過程。最重要一點就是資料一定要打好基本功，如果沒有好的資料質量和資料維度，實際上很多分析工作是沒有辦法開展的。

2)  基於大資料科學分析方法的威脅判定

電影裡的“照片牆”可以非常形象的表達在威脅運營的中面對的問題，首先是威脅運營的分析人員，在海量資料裡往往看到的並不是威脅的全貌，能看到是單一的攻擊線索，非常碎片化的資訊，如何把這些海量的資料中碎片化的資訊，透過線索關聯起來，去定位攻擊者或者受害者，然後找到攻擊的手法和工具，這就是整體做威脅運營分析的最重要的思路。具體落地到威脅運營的資料上來看，一般來講從海量的原始資料到最終的安全事件，是一個逐漸收斂的過程，總結來說就是做到向上智慧歸併，向下多級的鑽取。

3)  建立威脅模型關聯聚合分析

在實踐中，發揮威脅運營價值很重要的資料包括網路側NDR和終端側EDR的資料，網路側的資料會集中在攻擊的初始階段或者命令控制階段，有比較高的實時性，能夠比較好的實現溯源追蹤，但是很難實現實錘，需要終端去做一些實證排查。另外一塊是終端側的資料，會集中在攻擊的中後階段，例如樣本或者命令執行的前後階段，往往是比較碎片化的，需要進行大量的回溯才能還原整個攻擊事件。基於ATT&CK矩陣工具的對NDR和EDR覆蓋矩陣點的分析結果可以看出，兩側資料的覆蓋面是互補的，都無法完全覆蓋所有攻擊戰術和手法，結合起來才能夠看的更全面。

二、基於360安全大腦的威脅運營建設

1．落地可量化的安全運營評價體系

對甲方團隊而言，安全運營最重要的就是關注它如何去落地。但為了去實現落地，在運營的過程中有非常多的點需要去落實，比如安全運營的結果如何去度量；日常運營的資料如何進行閉環；如何進行報表統計、向上管理可見；如何去消減誤報，提升運營的效率；如何去區分違規還是真實有效的外部威脅；安全事件來了，如何做相關的應急預案；如何傳承專業的運營經驗，降低整個運營團隊的知識成本等等。所有的問題都是在安全運營流程中需要去關注的，運營的核心關注點包括：一是威脅檢測的覆蓋面和檢測能力，二是平均的檢測和響應時間，三是運營的效率，是高度以結果為導向的。

總結來講就是整個運營其實際上是以一個高度以結果為導向的結合人、技術、流程的活動，需要為安全目標負責，需要給業務創造安全的價值。

2．效能協同的運營組織建設

360內部安全運營的組織，並沒有成立實體SOC組織，是建立在各團隊跟運營相關的人員基礎上形成的虛擬化的運營團體。

在團隊建設上秉承的是專家團隊的協同運營的模式，會分各個安全領域建立相關的安全小組和團隊，儘可能的讓專家的安全能力聚焦並固化在組織和平臺裡，整個運營團隊的文化是一種敏捷的文化，透過Devops方式快速迭代運營平臺、運營規則與運營流程。

從安全能力上來說，覆蓋了業務安全和基礎安全主要領域以及主流的安全能力技術棧，更上一層就是一些效能協同小組，例如安全運營SOC組，安全事件響應小組，紅藍對抗行動小組，最上層的是從業務賦能的相關小組。

3．360安全大腦賦能聯動運營

威脅資料分析平臺的建設核心關注點就是要方便運營的落地，包括做威脅檢測規則的開發和除錯以及告警資料的回溯；其次這個平臺要具備通用性，可以去適配不同的威脅場景。360實現了統一的SQL分析入口，所有的資料都可基於SQL去做資料查詢；針對海量原始資料流式關聯分析，透過Flink來實現對原始資料進行標記、清洗，並對關聯分析產生告警豐富化，把告警資料打入告警展示平臺；離線資料的關聯分析實現了一套基於ES的類SQL語法形式化的規則引擎，運營分析人員只提取相關的關聯分析特徵，寫好基於SQL關聯規則，就可以把一些威脅事件，基於原始的告警資料關聯篩選出來，形成威脅事件告警，並完成相關資料的豐富化。

4．高效整合NDR和EDR資料關聯

在網路側方面，透過全流量DPI的方式去覆蓋了所有骨幹IDC的南北向的出口，所有辦公網包括南北向和東西向所有的流量以及郵件入口流量都做DPI的深度解析還原。主要還是以規則引擎為主，然後結合機器學習模型以及威脅情報去做相關的落地。網路側給出的告警資訊需要足夠豐富，包括資產資料、情報資料還有一些雲端大腦的鑑定的資料等等，這樣透過關聯分析才有更多的維度去做一些資料的篩選，篩選出一些更高危的告警。

在終端側方面，檢測的思路一塊是在主機側，一塊是在終端裡面去部署相關的代理，形成整體的檢測思路或會把一些比較精準的輕量級的檢測放在本地，例如像檔案上傳的檢測，暴力破解的封禁等。一些更隱蔽的威脅或者一些更高階的威脅，會透過 EDR的模式把資料收集到雲端，做相關威脅資料的分析。

5．走向未來的創新型SOC建設

360安全運營團隊將延續360自主可控的安全能力建設的傳統進行技術創新，探索威脅運營新的思路和方法，希望未來能真正做到風險預測和態勢感知，也希望能給集團業務創造更多價值。