ISC 2020應急響應與安全運營論壇：甲方視角的網路安全實戰頭腦風暴

資訊化的高速發展，雲端計算、大資料等新技術的普及，在當今複雜的安全形勢下，甲方安全建設愈發關注實戰和響應能力。透過開展常態實戰化的安全運營，能夠提升企業整體威脅發現和應急響應的能力，在發生安全事件時，改進檢測和響應時間，以最短時間保障業務系統的正常執行。

隨著監管合規要求的提高和攻防演習活動的深入開展，很多企業都逐步看到自身在防禦體系建設與運營落地的脫節，都在往實戰化方向建設安全運營體系。甲方企業安全建設的目標就是要實現業務的整體安全，建立貼合自身業務需求的防禦保障體系，高效地落地安全運營並對安全事件快速響應，為業務達成目標安全賦能。

8月19日——21日，第八屆網際網路安全會（ISC 2020）的人才日主題活動中，由360SRC承辦的應急響應與安全運營論壇邀請了京東監控響應運營負責人、高階安全專家夏浩淋，小米安全運營中心負責人高鶴，360集團資訊保安中心負責人張睿，平安銀行科技運營中心總經理助理、深圳市金融科技協會成員及金融科技協會資訊保安分會副主任委員宋歌，國家網際網路應急中心（CNCERT/CC）執行部高階工程師呂志泉，上海霧幟智慧科技有限公司 CTO傅奎六位嘉賓帶來主題演講，探討不同安全威脅場景下的實踐經驗，分享實戰中的落地思路和方法，幫助甲方更好地實現安全落地和執行。

1 知己知彼 打贏資訊時代的“持久戰”

京東監控響應運營負責人、高階安全專家夏浩淋帶來《威脅視角下監控響應運營建設》的主題演講。夏浩淋建議每一家網際網路公司都應該對公司內部不同業務場景的“受災程度”進行梳理，找出重災區和攻擊路徑。

他從威脅戰場——威脅響應之對手、兵器打造——矛與盾的建設、持久戰——持續改進/運營輸出三個方面分享了甲方在安全監控和應急響應方向中，所應對不同維度的“攻擊”事件面上，京東安全的問題解決、技術落地經驗。他認為，首先要確定哪些問題要解決，並排好優先順序，以及現實可行性。

在攻擊路徑拆解中要知己知彼、打好根基，儘快分析止損，提高運營效率，減少人的運營成本。在京東的實踐中，夏浩淋指出，資料、能力和指標是安全運營的根基，內部運營與研發的協同很重要，“武器打造”才能更加有力。他以主機程式為例介紹了實操過程中的問題與經驗，並介紹了SOAR六大階段中遇到的問題及處理辦法。

2 聚沙成塔 從零到一搭建防禦“司令部”

企業在網路、系統、業務等各個方面都做了安全防護，為何安全問題依然層出不窮。安全體系建設後怎樣評價體系的好壞？企業安全建設後續如何發展？小米安全運營中心負責人高鶴在《小米安全運營落地與實踐》的主題演講中從安全運營的定義及思考、安全運營目標及方法、小米安全運營落地實踐幾方面入手，重點分享了小米從零到一的“體系化”“平臺化”“資料化”的安全運營工作落地和實踐經驗以及遇到的挑戰、對運營工作的重新思考。

3 抽絲剝繭 360安全大腦命中威脅“七寸”

隨著近年來攻防演習活動的深入開展，各大企業都在往實戰化方向建設威脅運營體系，落地安全運營工作成為甲方安全關注的重中之重。360集團資訊保安中心負責人張睿在演講《基於360安全大腦的威脅運營落地與實踐》中介紹了360集團在多年攻防實戰中威脅運營的思路和實踐，面對高度複雜業務場景的運營戰場，需要找準高投入產出進行安全建設，一手抓自主可控，一手抓工程能力建設。

為了高效落地全面的威脅運營，首先最重要的是做好安全基本功，透過基礎的日常安全運營工作形成縱深防禦體系，提升攻擊者成本，減小響應的時間視窗；其次要真正的擁抱資料驅動安全，以威脅為中心聚焦資料採集，積極的檢測與響應，不再追求告警的絕對精準和單點的完備性，用大資料分析的科學方法將海量告警收斂到相對精準可運營的威脅事件。

具體實踐中，結合360雲端安全大腦的威脅情報和威脅分析鑑定能力，高效組織安全運營專家團隊，打造了安全資料融入SDP零信任基礎架構、全流量NTA、終端和主機EPP和EDR、大資料威脅分析等多平臺的資料融合，在海量安全資料中運營威脅，落地以結果為導向可衡量的安全運營。

4 砥礪前行 基於目標和價值的安全運營“閉環”

“建立‘以人為本，以資料為核心，以技術為支撐’的全面安全運營能力。”平安銀行科技運營中心總經理助理、深圳市金融科技協會成員及金融科技協會資訊保安分會副主任委員宋歌在題為《平安銀行安全運營之路》的演講中指出，平安銀行的安全運營起步屬於安全事件驅動型，到目前為止安全運營體系構建分為三個階段，事件驅動、資料驅動、價值驅動。對於技術制度、規範、體系在執行中的執行情況如何存在想不到、抓不著、做不了的諸多問題，因而決定提高在事中發現問題的處置能力，從駭客攻擊模型入手做事件發現的運營體系。

在實踐中發現資產管理、漏洞等問題之後，對人、資料、工具、流程在安全運營中的重要性有了進一步認識，開始構建安全大資料技術體系。在大資料平臺實際建設與運維中，開始思考安全運營對銀行的價值，構建價值驅動的安全運營體系。最終要探索出“統一入口、場景化工具、差異化管理”的安全運營體系，旨在構造安全運營的閉環，讓安全真正運營起來，提升安全風險控制的實效。

5 觸類旁通 APT攻擊及處理的“流程圖”

近年來，各種網路攻擊武器不斷曝光，各種網路攻擊事件也層出不窮。國家網際網路應急中心執行部高階工程師呂志泉在演講《網路安全事件監測與應急處置》中立足國家監管側指出，傳統監測手段主要都是基於規則，大部分只能發現已知威脅攻擊。面對未知威脅攻擊，特別是APT攻擊，傳統手段顯然無法應對。

呂志泉從惡意流量識別技術出發，探討隱藏在流量中的未知威脅監測方法，並結合工作實踐，從當前重大挑戰、APT攻擊監測、取證溯源分析三方面分享了這類事件的應急處置流程。

6 分秒必爭 安全運營中心走向“零值守”

“與攻擊者賽跑搶的是時間，但徒手響應的劇情幾乎每天都在上演。”上海霧幟智慧科技有限公司 CTO傅奎帶來了《告別徒手應急響應——SOAR實戰技術分享》。傅奎介紹了當前徒手應急響應的現狀、SOAR技術的核心、SOAR實戰場景應用以及未來SOAR技術的發展。傅奎以實際接觸過的十幾個小時徒手處置應急事件的案例入手，指出SOAR（安全、編排、自動化、響應）是當前國內外比較成熟的理念，並被Gartner預測為2020年9大安全趨勢之一。

SOAR產品最核心的技術就是劇本編排和任務排程引擎，在事件響應時能把原來人工應急響應中需要單點執行的動作透過劇本編排的方式串聯起來，最終實現自動化響應。以釣魚郵件為例，判斷所有收到郵件的人是否有下一步操作行為，判斷員工安全意識、郵件危險連結處置等需要熟練的安全人員3到5天時間完成，SOAR則可能在幾小時內完成。但目前SOAR也存在劇本內容不夠、API匱乏等缺陷，而透過SOAR+AI的方式可以在未來實現更流暢的安全應急響應。

8月8日，ISC大會主席 360集團董事長兼CEO周鴻禕正式宣佈將360企業安全集團建設成新時代的網路安全運營商，周鴻禕指出，安全的關鍵要素是安全專家和持續運營。

ISC 2020安全運營及應急響應論壇透過不同行業視角的碰撞和交流，讓線上觀眾享受到一場精彩絕倫的應急響應和安全運營技術與實踐的創新思想盛會，助推行業更好的落地應急響應和安全運營，這正是360企業安全集團邁向網路安全運營商的良好契機。