?

簡介：

騰訊安全思享會完滿收官，SOC變革與演進全盤點不容錯過！

大數據和云計算的時代，數據和個人信息成了“云上的金子”，因為其堪比石油的巨大價值，針對企業和個人的數據泄露、網絡攻擊等安全事件時有發生。這個時候，新一代 SOC（Security Operation  Center）應運而生，在網絡與信息安全保護中充當著越來越重要的角色。

在 2021 年 3 月 27 日舉辦的騰訊安全思享會上，來自上海霧幟智能科技有限公司 CTO 傅奎，綠盟科技集團股份有限公司 天樞實驗室 高級安全研究員 張潤滋，天融信大數據分析產品線 總監 鮑青波，騰訊安全 SOC 產品負責人 肖煜，騰訊安全SOC產品總監 劉桂澤等騰訊及其合作伙伴安全領域專家，以“云時代下SOC的變革與演進”為主題，通過技術解讀與案例實踐分享和各自在 SOC 建設上的豐富經驗，探討了從被動式防御到自適應實時監測與響應、智能安全編排與自動化，到新一代網絡安全運營架構等熱門話題，并在圓桌論壇上共探 SOC 的技術演進與未來發展趨勢，吸引了眾多業內外人的關注。

在思享會上，專家們都“傳授”了哪些安全運營之道？本文將帶領大家一起回顧活動中專家的精彩觀點分享，快來一睹為快！

Cloud SOC—云時代讓安全運營工作煥發新生

在題為《Cloud SOC—云時代讓安全運營工作煥發新生》的演講中，騰訊安全 SOC 產品負責人 肖煜為大家帶來了云時代下 SOC 運營存在的問題與解決秘訣：

騰訊安全 SOC 產品負責人肖煜

云時代安全運營面臨的問題大家不陌生，還是會存在事多、人雜、不好管的狀況。

其中，“事多”體現在事件量大，云時代之后這個問題依然存在，大量安全事件堆積難以處置，讓安全運營人員疲于奔命。“人雜”是因為涉及到一些第三方帳號，用戶行為對于安全運營人員來說是一個新的挑戰，不久前 Solarwinds 事件爆發，原因可能就在于供應鏈管理上存在大量不可追溯的帳號問題，供應鏈管理、人員帳號管理沒有做到位。“不好管”，在指云時代的資產有著快速消亡與新建的特點，相對傳統環境來說更靈活，但更容易出現再衍資產，做好資產管理梳理也是云時代所面臨的問題。

由此，云時代出現了一些新需求，比如平臺模式下服務方、消費方都會產生安全訴求，服務方要求自身安全管理和消費者安全有保障，消費方也希望自身安全管理做到位。

此外，云場景下平臺與租戶的責任劃分也是一個新的需求。騰訊為此提出一個新概念，叫做 Cloud SOC，它要解決的就是安全和管理上的問題。

租戶和多環境兩個模塊是要解決管理問題，而處理安全問題的思路則是進行監測和深挖，利用可視化和開放平臺等技術手段來解決問題。

總的來說，Cloud SOC 會把相關安全信息，包括云上日志、第三方數據匯集到體系中進行運營，安全體系包括防御、檢測、相應、預測模式，同時兼顧平臺和租戶。

這個體系的安全思路，在防御方面，強化自身就是最好的防御策略，同時在檢測和相應模塊打造一個有機閉環，以可靠的服務作為支撐整個體系運轉的基礎保障。

其中，防御要解決“不好管”的問題，騰訊 Cloud SOC 可以做到通過端、API 對原生資產與第三方資產進行打通，而在這一點上，騰訊擁有多年從端、流量中獲取資產數據的經驗。

在云這方面，Cloud SOC 的 CSPM（云安全態勢管理）是指云安全風險配置化的管理檢查，利用此機制對云上資產進行自動化檢查，不符合要求的配置會被平臺識別為風險資產，并提醒安全運營人員。

針對“人員雜”的問題，Cloud SOC 會在檢測和相應兩個環節，通過騰訊自己提出的 XDR 小閉環，SIEM，以及智能 UEBA 模式，針對可靠流量和端點，獲得精準的情報信息，進而歸納總結，抓取真實的威脅信息，提高安全運營覆蓋，以此進行有質量的告警及響應。

從管理思路上來說，Cloud SOC 模式的驅動整體上還是平臺＋人，依賴于監控、分析響應和總結報告等服務，加上運營專家／攻防專家，讓平臺高效運轉起來。

另一方面，在平臺方和租戶的責任劃分上，Cloud SOC 天然地從兼顧雙方的視角來看問題，在平臺側和租戶側打上一些鮮明的標簽對數據進行區分，利用經典和成熟的 RBAC 進行功能相關的控制 。此外，這個數據標簽還可以拓展到所有平臺模式上，將相關數據責任人歸屬于平臺方或租戶，并利用云平臺的優勢，對相關數據功能進行統一納管和運營。

如今，騰訊 Cloud SOC 已經在實踐中經過檢驗，比如在某企事業單位，Cloud SOC 利用強檢測響應閉環構建“演練”最佳防護，在某大型金融組織機構中，Cloud SOC 可在專有云或 IDC 部署，實現多環境數據統一納管，并適配上下級聯，實現全局可管、可控安全運營。

安全運營 SOAR Easy！

接下來，上海霧幟智能科技有限公司 CTO 傅奎帶來了《安全運營 SOAR Easy》的主題分享：

我之前也做過一線的安全運營人員，切身體會到一些痛苦的現狀，比如每天接到四千萬條事件運營，但真正能有效處理的事件不到 10 個。安全運營過程中的人工交互太多，費時費力。雖然過去二十多年，安全運營在安全理論、技術、產品、客戶運營水平上有所提高，檢測時間越來越短，但是安全運營人員同時還面臨著自動化、智能化、網絡武器作戰平臺的“對手”，而絕大多數用戶只能徒手應急響應——溝通靠吼，響應靠手。為改變現狀，我們用  SOAR 幫助我們快速開展安全運營。

目前，國內外已經有不少廠商在跟進 SOAR 相關技術，并做到了分鐘級和秒級響應。大家的基本思路都是通過圖形化的劇本編排界面，使用低代碼或無代碼實現安全事件響應過程的編排，支持數據交互和任務調度。

SOAR 可以是獨立平臺，也可以是內置模塊。在實際落地中，SOAR 的應急響應快準穩，其出色的表現已經得到業界的認可。今天我們可以依靠系統，實現 通用安全事件響應場景80％ 以上步驟的落地。以一個典型的威脅IP處置過程為例，經過與人工操作的對比會發現，SOAR 自動化處置可以實現分鐘級和秒級，僅時間效率就提升了 84 倍，這還不包括人員成本的加工地。實際上，SOAR 在實際應用中可以在不同場景里產生不同的效果，不僅在應急響應中，在事件分析、診斷、協同、寫報告等才做中，也可以快速完成，避免了人工的浪費。而且，這種“套路”一旦沉淀就可以重復使用。

目前，霧幟在 HoneyGuide 中通過虛擬作戰式和 AI 機器人解決事件響應過程中協同問題，用編排和自動化幫助客戶實現加速安全運營。此外，除了自動化響應，霧幟還希望能夠用自然語言與機器人進行交互，提高安全運營效率。基于安排編排自動化響應以及 AI 人機協同的安全運營，霧幟SOAR可實現分鐘級或秒級的應急響應，大幅節約了人工操作時間。

SOAR 是數字化經驗幫助安全團隊實現運營傳承和技能積累的有效手段，通過充分發揮人類工程師的智慧和機器的智能與速度，最終讓“安全防護超越攻擊的速度規模”成為可能。

最后，不得不提的是，自動化永遠都是手段，持續運營才是靈活。運營團隊要有思想，主動采取戰略，主動思考，借助自動化手段實現目標，不能完全依賴工具，這才是最重要的。

智能安全運營技術發展思考與實踐

綠盟科技集團股份有限公司 天樞實驗室的張潤滋還分享了主題為《智能安全運營技術發展思考與實踐》的主題演講：

安全運營團隊的痛苦都是相似的，雖然解決思路和方法略有不同，但大的趨勢都是依靠自動化來對抗信息爆炸帶來的困難。

安全專家數量有限，告警疲勞和痛苦的作戰方式，倒逼安全運營技術迭代式地發展，從傳統的單點攻防到邊界防御，再到安全運營中心，安全運營的下一步是智能化運營。

Gartner 為安全運營打上了一些關鍵的技術標簽，比如 SIEM、UEBA 等，最近 SOAR、XDR 等也是比較熱門的話題，但似乎這些都缺乏內在安全機制，隱私防護需求也造成系統黑盒。目前，安全運營的還面臨著一些關鍵挑戰，如運營需要細節與態勢并重，數據膨脹找到安全威脅猶如大海撈針，召回模型高誤報，技術／平臺低交互或無交互，以及缺乏魯邦安全性等。

為應對這些問題，我們提出了 AISecOps，就是廣泛地把人、機器和流程資源結合起來做運營。

實際上，國外和國內已經形成了智能運維的研究生態，我們要做的就是把自動化、智能化帶到運營中。

從概念上來說，AISecOps 包含四大要素，即“智能驅動安全運營，以安全運營目標為導向，以人、流程、技術與數據的融合為基礎，面向預防、檢測、響應、預測、恢復等網絡安全風險控制、攻防對抗的關鍵環節，構建具有高自動化水平的可信任安全智能，以輔助甚至代替人提供各類安全運營服務的能力，”我們的最終目標，是用技術支持運營，且技術自身可運營。

為了讓技術本身可運營，我們需要做一個模型來指導方向，思考自己在做的事情覆蓋到了運營的哪些階段。從上圖可以看到，我們離自動化運營還很遠，處于 L2－L3 階段，只是在有限場景下，運用數據分析手段，把情報打通。

為了支撐完整的自動化運營，我們需要把從感知識別到認知產生，再到產生策略的全流程串聯起來，打通人機協同循環。這是我們的工作模型和思考，目標是希望人機協同能夠在未來 5－10 年間在很多場景下是此案完全自動化運營。

目前，我們在做的一些工作包括超融合知識圖譜，在底層建立可以支撐全數據、多場景的 DSL 語言設計，建立融合的數據分析機制。

在此基礎上，打造可以針對不同場景下所需的不同檢測單元、召回單元、風險評估單元、反饋解釋單元的可編排推薦引擎，讓引擎學習專家或運營的不同偏好。

此外，我們還初步基于開源的文本類型解釋模型創建了可解釋引擎，可以實現自動化提取關鍵詞，目前僅支持文本，但后續將支持圖。

為了做到以數據驅動的方式支持人機協同，我們利用規則提取引擎，通過可解釋模型將學習成果告訴專家，并在推薦引擎中提取的知識中找出規律，形成規則和策略，然后通過搜索引擎，用統一的語言抽象進行知識固化。

總結起來，安全專家的經驗難以復制，人的精力有限，但是機器可以做到。第一，數據驅動的方式只是緩兵之計，面臨關鍵決策，要分具體情況，但以數據支撐決策和策略是我們技術路線的根本出發點；可編排能力要支撐不同業務場景，在每個運營環節做響應；“授人以魚不如授人以漁”，要能解釋清楚為什么用數據驅動能解決一切問題；最后一點是要打造可信任的安全智能“戰友”，保證 AI 的安全性。

安全運營無法一步到位，我們希望將安全運營中的知識固化下來，形成打造機器的戰甲，不能要求每個人都是超人，我們要做的就是要打造機器型的戰甲。

構建智能化縱深安全分析體系

天融信大數據分析產品線 總監 鮑青波分享了主題為《構建智能化縱深安全分析體系》的精彩演講：

天融信大數據分析產品線總監鮑青波

我的分享主要聚焦于安全分析，兩個關鍵詞分別是“智能化”和“縱深”。

首先介紹一下我國網絡安全現狀。據 CNCERT 統計，2019 年，面向我國工業控制系統的網絡資產嗅探事件約有 14，900 萬起，較 2018 年的約 4，451 萬起有顯著增長。經分析，嗅探行為源自于美國、瑞士、法國等境外 130 個國家和地區，目標涉及我國能源、制造、電信等重點行業的聯網工業控制設備和系統。大量關鍵信息基礎設施和聯網控制系統的網絡資產信息被境外嗅探，給我國網絡空間安全帶來隱患。對此國家非常重視，從十三五規劃到《網絡安全法》、《等級保護 2．0》到“十四五規劃”，國家要求建立健全關鍵信息基礎設施保護體系，提升安全防護和維護政治安全能力，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力，特別是要加快人工智能的安全技術創新。

人工智能賦能安全分析，是此次演講的核心。不得不說，當前 AI 在特定場景下賦能安全分析，還面臨著一些困境，如數據標注、特征處理、結果評估，以及工程化難題，特別是針對零日、APT 高級攻擊、長周期潛伏的未知威脅時，AI 不一定能發揮很好的作用。這時，通常情況下會采取行為分析的手段，通過時序分析等方式發現異常。

網絡安全分析場景可分為“已知的已知”、“已知的未知”和“未知的未知”三個部分，為應對不同程度的分析需求，我們建立了一套智能化縱深安全分析體系。

這套智能化縱深安全分析體系，主要包括智能檢測、自動化處置和智能研判三個部分。

從最左側典型的數據處理流程之后，進入智能檢測，這是縱深分享的第一步，也是最核心的一步。這里，系統會通過關聯分析、AI 分析、行為分析、專項分析等分析引擎手段，利用深度學習、機器學習和圖分析等方法，建立深度學習模型，以串聯或組合的方式進行智能檢測。

之后進入自動化處置流程，這一步可以做到誤報去除和告警智能歸并，把單點告警以更高維度的指令聚合起來進行智能化處置。

而對于規定后無法自動化處置的，就進入下一步的智能研判，經過研判可視化和全域數據分析發現重點數據的步驟后，系統會從重點數據出發，以人機交互的方式提供利于專家做智能研判的依據，如內置各種數據處理算子、機器學習、特征處理、結果評估和模型部署算子等，研判后再連接 SOAR 進行響應。

總結起來，通過智能檢測、自動化處置和智能研判等方面的工作，我們建立了一套縱深的安全分析體系，有了這些能力之后，我們才有基礎去考慮人工智能賦能網絡安全究竟能帶來什么樣的價值。

圓桌論壇共話 SOC 未來

活動最后，幾位專家還以在圓桌論壇上，探討了 SOC 的最新演變和發展趨勢，共議新時代下 SOC 的壓力與機遇所在。

從左至右依次為：騰訊安全SOC產品總監劉桂澤（主持人）、上海霧幟智能科技有限公司 CTO 傅奎、騰訊安全SOC產品負責人肖煜、天融信大數據分析產品線總監鮑青波，以及綠盟科技集團股份有限公司天樞實驗室高級安全研究員張潤滋

至此，這場匯聚安全領域專家的精彩活動圓滿結束，讓在座的觀眾與線上的網友對于 SOC 技術與嚴謹有了更加清晰的認知，滿載而歸。