李少鹏：安全运营的灵魂支柱是验证与度量

▲数世咨询 李少鹏

随着网络威胁日益复杂和恶意攻击不断增加，安全管理变得越来越重要。为了应对这些挑战，安全管理平台应运而生。起初，我们看到了防病毒、IDS/IPS、防火墙和上网行为管理等工具的出现。随后，出现功能组合的UTM/NGFW产品逐渐发展壮大。

除此之外，资产管理、漏洞扫描、大数据关联、行为分析、威胁情报、SIEM以及威胁捕获等工具也相继问世，在这个发展过程中诞生了态势感知产品，不仅实现功能加持，而且实现数据统一。

数世咨询观察到工具与产品日益复杂化，并需要建立体系化和平台化的解决方案。然而，在这一过程中往往缺乏对运营层面的考虑。硬件软件、方案和平台都是工具，但它们缺少有效的运营手段，并不能在实战中发挥其最大价值。

态势感知产品，概念定义：网络安全设备一种由内部外部多维数据驱动的、综合性的安全管理与运营体系。该体系针对网络安全设备相关的所有安全要素进行收集并处理，并结合大数据平台进行标记关联分析，以实现对网络安全的全面感知、主动防护、风险预测和联动响应。

然而，数世咨询发现用户在使用态势感知产品时面临着买不起和用不了等挑战。最终态势感知产品演变成了大屏幕汇报工具。

谈及威胁检测与响应，李少鹏以去派出所报案为例，阐述了威胁检测与响应和报案流程一样，先报案（检测告警），立案（关联分析）、破案（关联分析）、结案（响应处置）。

威胁检测与响应(TDR)是指以全流量检测与分析技术为核心，并结合威胁情报、脆弱性检测、加密流量解析、日志分析、EDR、SOAR、沙箱和专家服务等功能模块，提供了一种以网络攻防对抗为主要场景的一体化解决方案。

随后又出现了端点检测与响应(EDR)产品。它基于采集记录并存储数字环境中各端点行为数据与状态数据，并通过对这些数据进行分析来检测存在的威胁。同时，EDR还能进行隔离、查杀等响应手段，并提供修复与保护建议。最终，它实现了对未知威胁与高级可持续威胁的检测与响应能力。

数世咨询发现在使用这些技术时，虽然检测相对容易实施，但精准度却很难保证；同样地，响应也较为容易完成，但自动化程度较低。因此，在这些产品中分析功能显得尤为重要。

攻击面收敛是近期出现的一项安全技术。该概念特指行业用户针对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认和管理，并通过内外第三方的持续收敛来解决这个问题。

数世咨询指出，实施精细化的攻击面管理过程中，需要在“场景”、“风险”和“验证”三个关键环节上加强。

我们需要认识到安全运营由五大要素组成，并以人为中心。通过组织管理、产品、工具、流程制度和平台架构等持续迭代优化，实现安全的共同目标。

那么，安全运营是做什么的呢？其实，它是负责建设安全体系建设工作。一个好的安全体系建设需要依靠有效的安全运营来完成，而要评估安全运营是否成功，数世咨询认为应该通过"验证与度量"进行评估（参考图1）。

例如，在渗透测试这个任务中，需要安全能力较低，因此不能简单地说一年做一次就完事了；随着安全能力要求不断提高，在攻防演练中，防御是否防得住？在入侵攻击模拟中，有没有入侵成功？

同时，安全体系建设过程中，更应该吸取同行评议，即邀请独立的同领域安全专家进行评估和投票，不断完善网络安全体系建设。

李少鹏指出，安全运营也应该按照“验证与度量”标准，在四个维度上进行评估：好不好？行不行？用没用？有没有？在人员、技术、管理三个维度上协同合作，实现全生命周期监测及管理，真正做到安全运营管理闭环，只有这样才能真正达到安全运营目标。

总结起来，“验证和度量”将成为衡量优秀安全运营工作的重要指标。通过对各项活动进行安全有效性验证，帮助组织不断优化和改进其网络安全措施，提升安全团队整体能力，逐步形成适合企业自身的安全运营体系，并通过成熟的运营体系驱动安全管理工作质量、效率的提高。