網絡安全建設對一般企業而言，是專業門檻比較高又必須要考慮的問題。對具備一定規模的企業，常見的安全建設模式，是越堆越多的各種不同類型的安全設備，加上若干長期駐場的來自安全廠商的安全運維人員。隨著遠程辦公、辦公網、數據中心和多云成為目前企業的主要IT環境，傳統安全建設模式，投入大、成本高、效果低、難維護成為痛點問題。

　　云計算不僅改變了企業傳統的業務模式，也帶來了傳統安全運營模式的全新改變。云化時代，高速的信息傳播，使得安全運營的敏捷性成為必需。而云化技術又為實現敏捷的安全運營成為可能。因此，有觀點認為，安全的未來靠運營，運營的未來在云上！

　　今年5月，綠盟科技正式發布云化戰略——T-ONE CLOUD，旨在以云的思路重構安全運營體系，為用戶提供彈性敏捷的安全閉環保障能力。本期訪談特別邀請到綠盟科技集團副總裁曹嘉，共同探討云時代企業安全運營服務的變革與發展。

　　16年安全行業從業經歷，具備豐富的安全咨詢、項目管理及解決方案創新經驗。多年來深耕網絡安全領域，率領團隊長期從事安全服務業務，負責綠盟科技紅隊/藍隊管理、咨詢設計、網絡安全培訓與教育、應急響應、安全開發等專業服務團隊。

　　我們看到綠盟科技提出了“云運營再造新安全”的理念，這個理念的提出背景是什么？與傳統安全建設模式有什么區別？

　　曹嘉：

　　“云運營再造新安全”指的是云安全戰略。我們對未來安全運營上云和本地化的問題上做了很長時間的分析和討論，目前的業務場景上主要指托管檢測和響應MDR（Managed Detection and Response），MDR立足在本地以及遠程進行威脅分析和響應，即DR類服務，如果將安全運營的主要方向定義為對D和R的效率提升，則也可以說云化安全將會改變的首先就是DR類服務的效率和效果。與傳統安全模式的區別主要包括：

　　首先，云安全戰略一方面要保護客戶在云上的資產，另一方面要通過云的方式閉環客戶的安全需求來提供更好的服務。技術上，需要基于云化的SaaS服務來建立面向全行業的大中臺，面向客戶提供監測預警分析、響應的服務，為用戶閉環所有的安全問題。

　　其次，傳統模式下運營商、金融、政府是最大的安全買家，但他們更多會將運營責任放在自己身上。而云運營戰略主要是布局前瞻性的市場及未來客戶的發展需求。云連接促進了新興制造業、連鎖集團跨地域的快速發展，企業運營一方面會演變成云上云下混合的模式，企業很難找到一個統一的視角去看自己在混合云環境下的安全能力和安全風險；另一方面，對于不停在各地進行節點擴張的企業來說，首先要解決合規準入問題，而每增加一個新的連鎖店就要重復進行系統建設，其建設、運營成本會成倍增長；此外，新興和小微企業初期都要考量自己的投入產出比，不可能上來就建個運營中心或SOC。云安全戰略定位主要是匹配這些跨地域快速擴張的企業、廣域連接的新興行業及小微企業的安全運營需求。

　　企業用戶在應對網絡威脅時，仍然經常面臨“看不見，分不清，處置不及時”的情況，目前企業的安全運營能力與外部攻擊的對抗水平是否匹配？該如何應對？

　　曹嘉：

　　在攻守兩端，防守永遠難于攻擊，攻防雙方長期不對等。

　　從本質上說，永遠都會有新的漏洞、新的威脅出現，安全是一個對抗性的行業，攻擊在先的趨勢長期不可逆。在這個對抗的過程當中，任何一個漏洞的出現，我們認為它都是全新的，每個漏洞利用都有不同，要動態的看待每個漏洞和影響。

　　其次，安全運營的復雜度高。企業安全建設中涉及的安全廠商、產品、服務非常多樣，系統異構、接口方式，以及廠家對漏洞、威脅的定義規則都不相同，安全資產缺少統籌管理，甚至很多資產都不在客戶管理的視圖中，僅對某一個系統打補丁做升級是防不住的。

　　再次，檢測和響應效率不足，安全的未來應該注重在效率上，即提高檢測時間（TTD）和響應時間（TTR）。任何一個企業都可能被單點突破，遭受攻擊，企業失陷后恢復的時間越短，表示安全運營越完備。傳統運營方案的檢測能力受限，只有檢測能力和響應能力更好，安全運營才能越轉越快。這要求從產品到平臺，從硬件到軟件，從人到流程都必須做的很好，有一個環節慢，檢測的和響應的都不會快。能不能夠把TTD和TTR提得更高，是任何一個企業安全管理者都要解決的問題。

　　最后，系統自動化處置程度還比較低，基于人進行處置很難使響應效率得到有效提升，安全需要在盡可能準確和盡可能全面的檢測和響應之間折中取一個平衡點。

　　云計算技術給安全運營工作帶來的主要幫助有哪些，是否會成為主流或剛需的安全運營模式？

　　曹嘉：

　　云計算技術給安全運營所帶來的第一個顯示易見的幫助是集約化。云安全運營通過建立一個覆蓋全國的中臺系統或者工單系統實現能力和項目管理的拉通，能夠解決分布站點的等保合規訴求，降低企業合規建設的成本；幫助用戶實現云上云下統一視圖，使用戶的安全投入和產出比有更好的呈現；同時，在企業業務擴展時安全能力可以彈性地擴容，非常方便。

　　其次，自動化的工具平臺和云化的SaaS服務使評估和測試變得更加輕量化，覆蓋度會更高。常見的可利用的漏洞在自動化的工具平臺上都能覆蓋，針對不同的需求場景測試可分為不同類型，如高強度的對抗型測試、標準的安全功能測試、輕量級測試。特別是輕量級測試價格也會更低，能幫助客戶提升測試的覆蓋度，給用戶的測試結果都是可以被有效利用的、用戶最需要關注和解決的問題。

　　除集約化和輕量化外，云安全運營的最大優勢是面向客戶提供監測預警分析、響應服務，能幫助企業減少安全事件檢測到響應的工作鏈條，閉環所有的安全問題，提高檢測和響應效率。安全事件解決需要從現象到證據鏈到分析，再從分析轉化到產品，整個過程需要規則工程師、研發工程師等不同環節的安全人員按一定流程分工協同工作。具有專業運營經驗的云服務平臺，對告警的分析處理比在客戶端的判斷要快很多，處置的工具方法也會比客戶本地多很多，可以很快判斷告警是否是真正的風險，幫助用戶提高了檢測的效率。同時，熱補丁技術在云安全運營中得到了更好的應用，緩解新型攻擊應對的壓力，這也是云安全運營帶給企業的紅利。

　　隨著企業上云，集約化政務云的大規模建設，政務系統大數據局的出現，用戶在云上產生的數據是不是安全，也是安全運營未來要解決的一個問題。從合規導向來看，國家在安全運營方面也匹配了相應的政策，去年中國信息安全測評中心頒發了安全運營的資質，這是安全行業最熱門的資質之一，擁有這個資質就證明企業有解決挖礦、勒索病毒、等級保護問題的能力，這也是市場的剛需，可以帶來更廣闊的安全運營服務市場。

　　采用云安全運營模式后，企業的數據資產是否也會從企業數據中心遷移到云端，擴大企業的風險暴露面？在檢測或出現安全事件后，云運營商又如何更好的幫助用戶解決安全風險？

　　曹嘉：

　　企業的風險暴露面并不會因為安全運營上云而變得擴大。

　　首先，第三方安全運營商也是在受監管的情況下進行本地或遠程的服務；

　　其次，安全運營并不需要用戶的所有數據，而是對疑似的流量做鏡像和保存。用戶只需要將本地關注的告警給到運營平臺，為便于事后追溯和溯源，一般是由客戶在本地做好全量數據留存，如果需要原始數據，要到客戶本地溯源；

　　部分關鍵行業如金融、政府，因數據合規要求會明確數據不能出網，數據不能出省，企業要將數據放在本地。但新興行業，如制造業、酒店行業，業務模式相對開放，不太涉及敏感業務，國家對其要求也沒有關基行業那么高。因此，企業在可控的情況下選擇云安全運營模式并不會給企業帶來更大的風險。

　　在檢測到網絡安全風險時，安全運營商首先要告知用戶風險，督促客戶進行盡可能有效的修復和閉環安全問題。然而，一旦出現失陷事件，如果是已知的安全問題，就會追究運營商是否盡到了督促修復的義務，如果是未知的風險，除了讓用戶理解外，運營商也會通過高效的檢測和響應能力協助用戶進行修復工作以更快的收斂風險。

　　在解決和處理云上安全事件時，會涉及業務提供方、租戶、云供應商等多個環節，相對傳統企業的運營更復雜，安全運營商也需要找具有信用背書能力的業務平臺協調業務提供方和基礎設施建設方一起進行安全改造。

　　責任界定時安全運營商需要平衡這些關系之間的安全責任，一般會按云計算的分層結構進行劃分：基礎設施安全由云基礎設備提供方去解決；業務邏輯漏洞問題由租戶去解決；運營方就要通盤看待這個問題并協同好各方去解決安全問題。這相對傳統的安全運營會更加復雜，安全運營商扮演的角色也變得更多。

　　不同類型企業在構建安全運營能力時應該如何選擇云安全運營服務，有沒有一些推薦的組件？

　　曹嘉：

　　小微企業多采用政務云或者托管在阿里云、騰訊云的公有云上走集約化的模式，需求以安全合規為主，安全投資不能太重，同時不能對業務有太多阻礙和影響，推薦基于SaaS的輕量化的測試服務。

　　而央企、醫療、大型制造類企業，一般沒有足夠的編制管理自己多方面的安全，甚至管理自己采購的多種產品和服務供應商，托管服務會比較適合。其中，輕量點的托管服務有MSS，重一點可以讓運營商幫他們建設，甚至出人拉通云上云下的流程。以醫療行業為例，疫情環境下，衛建委要求把數據下沉到每個三甲醫院、鄉鎮衛生所甚至藥店，這種場景下，云安全運營商就可以非常方便的通過將探針分布式部署到每一所三甲醫院、每一個衛生所和每一個藥店，而衛健委只在省一級的數據中心或運營中心構建安全運營平臺。

　　關鍵信息基礎設施類行業，其面臨的網絡威脅相對以上兩類企業更嚴峻，自身的基礎安全建設相對比較完備，多數配有專業的安全團隊，更希望有一些專項安全業務與現有的安全能力進行補充，比如，紅藍對抗、供應鏈安全的咨詢和分析、代碼安全分析、軟件成熟度分析等。

　　您認為未來安全運營還會有哪些創新能力或特點出現，談一談您對安全運營服務未來的發展的看法？

　　曹嘉：

　　全球安全市場的收入是服務大于產品，而中國是產品大于服務，但是在過去十年，服務的比例和專業度在逐年提高，影響這個變化的因素非常多。首先，在我國部分行業IT建設高峰期的時間窗口基本已經過去了，比如金融。投資高峰期過去之后必定會產生對運營的大量需求，這是安全運營必然興起的第一個原因；其次，國家在政策上對于服務型以及本土安全企業的支持，包括信創、數字化轉型、十四五規劃、產業供應鏈規劃甚至數據安全、供應鏈安全等對安全運營的促進都非常明顯。未來安全運營在服務甚至在整個安全投資的比重會大幅增長。

　　隨著云安全運營技術的發展，未來風險評估將會出現一些低成本、高可用的技術，評估手段變得更加的自動化、可復制化，能更好的解決安全評估的效率問題。典型的有輕量化的滲透測試、基于BAS對攻擊路徑進行拉通式的評估、SOAR事件分析等等。除了測試技術，容器、微服務技術的應用改變了客戶從開發到運維的流程，安全廠商除了自身在開發中要運用這樣的技術以外，還要配合客戶發現這方面存在的問題。比如K8S里邊的AK/SK泄漏問題、API接口問題等，這些問題必須要成為安全運營商配合客戶發展的新方向。

　   評論

　　安全建設從無到有，從初步應用到廣泛應用，運營起著非常關鍵性的作用，安全運營是企業安全建設發展到一定階段的必然需求。但安全運營的關鍵不完全是技術手段和自動化程度的提高，更重要的是找到安全運營的主要瓶頸和關鍵節點，才能真正使安全運營有質的提升。目前來講，安全運營仍然有諸多待解決的問題，是安全探索的一個重要課題。未來對某些企業來講，物色一個綜合的安全運營方，幫他們更好的利用好自己的廠商、資產以及相應的服務商，也將成為企業安全建設的一個重要選項。

更多信息可以來這里獲取==>>電子技術應用-AET<<