压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

“常態實戰化的安全運營，能夠提升企業整體威脅發現和應急響應的能力，在發生安全事件時，改進檢測和響應時間，以最短時間保障業務系統的正常運行?！?月19日——21日，第八屆互聯網安全會（ISC 2020）的應急響應與安全運營論壇中，360集團信息安全中心負責人張睿帶來《基于360安全大腦的威脅運營落地與實踐》的分享，從360威脅運營的思路與方法、基于360安全大腦的威脅運營建設、基于360安全大腦的威脅運營工程實踐三個方面論述了360的安全運營。

一、360威脅運營的思路與方法

1.威脅運營的現狀：

360內部安全團隊每天面對著非常復雜的運營戰場，為滿足互聯網業務敏捷和彈性需求，將基礎網絡發展成為龐大異構的互聯網業務混合云架構，全球設有200多個數據中心，十幾萬的云服務器，包括自建骨干網絡、邊緣網絡，私有云和公有云，內部有容器等各類云原生服務等。通過移動客戶端“360家”實現BYOD遠程辦公，集成了云盤、OA、IM等辦公應用，后端聯動API網關實現基于員工身份對業務系統訪問的鑒權。

在高度復雜的基礎架構環境下，每天威脅運營團隊會面對各種安全問題?？傊诔霈F問題復盤時，運營的同學總會說自己本可以做到“更”好。

2.指導安全運營的核心思想：

安全運營團隊真實想做的和現實做到的往往有非常大的差距，希望建造一個堅強穩固的堡壘，實際上經常會發現墻上破了一個又一個窟窿，運營人員總是在補窟窿的路上。

在逐步展開安全建設后，360安全運營團隊意識到攻防本質上是成本的對抗，也是人與人的對抗，攻防之間需要形成一種相對動態的平衡，安全防御就要在受保護的目標資產價值、安全建設投入和性價比之間的做好平衡關系。

360內部指導安全運營的三條核心思想：（1）找準ROI持續投入進行安全建設；（2）自主可控，攻防實踐加工具開發；（3）工程能力是落地安全防御體系能力的核心。

3.轉變思路-走向真正的數據驅動安全：

通過落地基礎的日常安全運營工作，可以形成縱深防御體系，提升攻擊者成本，減小響應的時間窗口；但僅僅做好這些基礎功課肯定還是不夠的，會遺漏很多潛在的威脅。入侵是不可避免的，只要檢測和響應足夠快，業務不會被破壞。所以要轉變思路，朝著真正的數據驅動安全的方向。

數據驅動安全的理念代表著是一種檢測思路的轉變，由傳統的以漏洞為中心，聚焦檢測逐漸轉向以威脅為中心，聚焦在數據收集上。傳統的檢測是依賴精準的特征，不太區分具體的威脅類型和場景去被動監測這些告警，而基于數據的方法主要會依賴各種來源的數據，逐步覆蓋各類威脅場景的攻擊手法，依賴內外部的威脅情報，主動做威脅狩獵。

總結來看，就是首先要去積極的檢測和響應，結合特征檢測和行為檢測，運營人員需要主動威脅狩獵和響應，在檢測上不再追求單點的完備性和告警的精準性，實現基于全盤數據的統籌關聯，有點及面的實現對威脅的探索和發現。

1） 有目標的數據收集

為了實現基于數據驅動的威脅分析，首先需要做到有目標的數據采集與監測。首先數據的存儲成本和傳輸成本是非常高的，數據也永遠都沒有收集完整的那一天，所以切忌盲目地去收集相關數據。

從經驗上來看，首先數據收集要盡可能去靠近一些收斂的集中點，這樣可以降低數據收集或者標準化的成本。除此之外，數據本身的收集是一個長期的持續動態的過程。最重要一點就是數據一定要打好基本功，如果沒有好的數據質量和數據維度，實際上很多分析工作是沒有辦法開展的。

2)? 基于大數據科學分析方法的威脅判定

電影里的“照片墻”可以非常形象的表達在威脅運營的中面對的問題，首先是威脅運營的分析人員，在海量數據里往往看到的并不是威脅的全貌，能看到是單一的攻擊線索，非常碎片化的信息，如何把這些海量的數據中碎片化的信息，通過線索關聯起來，去定位攻擊者或者受害者，然后找到攻擊的手法和工具，這就是整體做威脅運營分析的最重要的思路。具體落地到威脅運營的數據上來看，一般來講從海量的原始數據到最終的安全事件，是一個逐漸收斂的過程，總結來說就是做到向上智能歸并，向下多級的鉆取。

3)? 建立威脅模型關聯聚合分析

在實踐中，發揮威脅運營價值很重要的數據包括網絡側NDR和終端側EDR的數據，網絡側的數據會集中在攻擊的初始階段或者命令控制階段，有比較高的實時性，能夠比較好的實現溯源追蹤，但是很難實現實錘，需要終端去做一些實證排查。另外一塊是終端側的數據，會集中在攻擊的中后階段，例如樣本或者命令執行的前后階段，往往是比較碎片化的，需要進行大量的回溯才能還原整個攻擊事件?；贏TT&CK矩陣工具的對NDR和EDR覆蓋矩陣點的分析結果可以看出，兩側數據的覆蓋面是互補的，都無法完全覆蓋所有攻擊戰術和手法，結合起來才能夠看的更全面。

二、基于360安全大腦的威脅運營建設

1．落地可量化的安全運營評價體系

對甲方團隊而言，安全運營最重要的就是關注它如何去落地。但為了去實現落地，在運營的過程中有非常多的點需要去落實，比如安全運營的結果如何去度量；日常運營的數據如何進行閉環；如何進行報表統計、向上管理可見；如何去消減誤報，提升運營的效率；如何去區分違規還是真實有效的外部威脅；安全事件來了，如何做相關的應急預案；如何傳承專業的運營經驗，降低整個運營團隊的知識成本等等。所有的問題都是在安全運營流程中需要去關注的，運營的核心關注點包括：一是威脅檢測的覆蓋面和檢測能力，二是平均的檢測和響應時間，三是運營的效率，是高度以結果為導向的。

總結來講就是整個運營其實際上是以一個高度以結果為導向的結合人、技術、流程的活動，需要為安全目標負責，需要給業務創造安全的價值。

2．效能協同的運營組織建設

360內部安全運營的組織，并沒有成立實體SOC組織，是建立在各團隊跟運營相關的人員基礎上形成的虛擬化的運營團體。

在團隊建設上秉承的是專家團隊的協同運營的模式，會分各個安全領域建立相關的安全小組和團隊，盡可能的讓專家的安全能力聚焦并固化在組織和平臺里，整個運營團隊的文化是一種敏捷的文化，通過Devops方式快速迭代運營平臺、運營規則與運營流程。

從安全能力上來說，覆蓋了業務安全和基礎安全主要領域以及主流的安全能力技術棧，更上一層就是一些效能協同小組，例如安全運營SOC組，安全事件響應小組，紅藍對抗行動小組，最上層的是從業務賦能的相關小組。

3．360安全大腦賦能聯動運營

在整體威脅運營的架構設計上，360本身擁有海量的威脅情報數據的來源，利用360本身云端的安全大腦結合本地的安全大腦去做整體聯動的運營。360海量的安全基礎數據庫每天會產生海量的威脅情報，結合這些威脅情報的線索和調用各類的云端的分析判定服務，會給本地威脅運營的數據分析平臺做一個很好的賦能。

在威脅運營實踐上，基于網絡側的數據和終端側的告警數據和原始數據，通過本地安全大腦產生一系列的威脅告警，首先會做威脅情報和資產信息的豐富化；一方面在本地的數據分析平臺上設定相關的關聯分析規則來形成高危的安全事件告警，另一方面也會將本地必要的不太敏感的數據上傳至云端大腦，結合云端的威脅分析和鑒定能力給出判定結果，通過這種本地結合云端的聯動方式來建立威脅判定模型。

因為數據維度足夠豐富，結合具體場景的建模有很多方法，例如云端沙箱檢測完判定的精確結果，基于云端威脅情報查詢返回的加權風險值，基于威脅場景和資產維度的加權風險值，以及規則、樣本特征本身專家評分值等等，通過這一系列維度的分析，威脅模型才能夠把一個不太容易關注的威脅告警在海量的告警里自動化的推選成高優先級的安全事件告警。

最后通過自動化編排的方式推送到相關運營平臺上，包括工單平臺，處置平臺，阻斷類產品如WAF、終端防護、下一代防火墻等等，讓運營人員及時的發現和處置。

三、基于360安全大腦的威脅運營工程實踐

1．安全融入基礎架構，建立SDP安全架構

在基礎安全方面，360內部安全建立了一套SDP零信任基礎架構。目前已經實現了大數據的威脅判定的分析和整個SDP技術架構里面的網絡會話的關聯，這個分析系統主要會產生一些威脅判定的標簽，這些標簽會綁定到零信任基礎架構的訪問會話引擎里面，如果有些高危的威脅，會實時的進行相關自動化的處置。

2．統一精細化資產管理和脆弱性跟蹤

在海量業務服務數據里做資產的發現和脆弱性的管理，360內部是通過“天相”這款工具去做資產掃描去以及相關的資產發現和脆弱性管理的。“天相”可以實現海量的資產的分布式的高效掃描，實現對整個資產和脆弱性的全生命周期的管理，運營人員能夠第一時間確認相關資產的安全狀態以及業務的重要程度等等。

3．建設方便運營人員的安全數據分析平臺

威脅數據分析平臺的建設核心關注點就是要方便運營的落地，包括做威脅檢測規則的開發和調試以及告警數據的回溯；其次這個平臺要具備通用性，可以去適配不同的威脅場景。360實現了統一的SQL分析入口，所有的數據都可基于SQL去做數據查詢；針對海量原始數據流式關聯分析，通過Flink來實現對原始數據進行標記、清洗，并對關聯分析產生告警豐富化，把告警數據打入告警展示平臺；離線數據的關聯分析實現了一套基于ES的類SQL語法形式化的規則引擎，運營分析人員只提取相關的關聯分析特征，寫好基于SQL關聯規則，就可以把一些威脅事件，基于原始的告警數據關聯篩選出來，形成威脅事件告警，并完成相關數據的豐富化。

4．高效整合NDR和EDR數據關聯

在網絡側方面，通過全流量DPI的方式去覆蓋了所有骨干IDC的南北向的出口，所有辦公網包括南北向和東西向所有的流量以及郵件入口流量都做DPI的深度解析還原。主要還是以規則引擎為主，然后結合機器學習模型以及威脅情報去做相關的落地。網絡側給出的告警信息需要足夠豐富，包括資產數據、情報數據還有一些云端大腦的鑒定的數據等等，這樣通過關聯分析才有更多的維度去做一些數據的篩選，篩選出一些更高危的告警。

在終端側方面，檢測的思路一塊是在主機側，一塊是在終端里面去部署相關的代理，形成整體的檢測思路或會把一些比較精準的輕量級的檢測放在本地，例如像文件上傳的檢測，暴力破解的封禁等。一些更隱蔽的威脅或者一些更高級的威脅，會通過 EDR的模式把數據收集到云端，做相關威脅數據的分析。

5．走向未來的創新型SOC建設

360安全運營團隊將延續360自主可控的安全能力建設的傳統進行技術創新，探索威脅運營新的思路和方法，希望未來能真正做到風險預測和態勢感知，也希望能給集團業務創造更多價值。