董曉瓊-安全運營之能力升級（16頁）.pdf

1、再談“安全運營”之能力升級董曉瓊董曉瓊 平安科技平安科技再談”安全運營“在哪兒：安全運營的今天去哪兒：安全運營的展望如何去：安全運營的發展再談“安全運營”在企業中，我們所追求的安全“目標”是什么？再談“安全運營”安全運營團隊的職能再談“安全運營”的今天安全運營團隊的“日?！卑踩a品的運營：安全措施的推進：安全措施的改進：安全預警的處置：如何評價“安全運營”價值主動發現的預警占比：風險資產敞口比例：資產風險敞口時間：Mean Time to Response：再談“安全運營”的今天與未來“安全運營”效能1D/3D-7D20%Platform3+自動化處置比率檢測和響應處理時長平臺效率安全投入成本

2、“安全運營”效能50%50%Platform1+自動化處置比率檢測和響應處理時長平臺效率MTTR-智能化-可統籌再談“安全運營”-痛點和障礙NetworkingApplication Layer ProtocolsOS-Unix/Windows Web Application APPs（IOS/Android)Cloud Computing Data Encryption/Masking Security Monitoring ToolsBusiness Fraud Regulatory ComplianceSecurity ComplianceS-SDLC Security Investig

3、ationsData GoveranceVRM Communication&WritingCritical Thinking Creativity&Curiosity MotivationData AnalysisHard to findCapabilities Metrix再談“安全運營”武器很多協同性不足分析能力和工具支撐資源稀缺缺少合力通用性業務場景事件跟蹤生命周期Baby-Steps響應機制數據價值轉換不足Effectiveness&Efficiency？武器很多，檢測效果-可靠和可見性？預警太多，人力/時間不匹配預警調查，事件優先級，調查路徑預警處置，無法實現響應的運營化再談“安全運

4、營”-思維的變革安全人員能力助力“風險管理”能力安全專業能力“數據分析”能力通用能力平臺能力自信、快速的識別和響應處置威脅再談“安全運營”再談“安全運營”數據采集及預警質量1、預警數據-數量與質量2、預警數據-跨產品間的場景關聯3、情報數據-不同情報體系的應用響應與強制執行1、安全產品的接口豐富度/性能2、跨平臺和跨功能的團隊響應3、劇本可以重復利用、嵌套和共享數據富化1、數據富化（手動-自動化）2、數據調查能基于多種數據源-上下文3、高質量/高自動化的預警處理4、不同情報源的校驗和參考事件調查和處理1、事件調查的手段和行為積累2、跨產品搜索的事件回溯和檢索的機制3、事件處理流程可視化，且和編

5、輯4、重建事件時間線5、Case管理和積累-每類事件處理流程高效利用痛點：1、檢測機制導致的預警準確問題2、預警量過大，收斂能力不足3、產品接口自身的能力4、龐大的業務環境、可你到底有多了解它，資產風險變化的動態性痛點：1、不同產品或工具-怎么組合，讓支離破碎的信息更有價值2、預警信息-優先級的定義3、事件調查-路徑長、操作成本高、決策成本高4、大量的響應處置-無法實現響應的運營化5、處置標準的固化和優化情報及人工智能驅動變革挑戰：業務環境復雜、威脅環境特征及變化太快動機不清：個體、團伙、國家隊的威脅，多方遇敵數據挖掘成本過高，模型結果在不同場景中表現不同 決策大腦智能化 1、“源頭”-安全預

6、警萃取 2、場景化的情報數據應用及加工 3、資產及員工行為-風險屬性標簽化 4、場景化的AI輔助檢測 Web應用攻擊模型檢測 接口異常監控 異常賬戶行為監控 惡意攻擊鏈識別 WEBSHELL識別等優勢：來自不同層面的、豐富的安全數據數據的計算能力Log：HTTP Access LogTCP SessionsDNS LogTI：Malware HashIP、Domain、DarkwebCVEVulnerabilityAssets ProfileAssets VulnerabilityHoney potSec Data CenterStream MLNGSOCStream+Rule Log:Ale

7、rt EventsIncidentInvestgation IncidentFeedback事后安全處置及改進終端風險預警7600+應急響應1016 主動安全預警與處置1300+業務風險7000萬+主動防御600萬+終端違規98+廣泛的數據源情報及人工智能安全可見及洞察確定優先行動的范圍情報及人工智能驅動變革Tools：HIDS|Zeus-NGSOC|APT|TIP|CMDB|ES|Token|堡壘機主機端webshell 預警來源：HIDS/APT 預警處理流程：HIDS 預警 查詢主機系統信息 查詢主機進程 主機端口 日志詳情 下載webshell 查詢和定位主機平臺改進后處理流程：信息富

8、化+工具化判斷1、TIP預判2、影響主機定位3、溯源日志的查詢收益：Zeus、人工處理流程簡化、15Mins19秒問題：受制于產品接口能力、接口性能利用SOAR-“統籌”事件調查和處置“工具化-”可處置性“響應式運營風險場景：終端用戶信息泄露預警調查和處置流程：HDLP終端預警-漏報預警事后發現-定位用戶-調取原始數據-定因-事件挽回和定責平臺監控流程改進：基于用戶行為-事件預警、原始數據提取、用戶行為數據的富化Platform：風險看板（事件預警+事件分析/處置收益：不同終端測原始預警：從千萬級別-7632+（high Risk），人工處理：98+Platform：風險看板（事件預警+事件分析/處置安全運營的未來：平臺+數據能力的提升強化安全“洞察力”、“統籌性”