安恒信息：2022安全托管服務（MSS）態勢發展洞察白皮書（12頁）.pdf

1、安恒信息官方微信2022中國信息通信研究院安恒信息 安全托管運營服務（MSS）發展態勢白皮書目錄MSS服務發展背景01網絡安全成為政企數字化轉型的關鍵命題實戰化安全需求要求安全能力持續有效安全威脅加劇倒逼安全能力迭代提升網絡安全人才缺口促進轉向服務外包模式疫情常態化催生“零接觸”安全服務模式0101020202MSS服務概述MSS服務概述MSS服務適用場景MSS服務發展態勢MSS服務價值0304050603MSS服務實踐MSS服務體系MSS服務內容MSS服務關鍵技術070912行業應用案例15教育行業案例數字化轉型企業案例監管部門案例15171807總結與展望2001安全托管運營服務（MSS）

2、發展態勢洞察白皮書02西 湖 論 劍 1 0 周 年 系 列 白 皮 書MSS服務發展背景11網絡安全成為政企數字化轉型的關鍵命題當前世界經濟新舊動能轉換加速，科技競爭日益激烈，各行各業正在全面推動數字化轉型，企圖打造科技創新引領能力，但隨著移動計算、云計算、物聯網、工業互聯網等新興技術的廣泛應用，網絡安全邊界日趨模糊，傳統邊界防御措施面臨失效挑戰。全球范圍內，拒絕服務、數據竊取、釣魚攻擊、網絡勒索等網絡安全重大事件頻發，網絡攻擊已經成為影響政企數字化發展的最大障礙。據美國著名投資咨詢機構 Cybersecurity Ventures 預測，2021年全球因網絡犯罪導致的損失達6萬億美元，幾乎

3、達到世界經濟的10%。國務院發布的中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要進一步強調“加強網絡安全基礎設施建設，強化跨領域網絡安全、信息共享和工作協同，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力”。這勢必強調政企單位的安全建設思路需要從傳統產品模式向解決方案及安全運營模式的業務轉型，特別是“關基”部門更要在安全合規的基礎上進一步落實“三化六防”舉措，常態化開展安全風險管控，構建主動、動態、自適應的彈性防御體系，防范和應對層出不窮的網絡攻擊和數據泄露事件。22實戰化安全需求要求安全能力持續有效從近幾年高強度的網絡攻防實戰演練情況來看，新型攻擊手法、攻擊

4、技術層出不窮，隱秘高效的自動化攻擊也越來越多，以安全合規建設為目標的靜態、被動網絡防御體系往往力不從心。即便實戰演練期間臨時強化了持續的監測和分析等主動防御能力，但由于分布廣泛的短板和缺口，會讓防守人員顧此失彼、應接不暇，仍有可能出現靶場失陷的問題。在當前網絡安全形勢日趨嚴峻和網絡攻防實戰常態化的背景下，從“靜態、基于威脅的保護”轉向“動態，基于風險的防護”模式，開展常態化、體系化、實戰化安全運營服務，構建立體式主動防御體系，常態化開展安全風險檢測，實戰式驗證安全防御能力，通過安全指標度量運營效果，促進安全實戰能力迭代式提升，健全完善安全長效機制，持續筑牢網絡安全防線，護航政企單位數字化轉型與

5、發展。33安全威脅加劇倒逼安全能力迭代提升中國信通院發布2020年網絡安全威脅信息研究報告（2021年）提到：2020年全球失陷主機約有6,431,498臺，國內約有880,607臺，約為全球的1/8左右。從全球范圍來看，攻擊者的主要攻擊對象未產生較大變化，郵件、云服務、VPN、移動設備、IOT設備仍然是受害重災區；攻擊手段上，釣魚、勒索軟件、供應鏈攻擊、利用漏洞、社會工程學等仍是攻擊者的主流選擇。當前網絡安全形勢日趨嚴峻，黑產組織呈規?；?、產業化、專業化方向發展，由過去技術炫耀轉為謀求經濟效益和政治目的，如2019年委內瑞拉電網遭受網絡攻擊導致全國停電、2020年富士康被勒索2.2億、202

6、1年勒索軟件攻擊切斷半個美國的燃油管道、2022年俄烏戰爭中俄羅斯因“關基”遭受網絡攻擊而被迫“自拔網線”，故而安全能力要適配業務發展。為此，政企機構亟需重構企業級安全防護體系來提升防護能力，持續構建和完善以風險為驅動、以對標網絡戰為要求、以運營服務為核心、以產品和技術作為手段、覆蓋IT資產全生命周期的網絡安全運營體系，及時識別安全威脅，快速響應和處置，將安全風險降至可接受的范圍，筑牢安全根基、促進安全發展。44網絡安全人才缺口促進轉向服務外包模式中國網絡安全產業聯盟發布的2021年中國網絡安全產業分析報告顯示，目前我國網絡安全人才市場每年平均需求與供給之比約為2:1，專業人才累計缺口在140

7、萬以上，人才供給存在“青黃不接”的情況。除此之外，有53.88%的網絡安全行業從業者認為當前公司的網絡信息安全人員隊伍規模并不能滿足當前工作需求，主要表現在服務人力資源與能力模型存在雙重缺口，應對新技術、新風險能力不足。故而，網絡安全人才短缺是我國政企難以有效防范和應對互聯網安全威脅的重要原因之一。工信部發布的關于促進網絡安全產業發展的指導意見（征求意見稿）提出指導建議：鼓勵發展面向智慧城市建設、電子政務等領域的網絡安全一體化運營外包服務。參考國外成熟的安全服務外包模式，將網絡安全管理托管第三方專業的安全服務廠商，依托網絡安全廠商的安全專家資源池和豐富的攻防案例知識庫，以較低成本共享安全專家服

8、務能力，緩解網絡安全人才缺口問題，逐步實現安全管理模型由無序化、粗放式向專業化、精細化的蛻變，實現企業網絡安全建設“化繁為簡”，有效應對應對數字化場景下新的安全挑戰。55疫情常態化催生“零接觸”安全服務模式自爆發新型冠狀病毒肺炎（COVID-19）以來，常態化疫情防控機制進一步推進業務上云和遠程辦公，大大地增加了網絡攻擊面，使與疫情有關的網絡安全威脅和利用“新常態”成為主流，造成網絡攻擊事件不降反升，個人信息泄露、勒索攻擊、疫情主題釣魚等網絡安全事件層出不窮，網絡攻擊手段不僅涉及傳統的漏洞利用、木馬入侵、郵件釣魚，更有針對云化業務的API攻擊、賬戶劫持、數據竊密等等。出于疫情防控政策要求，網絡

9、安全人員可能遇到出行受限問題，但持續有效的安全效果的保障離不開人，若無法及時感知安全威脅，安全狀態很難有效掌控，當出現安全事件時更無法快速啟動響應和處置機制?；诖藰I務場景，催生了全程“零接觸”式遠程安全服務，依托第三方網絡安全廠商的云端安全運營中心，建立常態化風險監測和安全管理閉環機制，安全專家開展7*24小時遠程值守，實現持續對抗攻擊和快速響應，管控網絡安全威脅，有效保障生產業務的安全、持續、穩定運行。03安全托管運營服務（MSS）發展態勢洞察白皮書04西 湖 論 劍 1 0 周 年 系 列 白 皮 書MSS服務概述MSS服務概述安全托管運營服務 （Managed Security Ser

10、vices，簡稱MSS服務）通常是指政企用戶為達到降本增效或專注自身業務發展等需要，將部分或全部持續性、專業性較高的網絡安全運營工作托付給第三方網絡安全服務商，由其提供常態化的網絡安全運營工作?；谠苹蜻h程技術的MSS服務通過云端安全運營平臺為政企用戶提供一系列超便利、高效率、低成本的網絡安全服務，有機整合了專家化運營能力、標準化操作流程、智能化運營平臺、場景化運營數據等資源，為用戶提供常態化的覆蓋資產管理、風險檢測、威脅監測、事件處置等服務，與用戶協同構建持續、主動、閉環的網絡安全運營體系，助力實現安全風險可控、安全能力提升、安全價值可視。高級服務核心服務補充服務高級監測和分析技術托管加密

11、威脅情報身份訪問管理Web應用程序掃描Web應用防火墻托管安全信息和事件管理托管安全運營中心SOC分布式拒絕服務攻擊緩解MDR文件完成性測試補丁管理設備運行狀況檢查托管統一威脅管理托管日志審計/管理托管終端，防病毒托管防火墻托管內容安全托管安全漏洞管理入侵檢測與防御系統數據泄漏管理事件/應急響應取證合規安全架構與設計評估 中國智慧城市安全運營中心市場洞察（源自2020 December 2020,IDC#CHC47080020）參考IDC和Gartner對MSS服務的定義，并結合國內安全托管運營服務 市場，國內MSS服務項主要集中在以下幾類：MSS服務適用場景根據國家、區域和行業監管要求，依托

12、第三方的網絡安全運營中心，落實網絡安全監測預警和通報制度，建立健全網絡安全風險評估和應急機制，有效識別和消除安全隱患，落實管理和技術舉措，保障安全策略動態有效性，滿足安全合規要求，依法依規開展安全生產。安全合規建設場景：滿足安全監管要求，降低被通報可能性有意提升網絡安全實戰能力，但受限于IT預算、人員編制、技術水平、運營經驗等因素，難于實現持續性的網絡安全監測和最大程度上發揮網絡安全產品的效能。日常運營保障場景：常態化安全運營，持續性保障業務安全在一些重大節日或重要活動、新品發布等時間節點，按需提供7*24小時遠程網絡安全值守服務，事前查漏補缺、補齊安全短板，事中實時監測、快速研判分析，事后啟

13、動應急、消除事件影響。重大活動保障場景：安全專家遠程值守，助力保障重要時期針對轄區重要網站或信息系統開展常態化安全監測，全息感知網絡安全態勢，結合最新情報快速通報預警，指導用戶防范和管控網絡安全風險，實現網絡安全運營專業化、數字化、精細化，科學決策，精準施政，引導轄區政企單位有序開展網絡安全建設，整體提升轄區網絡攻擊防御能力。網絡安全監管場景：常態化安全監測，協助開展安全監管資產發現與管理服務脆弱性檢測與管理服務威脅監測與管理服務事件響應與管理服務安全資訊與情報服務安 全 設 備 管 理 服 務盤點信息資產清單，明確資產歸屬，消除監管盲區，清理影子資產，收斂互聯網暴露面檢測發現信息資產安全脆弱

14、性問題，評估安全風險，開展安全加固，排查安全隱患7*24開展安全威脅監測，全息感知網絡攻擊態勢，響應和處置網絡安全威脅快速響應安全事件，抑制安全事件發展態勢，溯源攻擊鏈，定位和消除安全風險點，恢復生產業務獲悉最新行業資訊、漏洞情報和事件情報，借助威脅情報有效提升安全分析效率和開展安全決策安全設備及安管平臺狀態監控、策略優化、版本升級、策略升級等05安全托管運營服務（MSS）發展態勢洞察白皮書06西 湖 論 劍 1 0 周 年 系 列 白 皮 書MSS服務發展態勢MSS服務由網絡安全托管運營服務 提供商（MSSP）基于其在云端構建的網絡安全運營中心（SOC），為政企用戶快速擴展安全服務團隊、有效

15、提升自身的網絡安全能力，最大程度上發揮網絡安全產品的效能，實現預期的安全建設效果。MSS服務最早起源于90年代末互聯網剛興起之時，隨著安全技術的創新和發展，如今已經歷了3個發展階段：MSS1.0服務：本階段主題為設備管理和安全合規。一線運營工程師開展安全合規建設及以安全產品（防火墻、入侵檢測與防御等）的配置管理等工作為主，輔助工作為初級安全分析、事件響應等。MSS2.0服務：本階段主題為7x24小時的持續監控和告警響應。初級安全人員與二線專業安全專家共同協作進行。伴隨著人工智能、大數據等技術的發展，該階段的安全運營主要以安全分析、情報、響應、編排的閉環服務為主。例如：利用安全信息與事件管理系統

16、（SIEM）進行日志收集，輸出合規性報告，同時為安全運營中心的分析師調查創建IOC等服務。MSS3.0服務：本階段主題為可管理的威脅監測與響應服務（Managed Detection and Response，簡稱MDR服務）。該階段構建主動安全防御體系，由一線安全運營人員、二線專業安全專家以及三線高級安全專家共同運營。MSS3.0需要安全運營中心實現可管理威脅檢測與響應的進化循環，即安全服務專家運用用戶現有的安全設備、安全平臺能力以及自身經驗來幫助構建完整的覆蓋全網絡安全生命周期的工具、技術、程序和方法，這其中包括對于擴展檢測與響應（XDR）的使用，威脅情報（TI）的整合、安全事件的遠程響應

17、等能力。MSS服務技術發展路線MSS服務價值MSS服務可依托第三方專業網絡安全服務商的安全專家，補充或增強用戶側安全服務團隊，開展常態化、體系化、實戰化安全運營服務，提升網絡攻防對抗能力，其應用價值包括以下三個方面。以較低成本投入快速提升攻防實戰能力：MSS服務按需開通、“即開即用”，較低成本共享云端高階安全專家，構建主動安全防御體系，常態化、體系化開展安全運營服務，快速提升網絡安全實戰能力，滿足國家和監管單位常態化攻防演練和日常網絡攻防實戰要求，提升安全運營能效，體現安全建設價值；持續有效應對不斷升級的安全威脅：由第三方專業的網絡安全廠商常態化開展安全風險監測，全面感知攻擊態勢，補齊安全建設

18、短板，排除網絡安全隱患，適配業務安全需求動態調整安全策略，確保網絡安全能力迭代提升和持續有效；助力滿足趨嚴的安全合規要求：隨著安全監管要求趨嚴，特別是中華人民共和國數據安全法、中華人民共和國個人信息保護法、中華人民共和國密碼法、關鍵信息基礎設施安全保護條例、“等保2.0”等法律法規的落地執行，依托第三方專業安全廠商快速拓展網絡安全團隊，常態化開展安全運營服務，有效管控安全風險，滿足安全監管要求。IDC發布的全球網絡安全服務市場跟蹤2020H1預測，到2024年，全球安全托管運營服務 子市場規模預計達到389億美元，2019-2024年復合增長將達到13%。其中，到2024年，中國安全托管運營服

19、務 子市場規模預計達到5.6億美元，年復合增長將達到17%。相對國外來說，國內MSS服務整體還處于起步發展階段，但近些年伴隨著國內頭部網絡安全廠商及互聯網云安全廠商入局，MSS服務模式逐漸被政企用戶所廣泛接受。IDC最新發布的2021上半年中國IT安全服務市場跟蹤報告顯示：行業級安全運營中心的建設步伐加快、疫情下遠程托管需求的增加、業務上云背景下云托管服務的發展是近兩年中國安全托管運營服務 市場快速發展的主要驅動力。2021上半年，智慧城市運營中心建設類項目、關鍵信息基礎設施相關行業運營中心建設項目、遠程設備托管運營項目的不斷增加推動上半年中國安全托管運營服務 市場實現83%的同比增長，較20

20、19年同比增長74%。MSS服務市場發展分析網絡環境洞察、高級用戶分析、自動響應、預測、取證、事件響應、威助狩豬、第三方風險、零信任、平臺整合托管安全信息和事件管理、新一代防火墻/UTM、終端檢測和響應，威脅情報、高級檢測和分析技術、機器學習/人工智能分析服務、補充服務防病毒、防火墻、IDS、郵件安全、日志管理管理檢測和響應監控7x24持續監控和告警保護/合規/設備管理可視化和執行度安全團隊和技能集簡單 本地托管安全即服務托管安全服務3.0（管理檢測和響應；托管服務供應商；特殊安全服務提供商）Tier 2 Tier 3 Analysts 托管安全服務2.0（托管服務供應商：安全服務提供商）Ti

21、er 1 Tier 2 Analysts 托管安全服務1.0（增值代理商：托管安全服務提供商）Tier 1 Analysts中國智慧城市安全運營中心市場洞察（2020 December 2020,IDC#CHC47080020）$M20192020202120222023202445000400003500030000250002000015000100005000014.00%13.50%13.00%12.50%12.00%11.50%11.00%10.50%10.00%全球托管安全服務市場規模預測MSS Market SizeYoYCAGR中國智慧城市安全運營中心市場洞察（December

22、 2020,IDC#CHC47080020）07安全托管運營服務（MSS）發展態勢洞察白皮書08西 湖 論 劍 1 0 周 年 系 列 白 皮 書MSS服務體系建設，以提供實戰化、體系化、常態化的MSS服務為目標，通過多層級運營團隊、標準化運營流程和專業運營支撐平臺的建設，構建“人員+流程+平臺”三位一體的MSS服務支撐體系，基于IPDRR框架的識別、防護、檢測、響應、恢復五個階段提供MSS服務，協助用戶建設可持續的安全運營能力，持續改進和提高信息安全水平。體系建設MSS服務實踐MSS服務體系MSS服務體系參考NIST Cybersecurity Framework的核心能力框架IPDRR模型

23、，結合政企的安全能力需求以及安全運營最佳實踐，從識別（Identify）、防護（Protect）、檢測（Detect）、響應（Respond）、恢復（Recover）五個維度提供安全運營服務，建設風險識別、安全防護、威脅檢測、應急響應和安全恢復能力，實現事前能對信息資產暴露面風險識別，事中不斷驗證、增強安全邊界防御能力，持續進行安全檢測及時發現安全威脅，事后迅速組織開展安全響應恢復業務的正常運行，從而構建安全閉環運營體系，持續迭代改進和強化提升安全能力。設計思路威脅檢測（D）持續威脅監控安全威脅分析專家威脅狩獵風險識別I安全防護P應急響應R完全恢復R防護階段識別階段恢復階段響應階段迭代優化響應

24、閉環防護強化弱點發現資產梳理暴露面梳理資產臺賬漏洞發現主機安全防護WEB安全防護漏洞修復加固事件研判事件處置證據收集溯源反制數據恢復應用恢復事件復盤策略優化MSS服務框架模型（IPDRR）運營團隊是MSS服務體系的重要組成部分，需要設計合理的人員支撐架構，確保各個單元各司其職、高效輸出，保障MSS服務的效率和質量。MSS服務運營團隊主要由第一梯隊（L1）、第二梯隊（L2）、第三梯隊（L3）組成，L1由安全運營工程師擔任，主要負責日常安全運營工作，包括但不限于資產發現、資產梳理、漏洞掃描、安全監測、安全處置；L2由安全運營專家組成，主要負責向L1提供技術支撐，包括但不限于威脅溯源、分析研判、應急

25、響應；L3由高級安全運營專家組成，主要負責安全研究與賦能，包括但不限于威脅研究、情報收集、威脅建模。運營團隊MSS服務是一個多用戶、多設備、多數據的復雜服務場景，需要一套統一化、標準化、高效化的運營流程，才能有效落地日常MSS服務運營機制?；贛SS服務內容，MSS服務運營流程主要分為資產管理、暴露面管理、漏洞管理、威脅管理、情報運營五類流程，標準化的MSS服務運營流程，不僅規范了服務操作環節、步驟、工具和方法，還能提高MSS服務提供的工作效率，從而保證服務操作的一致性、服務交付的統一性和服務質量的穩定性。運營流程服務的質量和效率不僅和服務的人員和流程有關，和服務工具也有著密不可分的關系。為滿

26、足MSS服務高效、穩定提供的需求，運營平臺主要有服務組件和服務平臺，服務組件部署在用戶本地側，為用戶提供基礎安全防護和威脅檢測能力，包括態勢感知、APT、EDR、WAF等；服務平臺部署在運營中心云端，用于MSS服務運營團隊開展運營工作和服務結果交付，包括MSS服務門戶、運營分析平臺、資產管理平臺、漏洞管理平臺、威脅情報運營平臺等。運營平臺MSS運營資產發現與管理互聯網暴露面梳理漏洞管理威脅檢測與響應精準威脅情報預警服務團隊高級安全運營專家L3 第二梯隊安全運營專家L2 第二梯隊安全運營工程師L1 第一梯隊支撐賦能MSS服務門戶運營分析平臺資產管理平臺漏洞管理平臺威脅情報運營平臺服務平臺態勢感知

27、系統APTEDRWAF服務組件MSS服務體系建設框架09安全托管運營服務（MSS）發展態勢洞察白皮書10西 湖 論 劍 1 0 周 年 系 列 白 皮 書基于攻擊者視角，MSS服務運營團隊通過云端大數據平臺對互聯網暴露面進行稽查,與資產、漏洞關聯梳理暴露面，基于“最大化收斂，最小化暴露”的原則進行暴露面收斂，減少風險的暴露面。周期性地開展互聯網暴露面梳理，動態監控互聯網暴露面變化，及時發現和收斂暴露面，降低網絡攻擊風險。信息收集基于攻擊者視角，收集關鍵字（公司名、公司簡稱等）、根域名、IP段、郵箱后綴等信息，為暴露面稽查提供依據；暴露面稽查通過云端互聯網暴露面掃描工具進行互聯網暴露面掃描，結合

28、資產發現與管理服務、漏洞管理服務的結果，梳理暴露面；暴露面收斂針對暴露面稽查結果，基于防護視角提供暴露面收斂建議，協助通過訪問控制、減少互聯網訪問、關閉高危端口、整改不安全資產、下線非必要資產等手段減少不必要的暴露面，從而降低被入侵可能；暴露面運營由MSS服務運營團隊周期性開展互聯網暴露面稽查、收斂工作，及時發現和收斂互聯網暴露面，最大化降低安全風險?；ヂ摼W暴露面梳理服務漏洞管理是一項持續性的工作，需要專業的人員和工具，開展漏洞從發現到處置閉環的全過程工作，才能構建覆蓋漏洞全生命周期的管理體系，持續不斷降低安全風險。漏洞管理服務從漏洞發現、漏洞分析、修復方案、漏洞處置四個階段進行漏洞閉環管理，

29、結合資產發現與管理服務，周期性開展漏洞管理工作，不斷發現和修復系統、設備、應用中的漏洞，有效降低資產被攻陷的風險，實現漏洞的全生命周期閉環運營。漏洞檢測與管理服務MSS服務內容信息資產發現與管理服務，以建立完善信息資產管理體系為目標。一方面，協助建立和完善資產管理的規章制度，將安全管理責任落實到個人，督促資產管理規范化，提高資產安全管理水平；另一方面，協助梳理信息資產情況，對資產、業務系統、資產責任人進行關聯，形成完整的資產信息臺賬，能清晰了解自身資產現狀和資產分布。同時，通過周期性的資產稽查，監控資產的上線、變更、轉移、下線等狀態，及時更新信息資產臺賬。從而有效管控資產盲區，實現資產統一安全

30、納管和資產風險的可視、可管、可控。資產調研：MSS服務運營團隊開展資產調研，基于現有資產臺賬進行整理，摸清資產家底；資產梳理：梳理現有維護資產信息和調研反饋信息，整合這兩部分信息去除臟數據，形成初期資產信息表；資產發現：通過資產探測工具，對全網資產進行存活狀態、端口開放、服務版本信息等屬性進行掃描，對探測結果進行人工二次校驗核對；資產準入：通過資產發現，實現網絡空間資產測繪，當發現未知資產接入時及時通報預警，核實資產類型、廠商、實例標識等信息再上線；資產建庫：對于準入的資產，通過資產建檔錄入資產管理平臺，建立資產實例檔案，以便后續的對照和引用，并對外提供資產數據服務；變更稽查：通過周期性或者被

31、動的資產畫像，與建立的檔案庫基線對比，識別出資產的變更，如增刪等；資產畫像：通過人工或者自動化的資產主動、被動發現，獲取到資產相關的屬性數據，識別出資產各維度特點。信息資產發現與管理服務資產發現與管理服務主要步驟如下：資產畫像資產梳理資產發現變更稽查資產建庫資產準入資產調研常態化資產運營管理漏洞發現MSS服務運營團隊結合資產發現與管理服務，依托云端漏掃能力和本地部署的掃描引擎，交叉掃描網絡中的核心服務器、重要的網絡設備以及WEB業務系統等資產，評估當前資產安全狀況，繪制資產弱點畫像；漏洞分析針對資產存在的安全漏洞，MSS服務運營團隊通過云端運營平臺基于CVSS影響分、時間因子、資產重要性等多方

32、面因素分析和評估漏洞修復緊急度；修復方案結合漏洞分析結果，進行漏洞修復模擬測試，輸出漏洞修復方案；漏洞處置結合漏洞修復方案進行漏洞修復，并在修復后進行復核，確保漏洞的閉環。11安全托管運營服務（MSS）發展態勢洞察白皮書12西 湖 論 劍 1 0 周 年 系 列 白 皮 書隨著網絡攻擊的規?；?、多樣化、復雜化發展，通過安全設備堆疊的被動防御模式已顯得捉襟見肘，需要7*24小時開展安全監測，主動發現和處置網絡威脅，才能保障系統和網絡的安全。威脅檢測與響應服務，由MSS服務運營團隊通過云端運營分析平臺，利用關聯分析、用戶和實體行為分析技術（UEBA）、威脅情報、威脅狩獵等技術，對安全日志、流量進行

33、采集分析，及時發現安全威脅，并結合遠端/本地的應急響應人員和工具進行主動響應，實現安全事件的閉環運營管理。數據采集通過MSS服務組件采集安全日志、網絡流量、資產信息等安全信息，通過日志預處理、字段補全、智能標簽分類等技術對采集數據進行標準化；威脅監測通過關聯分析、用戶和實體行為分析技術（UEBA）、威脅狩獵等技術，構建7*24小時安全監測體系，及時發現海量數據中的安全風險并預警；威脅分析分析研判組對安全告警進行溯源、分析和研判，將真正高風險攻擊通知用戶與運營響應組；威脅響應應急響應組參考分析研判結果，結合安全處置建議，申請并獲取用戶授權，結合遠端/本地部署的工具對攻擊進行IP封堵、病毒查殺、系

34、統加固等主動響應措施，實現安全威脅閉環。威脅檢測與響應服務如果說了解安全風險是“知己”，那么了解威脅情報就是“知彼”，第一時間威脅情報的獲取是安全運營必不可少的一環。精準威脅情報服務，提供威脅情報預警通知，MSS服務運營團隊對安全漏洞、安全事件等情報進行實時跟蹤，并結合前期調研結果提供針對性的情報預警通知，包括漏洞和事件的介紹、影響范圍、安全建議等情報內容，協助第一時間排查、發現和解除威脅；除此之外，還提供定制化情報推送服務，結合前期調研了解用戶所在行業、關注情報類型等需求，通過威脅情報運營平臺進行個性化威脅情報推送。精準威脅情報服務威脅檢測與響應服務情報類型情報描述事件情報暗網、應急、git

35、hub原始情報等事件類情報資產情報結合暴露面梳理結果，提供資產情報漏洞情報實時跟蹤重要產品、軟件、系統的安全漏洞，結合公開/公益漏洞情報，提供漏洞簡介、影響范圍、安全建議等情報資訊情報提供關注安全資訊清單，包括新政策、規范、法律法規、重要安全事件等業界情報威脅情報通過對APT攻擊事件、APT組織進行分析，梳理攻擊路徑，提供排查方法和失陷指標等情報MSS服務關鍵技術關聯分析是安全威脅檢測的核心技術，首先針對分析對象采集相應的數據，然后研究不同對象間是否存在某種相互依存關系，確定某種關系的存在就是發現網絡攻擊的過程。在安全威脅檢測中，關聯分析主要通過關聯規則實現，包括但不限于特征關聯分析、聚合關聯

36、分析、場景關聯分析、情報關聯分析、資產關聯分析。關聯分析特征關聯分析基于事件中的攻擊特征或攻擊類型進行分類匹配和檢測，篩選明顯的攻擊行為基于不同事件的某個或多個相同屬性進行聚合，包括攻擊類型、攻擊主機、被攻擊主機等，從而判定發現同一安全事件聚合關聯分析基于對不同攻擊場景的研究，進行威脅檢測建模，通過檢測模型和分析數據進行關聯匹配，識別網絡中發生的攻擊場景場景關聯分析通過對威脅情報與事件進行情報碰撞，提高安全事件檢測的準確率和效率情報關聯分析結合資產信息（指紋信息、漏洞信息等）進行關聯分析，篩選對資產的針對性攻擊資產關聯分析13安全托管運營服務（MSS）發展態勢洞察白皮書14西 湖 論 劍 1

37、0 周 年 系 列 白 皮 書用戶實體行為分析（UEBA），通過對用戶數據進行采集和清洗，形成行為數據庫，繪制用戶行為畫像，建設行為模型庫，結合異常行為分析引擎及時發現可疑行為，提高安全威脅檢測能力。UEBA網絡攻擊規?；?、智能化的發展，對安全攻擊的響應效率和質量提出了更高的要求，傳統安全響應手段已難以滿足，為了解決這一難題，安全編排自動化與響應（SOAR）技術應運而生。自2015年Gartner首次提出，SOAR的概念不斷變化，在2017年Gartner對SOAR定義全新升級：SOAR是一種幫助組織能夠收集不同來源與安全相關的風險和告警數據的技術，并且根據標準的工作流幫助明確定義、定優先級、

38、標準化的進行事件響應活動。至今，SOAR的概念和技術已逐漸變得成熟，在MSS中應用能有效解決響應效率低、響應成本高等問題，有效提高MSS服務效率和質量。SOAR行為數據采集通過大數據平臺對終端EDR、應用日志、用戶信息、流量等行為數據進行采集，形成行為數據庫；行為畫像繪制針對行為數據庫，通過統計、規則、機器學習對用戶數據“打標簽”，繪制用戶行為畫像。統計打標簽，基于某個屬性對用戶行為數據進行統計，例如：近7天登錄次數；規則打標簽，基于確定規則進行打標簽，例如：同一賬號登陸次數2；機器學習打標簽，基于用戶的某些特性進行行為預測判斷，例如：根據某個行為判斷是否為正常用戶登錄行為；異常行為分析結合安

39、全現況對海量行為數據的分析，繪制用戶行為基線，一方面，通過異常行為監測引擎實時檢測發現行為偏離，從而發現安全威脅；另一方面，與關聯分析進行互補，增強安全威脅發現能力，提高安全告警準確率。威脅狩獵是由高級的安全運營專家，結合自身安全能力和經驗，基于威脅情報、安全現況等信息，通過威脅狩獵工具進行威脅建模、威脅挖掘、威脅分析、威脅跟蹤等一些列威脅狩獵工作，挖掘發現傳統手段、工具或產品難以發現的安全威脅。威脅狩獵威脅狩獵是由高級的安全運營專家，結合自身安全能力和經驗，基于威脅情報、安全現況等信息，通過威脅狩獵工具進行威脅建模、威脅挖掘、威脅分析、威脅跟蹤等一些列威脅狩獵工作，挖掘發現傳統手段、工具或產

40、品難以發現的安全威脅。威脅狩獵人工狩獵安全運營專家對威脅情報、安全資訊的分析研究，參考ATT&CK并結合用戶情況假設可能存在的威脅，對威脅特征進行分析，通過威脅狩獵工具進行人工深度威脅挖掘；自動狩獵安全運營專家基于對威脅的研究成果，通過威脅狩獵工具構建威脅狩獵模型，通過檢測模型進行自動威脅狩獵。情報生產基于內外部威脅情報兩個維度，通過多渠道采集生產威脅情報，構建威脅情報庫：外部情報，主要來源開源情報、商業情報、社區情報、情報市場等；內部情報，在提供MSS服務過程中產生威脅情報，包括安全事件、惡意IP、域名、文件、釣魚網站、E-MAIL等轉化的威脅情報。情報治理通過對采集的威脅情報進行清洗、過濾

41、、去重、分類、打標簽等情報標準化治理工作，形成標準的威脅情報數據庫。情報利用在MSS服務中，情報利用主要有情報訂閱、情報查詢、情報分析、情報預警。情報訂閱，結合用戶需求，提供威脅情報訂閱服務，不定期推送精準威脅情報；情報查詢，提供情報查詢入口，協助MSS服務運營團隊和用戶進行威脅分析；情報分析，威脅情報在威脅檢測方面的應用主要有關聯分析和威脅狩獵。關聯分析，針對內部威脅情報與外部威脅情報治理結果構建熱情報庫，通過大數據平臺進行實時情報碰撞，精準發現安全威脅并預警；威脅狩獵，由安全運營專家結合對威脅情報的分析研究結果，通過威脅狩獵工具進行狩獵建模，人工或自動挖掘潛在的安全威脅；情報預警，MSS服

42、務運營團隊實時跟蹤安全漏洞、安全事件等情報，一旦發現高危安全漏洞、事件及時預警，通知并提供漏洞詳情、事件詳情、緩解措施等，協助排查、緩解、根除威脅。SOAR告警庫安全編排自動化響應告警通知情報入庫聯動攔截病毒查殺其他動作響應決策響應劇本管理通用劇本劇本編排劇本庫聯動設備管理聯動腳本庫聯動接口管理聯動設備庫自動化響應SOAR引擎事件溯源分析研判攻擊攔截病毒查殺修復加固響應處置運營專家響應自動響應升級響應關聯關聯15安全托管運營服務（MSS）發展態勢洞察白皮書16西 湖 論 劍 1 0 周 年 系 列 白 皮 書在用戶側部署內網資產發現引擎、漏洞管理引擎、大數據智能安全分析引擎以及本地安全運營模塊

43、，然后將云端安全運營中心與本地安全運營模塊打通，使得本地安全運營模塊可以直接使用云端的安全能力，并且可以讓云端的安全專家通過安全通道到本地安全運營模塊上進行安全運營，保障高校的安全數據即不出網又能達到高效安全運營效果。整個方案以資產為核心，圍繞漏洞管理和事件管理為關鍵流程建立實時資產風險模型，云端專家通過云端安全能力+本地安全能力+標準化流程，進行資產梳理、漏洞管理、事件分析、預警管理和應急響應等工作。如下圖所示：解決方案行業應用案例教育行業案例隨著高校信息化建設深入，在給學校招生、教學、辦公、科研等提供全面信息化支持的同時所面臨的信息安全管理挑戰也更加嚴峻。特別是網絡安全法、教育信息化2.0

44、行動計劃等法律法規實施以來，教育行業面臨的信息安全合規和監管壓力逐步增大，特別是高校用戶，他們存在以下安全痛點：需求側痛點安全監管壓力對外網站/業務安全問題多，經常被公安、網信、教育部/教育廳通報。各主管部門持續保持整治虛擬貨幣“挖礦”的高壓態勢。匯報難、考核排名不高定期需要做網絡安全工作匯報，缺乏數據、缺系統。高校年度安全考核排名不高，影響組織績效。安全沒有成為組織共同責任發現安全問題后，非信息中心的人認為不是他們的責任，配合積極性不高。與教育部/廳缺乏數據互通平臺被上級通報后，通報結果不方便下發到最終責任人進行整改，且整改進度不方便跟蹤。資產和漏洞管理困難缺乏好的資產臺賬，資產數量多且不清

45、，資產責任不清。同時無法感知資產變化，更新慢。漏洞是否準確，不如如何修復，不知如何復測，漏洞修復不知如何分優先級。資產責任人消極對應漏洞整改。缺常態化流程和人員新資產上線安全檢查、風險自查、漏洞整改、風險上報、安全考核等缺乏常態化流程和支撐平臺。信息中心需要定期匯報網絡安全工作，缺數據，缺報表。難以體現工作價值。缺人，往往1位老師身兼多職，而網絡安全工作耗時耗力。云端安全運營中心資產發現流程漏洞管理流程威脅檢測流程應急響應流程情報預警流程流程L1（現場/遠程服務）L2（遠程專家支撐）L3（研究賦能）人員互聯網資產測繪互聯網漏洞掃描工單管理威脅情報運營管理運營服務支撐平臺技術客戶和本地安全服務人

46、員（或有）多廠商漏掃用戶側 安全接入模塊（隧道+審計）告警器模塊VPN堡壘機本地安全運營模塊資產發現與管理流程漏洞通報流程事件管理流程資產發現漏洞掃描事件關聯資產導入漏洞通報本地處置資產管理漏洞管理云端處置AiLPHAAPTEDR第三方安全產品NGFWNTA高校托管安全服務框架圖XDRSOAR人員流程技術需建設安全運營團隊，且需滿足以下條件：能進行7*24小時運作至少配備L1、L2團隊以應對不同難度的安全問題運營專家要求，具備威脅建模、威脅分析、應急響應、情報分析等安全能力需建設打磨一套標準化、體系化和高可用的運營流程：資產管理流程威脅發現到響應閉環流程情報運營流程運營關鍵考核指標安全運營工作

47、的開展需具備配套的平臺、工具和技術，主要有：威脅監測分析平臺資產管理平臺漏洞管理平臺情報運營平臺安全運營體系建設17安全托管運營服務（MSS）發展態勢洞察白皮書18西 湖 論 劍 1 0 周 年 系 列 白 皮 書可見收益監管范圍內的資產底數不清晰；監管范圍內資產涉及范圍大，做完一次全域內的掃描需要時間較長，有時甚至超過1個月，掃描效率無法保障；漏洞掃描產品掃描出來的結果準確度不夠，人工審核又缺乏足夠資源；傳統的安全事件通報預警方式時效性差。監管部門案例監管部門用戶聚焦本區域網絡安全監測預警、整體防護、協同監管、應急指揮等核心工作，通過構建全域感知、規范保障制度等舉措，構建“云、網、端、數據、

48、應用、行為”六個維度全覆蓋的一體化全鏈路監測預警、聯動防護、協同處置的網絡安全監管體系。在安全監測預警工作中，用戶存在以下安全痛點：需求側痛點互聯網暴露的資產不清晰，數據泄露問題頻發；高級持續性威脅攻擊頻發，但是缺乏相應檢測和處置手段；勒索病毒和挖礦病毒頻發，缺乏相應的監測預警和規范化處置流程。數字化轉型企業案例數字化在企業發展中，起到了至關重要的作用，其中數字化基礎設施、數字化系統、數字化辦公場景以及企業數據本身，是支撐數字化轉型的重要基礎。數字化轉型促進企業發展的同時也給企業帶來了新的安全風險，用戶存在以下安全痛點：需求側痛點通過云端互聯網資產測繪、本地資產發現引擎、互聯網暴露面檢測能力結

49、合云端專家幫助用戶進行統一的資產發現和管理，資產類型包含但不限于子域名、IP段、服務、郵箱信息、敏感信息、網盤、文檔、App資產、微信公眾號、企業組織、暗網資產等敏感信息。然后通過云端漏洞掃描、本地漏洞管理引擎、結合云端專家和漏洞管理流程的使用，幫助用戶構建全面完整的漏洞管理機制，及時幫助客戶進行漏洞整改，服務期間極大降低發生勒索病毒攻擊事件概率。同時部署EDR和NTA產品，采集主機端和網絡流側的安全日志，將安全告警數據實時發送到云端安全運營中心進行分析研判。云端安全專家團隊以標準化管理流程和工具對安全告警數據集中研判、快速預警、統一指揮、緊急處置等，實現用戶網絡安全事件的事前預警、事中監控、

50、事后響應。解決方案通過云端互聯網資產測繪+本地資產發現引擎的能力結合云端專家分析，幫助用戶新發現大量IT資產，資產類型包含但不限于子域名資產、Web資產、IP資產和雙非資產等；實時對資產信息進行監控，定期自動更新，解決以前資產多、難管理、責任不清晰的問題；通過云端漏洞掃描、云端互聯網暴露面檢測、本地多廠商的漏洞管理引擎并結合云端專家和漏洞管理流程的使用，幫助構建完善漏洞管理機制，實現了通報漏洞準、漏洞發現全、漏洞發現快和漏洞閉環快的效果。漏洞從發現到處置完成閉環的時長縮減50%以上；通過大數據安全分析模塊接入用戶側安全設備的告警和全流量數據，通過大數據智能分析，并結合云端積累的安全事件實例（U

51、serCase）和精準威脅情報，使得安全事件發生后云端的安全專家就遠程到本地安全運營模塊進行了響應和處置，安全事件從發現事件到解決由之前的數天級別提升到了分鐘級別；云端專家7*24主動安全運營，讓用戶擺脫被動式應急響應的工作狀態，使得安全運營工作常態化和標準化，讓用戶聚焦到校園核心業務工作中。促進安全責任共擔，通過內部通報流程、內部安全考核排名和數據展現等讓除信息中心之外的人一起參加進來，共同建設學校網絡安全?？梢娛找嬖贫说陌踩珜＜彝ㄟ^7*24實時的安全日志分析和研判，在服務期內幫助用戶發現APT事件并進行響應處置；挖礦病毒的處置時間由數天級別縮短到分鐘級，企業的數據中心算力利用率提升30%以

52、上；服務期間未發生病毒感染事件，極大降低發生勒索病毒攻擊事件概率。云安全運營中心資產發現流程漏洞管理流程威脅檢測流程應急響應流程情報預警流程流程L1（現場/遠程服務）L2（遠程專家支撐）L3（研究賦能）人員互聯網資產測繪互聯網漏洞掃描工單管理威脅情報運營管理運營服務支撐平臺技術客戶和本地安全服務人員（或有）多廠商漏掃客戶側VPN告警觸發器資產掃描引擎漏洞掃描引擎AiLPHAAPTEDR第三方安全產品NGFWNTA企業托管安全服務框架圖標準版-安全運營一體機（軟件）19安全托管運營服務（MSS）發展態勢洞察白皮書20西 湖 論 劍 1 0 周 年 系 列 白 皮 書當下，在網絡安全形勢日趨嚴峻和

53、網絡攻防實戰常態化的背景下，傳統單純的產品與人力堆砌的安全建設模型已經難以應對網絡攻防實戰常態化挑戰，傳統的“清單式”服務指標難量化，周期過程已經難以匹配云時代、數字時代的應用生命周期。托管式安全運營服務在這樣的背景中應運而生，通過“人（本地安全技術人員和云端安全專家的協同）+流程（標準化安全運營流程）+技術（本地安全產品和云端安全能力的結合）”提供高質效的專業安全運營服務。展望未來，網絡安全形式嚴峻的趨勢不會改變，未來會有越來越多的數字化轉型行業企業等逐漸接受托管式安全運營服務理念。隨著數字經濟體量的不斷增加，數字經濟的各個生產環節分工還會進一步細化，需求側將更加聚焦到自身核心業務發展和安全

54、管理，而將部分非自身擅長的安全工作托管給專業安全廠商進行能力補齊和體系完善。通過云端漏洞掃描引擎和本地漏洞掃描引擎快速掃描全域所監管的所有重要信息基礎設施，輸出自動化漏洞掃描結果。云端安全運營專家對自動化漏洞掃描結果進行人工驗證，再將驗證后的確認漏洞結果與被監管資產通過漏洞管理平臺進行統一關聯、展示與追蹤，使得用戶可有效追蹤資產漏洞狀態，實現用戶對被監管資產漏洞信息的全生命周期管理。最后用戶可通過短信、釘釘等工具，實現漏洞等安全事件的實時通報預警。解決方案可見收益資產發現與漏洞管理服務期間發現的所有安全事件均通過專家驗證，協助用戶通報給相關被監管單位，同時協助用戶進行專業漏洞修復指導和復測，完成99%安全問題閉環；以漏洞托管服務直接提供驗證后確定存在的漏洞信息，無需用戶側重復驗證漏洞審核，大幅提升處理效率。且對高危緊急漏洞可取證截圖，使用戶下發通報更加直觀；通過云端集群化的漏洞掃描引擎結合本地集群化的漏洞掃描引擎提升；漏洞掃描效率，完成一次全域資產測繪和漏洞掃描的任務只需數天時間。漏洞通報時效性提升，漏洞通報所需時長由之前的數天級縮短至現在的分鐘級。漏洞發現漏洞處置漏洞分析修復方案漏洞閉環管理系統漏洞掃描 Web漏洞掃描漏洞庫更新漏洞情報協助修復執行復核復核確認總結匯報漏洞信息獲取多因子關聯修復優先級評定漏洞修復建議修復方案制定修復風險評估修復測試修復方案優化總結與展望