深信服眼中的安全运营 | 国君计算机

（以下内容从国泰君安《深信服眼中的安全运营 | 国君计算机》研报附件原文摘录）
　　This browser does not support music or audio playback. Please play it in Weixin or another browser. 流浪在风中 音乐： 叶欢 - 珍惜我所有的感受 过去深信服主要通过海量数据、大量工具和专家团队去构建SOC安全运营平台。深信服打造了很多以 NDR 技术为核心的态势感知类的平台和工具，配合以 SIM 技术为基础的SOC安全运营平台，以及网络侧的检测响应组件，收集大量安全日志，通过专家队伍进行安全分析，通过流程编排构建安全运营中心。 人在安全运营中主要承担决策、设计、分析和执行工作。安全运营专家的工作大体分为几个方面，一个是关于安全战略的设定、安全制度的建设、安全流程的设计和安全绩效考评的设计，主要由安全运营负责人、CIO 去承担和落实。一个是日常的安全的威胁分析、调查狩猎、事件响应等分析和执行类的工作，一般由高阶的安全专家落地。 内外施压，安全运营步履维艰。随着攻防趋势的演进，安全运营面临巨大挑战；随着实战演习的不断应用，包括红蓝对抗、省市级甚至国家级的安全演习活动，暴露出来很多安全问题。同时，黑灰产安全事件愈演愈烈，让我们发现这套安全体运营体系还是有大量的安全问题，也很难从海量告警中发现问题。同时，我们内部的企业管理层也对安全运营发起拷问，亟需做好威胁检测和风险管控。面临外部和内部的双重压力，深信服安全运营步履维艰。 具体挑战主要集中在四个方面。第一，资产家底难以摸清。随着数字化转型的加快，很多业务部门的资产采购并没有纳入管理流程，产生了IT管理中的大量影子资产，形成安全管理盲区。 第二，海量漏洞难以全部修复。海量漏洞无法区分优先级，难以识别真正需要处理和容易被黑客利用的漏洞。尽管公司采购了大量的脆弱性发现设备，如漏洞扫描、极限核查等等，但由于漏洞数量非常多，业务部门需要花费大量的时间去修复漏洞，这些漏洞的修复也会引发潜在的稳定性风险，大量的漏洞需要修改也会造成安全部门和业务部门之间的冲突。 第三，威胁看不清，难以溯源。在威胁方面，有大量的安全日志进来了，检测到入侵行为但生成了弱告警，淹没在海量告警和安全日志中，在真正遇到安全威胁时难以调查清楚并溯源。 最后，高阶专家稀缺。专家是安全效果的天花板，但专家往往是组织的短板。 每一次技术革命都会带来社会效益的大幅提升。在网络安全领域，深信服综合过去的研究、实践以及对国际新技术趋势的研究和应用，积极创新，让安全运营工作迈向新时代，大幅提升安全运营工作的效率。主要带来以下技术变革： 通过技术手段简化专家工作，迈向安全运营人机协同时代。过去以 SIM 技术为底座，收集大量的二手数据，依靠人工专家建模、分析，逐步演化到以 XDR 技术为基座，定向采集一手的遥测数据。过去大量的依赖人，依赖专家去做的事情，通过技术方式进行简化和自动化，安全运营有望从 1. 0 以人为主的时代进入2. 0人机协同的智能时代。 通过技术红利释放人的精力，通过技术成果提升安全效果和效率。主要有以下几方面技术：XDR技术帮助实现威胁分析、调查狩猎；SOAR技术提供安全事件响应和安全编排，大幅提升安全响应和安全协同能力；ASM技术从攻击者视角观察组织内的脆弱性，能够更加有针对性地实现合理排序；MDR技术实现服务交付形式的变化。过去组织内专家资源有限，现在可以通过MDR和MS4类的乙方公司提供的云端服务，实现 7 * 24 小时的安全值守，解决组织内专家资源紧缺的问题。通过GPT技术也能够大幅提升安全检测、安全研判、安全事件的调查等方面的效率。所有这些技术都建立在遥测数据的基础之上。 数据的核心不在于数量，而在于质量。过去的重点在把网络侧、终端侧、应用侧等大量数据收集汇总，结合工具进行专家的自定义分析，但比较低效。在实战化的场景之下，数据最重要的不在于数量，而是质量，要解决的问题是安全威胁和安全实战攻防，需要基于实战攻防场景，进行定向采集数据。 用更好的检测框架，来平衡安全的效果与效率。深信服结合过去多年的安全运营和实战对抗经验，及国际上Meta Tech知识框架。结合不同场景下的不同攻击手法，定向采集网络侧、主机侧的遥测数据，更好地进行威胁分析，包括资产的梳理、催弱性的梳理，采集资产数据，包括端口、指纹、运行进程、注册表、服务等信息，从而更好地进行资产清点、脆弱性的梳理及安全威胁检测和响应。有了更好的数据质量作为基础，才能更好地进行安全建设和安全运营。 有了一定数据基础后需要做威胁检测，但威胁发现能力的提升往往伴随着大量告警，需要在检出、误报和工作量之间取得平衡。过去通常依靠好的引擎、模型和算法等，如今解决问题的方式是用更好的检测框架。在遥测数据的基础之上，考虑到很多客户现网已经有了资产和安全日志的数据，可以将这些数据接入XDR平台，并进行一定的映射、孵化和应用，从而保护用户的安全投资。 完成数据接入治理后，结合以白鉴黑的、场景化自定义的方式，通过威胁检测引擎进行低级的威胁发现。主要通过渐黑、渐白和自定义规则这几种模式：鉴黑主要是基于特征的、基于规则的，从内容维度和行为维度去鉴定一个payload在网络侧和终端侧的异常。以白鉴黑的方式，就是通过主机的网络侧基线判断行为的合理性。同时也可以根据用户制定不同场景下的规则，如特定的人员在特定的时间段，其访问关系和权限是不同的。由于我们知道整个的网络里面核心资产的网络结构、防控关系、人员权限，就可以基于非对称优势，来构建针对攻击方的新的检测机制。 通过二级告警聚合引擎，大幅增加告警研判效率。在第二级产生大量告警，通过消减、归并、攻击结果识别、告警定性不同方式，对告警进行层层过滤和筛选，大幅增加告警研判的效率。同时，针对筛选和聚合过之后的告警，挑选出我们其中攻击成功类的事件进行网端还原和深入调查，对事件进行定性提取出威胁实体。再进入安全响应环节。 通过三级事件还原引擎，结合网端数据还原安全事件并深入调查。通过遥测数据的采集和现网数据的应用，进行数据的基础治理。完成了数据的基础治理工作之后，再从黑、白和场景化的方面去进行多级的检测，通过告警的融合、消减和归并等不同方式，将告警进行层层筛选和过滤，从而降低到合理水平，大幅提升告警研判的效率。同时，针对攻击成功的事件，结合网端数据还原成安全事件并进行调查，从而平衡安全效果和安全运营效率。 在检测框架的基础之上，威胁运营也存在分层分级落地的情况。第一级，在日常运营时需更加关注攻击成功的事件，并快速处理已发生的事件。第二级，在发现这些事件后，做好前置告警和对抗工作。 通过分层分级的威胁运营，逐步实现安全运营自动驾驶。运营拥有一定成熟度后，客户也会有进一步的诉求，去发现异常的信号和线索，结合自己的攻防知识和对业务场景的理解，自定义监控和狩猎的规则，进行深度的威胁狩猎。通过前面的数据基础和检测框架，帮助客户实现从事件运营、告警运营到自定义监控和狩猎的逐级提升，也帮助我们实现了安全运营成熟度的提升。 通过分层分级的威胁运营，逐步实现安全运营自动驾驶。在威胁狩猎结束之后，进行攻击链排查、时间线分析、影响面入口点调查，再通过不同的剧本按照不同的流程去联动不同的设备和人员，进行相应动作的处理。 针对具体威胁，通过安全编排与自动化相应SOAR，根据不同的事件类型、不同的资产范围、不同的时间、不同的风险等级进行落地。对于不同类型的事件，按照不同的剧本和不同的流程进行处理，在剧本中设定好对于安全事件的分析流程，包括研判、决策人员、不同节点具体联动的安全设备的分配。通过剧本化的流程和工单，把组织里面的人员和设备协同起来，沉淀出针对不同事件的固定化处置预案，从而大幅提高常见事件的响应效率。 基于碎片化资产信息融合，构建完善的资产治理机制，实现业务有名称、资产定位到人。在碎片化资产整合方面，通过资产管理平台、CMDB、运维系统、终端管理平台、网络管理平台，将资产数据、指纹信息、身份信息汇集到一起，再结合网络侧和终端侧主被动的资产识别技术，与客户侧的资产入库和退库的管理流程，实现资产的全生命周期管理。同时，在特定场景如DHCP、DNS代理等具体场景之下，通过技术手段实现在这些场景下的人机对应，从而实现资产与具体业务责任人的关联，便于推进下一步的工作。通过这样的方式实现碎片化资产数据的融合，形成准确的资产台账，实现不同场景下的资产定位到人，为我们的安全运营工作打下坚实基础。 脆弱性方面，利用ASM技术实现基于攻击视角的资产和漏洞管理，从乱到治，从广撒网到高聚焦。大量的漏洞信息往往会超出我们的处理能力，需要更合理的分析和排序方法。除了对脆弱性进行分类分级，还可以结合资产重要性、脆弱性本身和漏洞的可触达性进行综合分析。越容易触达到，修复优先级也就更高。如在内网的隔离措施，攻击者一般触及不到，其修复优先级就可以更低。安全事件还有可能通过内部漏洞发生。综合以上维度的信息，以攻击者视角判断脆弱性的优先级，才能真正聚焦到对企业能够产生危害的风险上去。 大模型技术的发展让复杂的分析研判大众化成为可能。深信服对AI的研究和落地比较早，从以前的流量侧场景化的AI算法和检测模型，到后面SIP引擎在文件侧的检测的应用，已经积累了很多关于攻防场景的数据和知识。结合深信服在安全领域的数据和语料，利用GPT技术在安全领域也取得了进展。一是帮助提升安全检出的能力，同时并不会大幅提升误报率。另外，还能弥补细分领域安全专家的缺失。通过GPT大语言模型的理解能力，可以对安全payload和安全事件的告警进行进一步的研判和解读，大幅降低用户的使用门槛，让复杂的分析研判变得更加简单。 MDR帮助用户拓展安全运营时间边界，释放运营压力。在安全运营中，人的精力是有限的，但MDR的精力是无限的。人无法与黑客进行持续的对抗，而且现在很多黑客会选择在夜间进行攻击，让人难以做出及时地分析和响应。这时通过在线的MDR和MSS服务，那通过云端专家帮助你去监控、分析、研判和处置，将云端专家的资源嵌入和协同到安全运营流程中去，帮助用户实现7 * 24小时全天候的专家职守和保障。通过这样的方式，帮助用户延展安全运营的时间边界，释放特殊时期的运营压力。 安全运营从资产的脆弱性到威胁的检测和响应，是一个动态的过程。以整个数据网络端侧和身份侧的数据为例，其传输到平台进行数据标准化之后，还需要进行多级的威胁检测、研判、狩猎，再产生具体的安全事件响应，这是一个动态的过程。 运营的过程需要进一步做规则和模型的优化。针对告警，需要采集和收集更多的数据，针对事件进行分析，了解威胁实体和攻击入口，进一步收缩攻击面，在前置的安全防御设备上进行加固。 通过动态过程的各环节的知识沉淀，实现从个人能力到组织能力的提升。通过这样的机制，可以将专家的经验和知识沉淀到数据治理、规则、模型、分析运营流程、处置响应剧本上，再不断收缩暴露面去进行安全策略的加固，不断把专家的知识和经验沉淀在组织之上，从而提升安全运营的成熟度，实现从个人能力到组织能力的提升。 采用领先组件、打造开放平台、嵌入云地服务是实现安全运营新范式的最优途径。在原始的数据层面，需要更高质量的数据，而不只是更多的数据。在技术层面，需要从过去的以SIM技术为核心转向XDR、SOAR、ASM结合 GPT技术进行安全分析、研判、响应处置。在服务层面，从驻场服务转向7*24h的MDR云地协同响应服务。我们需要重新思考安全建设，思考每个组件在安全体系中扮演的角色，打造更加开放的平台，提升可持续发展能力。 这套安全运营新范式里，XDR技术是不可或缺的新生力量。深信服在技术领域深耕多年，并与多家权威机构技术研究机构合作，在今年 3 月份与信通院联合发布了 XDR 技术及行业发展研究报告，与FreeBuff 联合发布XDR技术发展现状及应用研究报告，站在全球视野进行深入洞察。 合规声明：本文节选自深信服安全运营发布会内容，如需全文请后台留言。 - end - 欢迎加入产业交流群！ 欢迎所有对计算机产业研究和投资感兴趣的盆友（包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等）后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架，提高整个A股的IT行业研究水平，减少韭菜数量，普度众生。 网络安全相关报告 1. 为什么网络安全公司很难把渠道做好？| 产业调研 2. 甲方怎么看网络安全行业？| 产业调研 3. 海外网络安全和云计算大厂发展趋势（百页PPT） 4. 专家眼中疫情对网络安全行业的影响 | 产业调研 5. 网络安全公司的渠道战争已经打响 6. 为什么教育和医疗行业未来两年是网安公司必争之地？| 产业调研 7. 从网安龙头公司看渠道建设细节 | 产业调研 8. 一文读懂城市安全运营 | 产业调研 9. 读完此文，你还觉得启明星辰佛系吗？ 10. 安恒信息：我们心目中的未来大白马 11. 安恒信息：高质量的高增长，难能可贵 12. 绿盟科技：有一种上车机会叫低于预期（深度） 13. 态势感知行业还能高速增长多久？ 14. 南洋股份：防火墙之王，战略股东引发质变 15. 中国网络安全行业细分领域IDC数据大汇总 16.网络安全产品从入门到精通 17.海外专题：寻找中国网络安全公司中的Palo Alto（深度） 18. 奇安信基本面及虎符生态战略解密（30页PPT） 19. 迪普科技：中国应用交付产业的希望（深度） 20. 为什么网络安全公司纷纷布局EDR（深度） 21. 奇安信：六年磨剑，登顶江湖（深度） 22. Zscaler：云安全服务与接入领头羊（30页PPT） 23. Okta：身份认证独角兽（深度） 24.产业调研：寻找中国OKTA 25.深信服：SASE蓝海中的耀眼新星（深度） 26.奇安信：高增长的背后，探究网安龙头的成长密码（深度） 27.如何理解深信服的核心竞争力？ 28.如何研究一家网络安全公司？ 29.拥抱网络安全的小波段和大时代 30.奇安信：创新业务实力强大，助推公司成为全球网安龙头（深度） 31.产业调研：飞塔是个神奇的公司 32.产业调研：海外专家怎么看云计算和网络安全？ 33.数据安全法带来的一些变化 34.产业调研：等保测评升级，网安行业需求大提升 35.产业调研：甲方视角下的网安行业边际变化 36.产业调研：解密传说中的长亭科技 37.亚信安全：懂网又懂云的网络安全公司（60页PPT） 38.从奇安信中报看新赛道布局的重要性 39. 《个人信息保护法》落地，网安行业变天了 40. 绿盟科技：励精图治，继往开来（深度） 41. 网安公司三季报分化之谜 42. 深信服：重构防火墙，用意深远 43. 读完Fortinet三季报，我对网安行业又有了信心 44. Palantir：野心贼大，想做世界的创新引擎 45. 从Crowdstrike看中国网安公司发展方向 46. 为什么中国没有真正的云安全公司？ 47. 产业调研：传统网络安全公司面临的困境——温水煮青蛙 48. 产业调研：数据安全吹得很热，未来如何落地？ 49. 产业调研：威努特董事长谈工控安全 50. 产业调研：再论数据安全 51. 绿盟科技：业绩预告验证景气度，网安行业不悲观 52. 山石网科：防火墙龙头，销售端发力助推高增长（深度） 53. 纬德信息：电力信息安全小巨人（深度） 54. 安恒信息：数据安全领头羊（深度） 55. 产业调研：HW具体怎么做？ 56. 天融信：国内防火墙龙头，创新业务高增长（深度） 57. 产业调研：网络安全运营中心如何建设？ 58. 产业调研：网络安全行业如何做信创？ 59. 产业调研：深信服SASE3.0要做什么？ 60. 产业调研：奇安信研发平台详解 61. 产业调研：深信服产品理念越来越像PaloAlto 62. 深信服股价见底了吗？ 63. 产业调研：深信服如何应对居家办公带来的IT需求？ 64. 产业调研：从销售视角观察，2022年网络安全行业景气度到底行不行？ 65. 安恒信息：研究框架（200页PPT） 66. 产业调研：数据安全一线专家眼中的市场 67. 全世界都在等奇安信盈利 68. 产业调研：网络安全行业有哪些新变化？ 69. 数据安全管理已经深入至工业领域 70. 商用密码行业未来三年景气度如何？ 71. 产业调研：工业数据安全的发展前景 72. 安博通：网安行业景气度修复，上游厂商最先受益（深度） 73. 云涌科技：电力信息安全头部厂商（深度） 74. 威胁情报：对网安公司来说越来越重要（深度） 75. 奇安信的几个新变化 76. 奇安信Q-GPT安全机器人和大模型卫士详解 77. 安恒信息恒脑·安全垂域大模型详解 法律声明 本公众订阅号(计算机文艺复兴)为国泰君安证券研究所计算机研究团队依法设立并运营的微信公众订阅号。本团队负责人李沐华具备证券投资咨询（分析师）执业资格，资格证书编号为S0880519080009。本订阅号不是国泰君安证券研究报告发布平台。本订阅号所载内容均来自于国泰君安证券研究所已正式发布的研究报告，如需了解详细的证券研究信息，请具体参见国泰君安证券研究所发布的完整报告。本订阅号推送的信息仅限完整报告发布当日有效，发布日后推送的信息受限于相关因素的更新而不再准确或者失效的，本订阅号不承担更新推送信息或另行通知义务，后续更新信息以国泰君安证券研究所正式发布的研究报告为准。本订阅号所载内容仅面向国泰君安证券研究服务签约客户。因本资料暂时无法设置访问限制，根据《证券期货投资者适当性管理办法》的要求，若您并非国泰君安证券研究服务签约客户，为控制投资风险，还请取消关注，请勿订阅、接收或使用本订阅号中的任何信息。如有不便，敬请谅解。市场有风险，投资需谨慎。在任何情况下，本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前，如有需要，投资者务必向专业人士咨询并谨慎决策。国泰君安证券及本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容版权仅为国泰君安证券所有。任何机构和个人未经书面许可不得以任何形式翻版、复制、转载、刊登、发表、篡改或者引用，如因侵权行为给国泰君安证券研究所造成任何直接或间接的损失，国泰君安证券研究所保留追究一切法律责任的权利。

点此查看微信公众号原文全部内容>>

大部分微信公众号研报本站已有pdf详细完整版：https://www.wkzk.com/report/（可搜索研报标题关键词或机构名称查询原报告）