安全運(yùn)營服務(wù)——服務(wù)流程

以WebShell后門攻擊事件為例，深信服MSS運(yùn)營中心監(jiān)測到用戶內(nèi)網(wǎng)工資查詢系統(tǒng)遭到WebShell后門攻擊，平臺自動推送工單告警；MSS運(yùn)營中心的安全立即對攻擊進(jìn)行驗證并主動聯(lián)系用戶，對該攻擊事件作出包含隔離主機(jī)、定位威脅路徑、查殺惡意文件、溯源加固等處置動作。處置全程時間不超過2個小時，有效化解用戶業(yè)務(wù)系統(tǒng)發(fā)生更大面積安全事件的危機(jī)。

安全運(yùn)營服務(wù)——安全運(yùn)營給安全企業(yè)帶來新的生機(jī)

安全運(yùn)營對網(wǎng)絡(luò)安全企業(yè)來說，意義更是非同尋常。這兩年，許多安全廠商像啟明星辰、奇安信、綠盟等紛紛組建安全運(yùn)營中心，把它作為業(yè)務(wù)突破的新抓手，有的甚至把它列為戰(zhàn)略級核心業(yè)務(wù)。這與很多國際廠商在全球范圍投入安全運(yùn)營中心業(yè)務(wù)，有著異曲同工的關(guān)聯(lián)。

鄭建華院士近期在一次會議上提出，要解決行業(yè)防護(hù)工作分割的狀況，有必要建立國家安全隊伍或企業(yè)，用以代管行業(yè)的安全需求。有國外國際研究報告認(rèn)為，安全運(yùn)營的主要載體，威脅監(jiān)測與主動響應(yīng)服務(wù)將會成為中國具有吸引力的安全服務(wù)。Gartner預(yù)測，到2019年安全外包服務(wù)開銷會大幅增長。技術(shù)和資源的缺乏，加之威脅復(fù)雜度的增加與IT安全人才的短缺，將促使企業(yè)用戶尋找由安全提供商、電信運(yùn)營商或其他供應(yīng)商外部托管的自動化安全服務(wù)。尤其是在中端市場，對中小企業(yè)而言更是如此。IDC的預(yù)測則顯示，隨著托管安全服務(wù)繼續(xù)朝著托管檢測和響應(yīng)的方向發(fā)展，市場范圍將繼續(xù)擴(kuò)大。到2024年，70％的托管安全服務(wù)客戶將采用威脅生命周期服務(wù)，與2019年的20%相比明顯增加。國內(nèi)一些安全企業(yè)的看法是，安全運(yùn)營在安全市場空間占比未來會接近一半，預(yù)計可達(dá)上千億元規(guī)模。

安全運(yùn)營服務(wù)系統(tǒng)的組成

蜜罐系統(tǒng)

誘捕惡意攻擊行為，可先發(fā)制人，也可虛晃一招，擾亂攻擊者視線，拖延攻擊者攻擊時間甚至可獲取攻擊者攻擊手段，從而保護(hù)真實網(wǎng)絡(luò)。

全流量取證系統(tǒng)

基于網(wǎng)絡(luò)流量數(shù)據(jù)的存儲和檢索，提供相關(guān)網(wǎng)絡(luò)安全事件的事后審計能力，能完整真實的還原網(wǎng)絡(luò)安全事件的原始場景，滿足合規(guī)性和網(wǎng)絡(luò)安全事件分析的需求。

威脅分析系統(tǒng)

憑借自身的檢測優(yōu)勢，利用支持雙向匹配的特征檢測、支持多分析場景的流檢測和基于沙箱檢測技術(shù)的文件檢測，除發(fā)現(xiàn)一般攻擊以外，利用威脅分析能力，結(jié)合ATT&CK模型、威脅情報、資產(chǎn)管理等能力，還能夠針對有效分析場景和APT攻擊進(jìn)行進(jìn)一步分析與研判。

EDR終端檢測響應(yīng)系統(tǒng)

通過算法來分析系統(tǒng)上單個用戶終端的行為，允許它記住和連接他們的活動。數(shù)據(jù)會立即被過濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。

安全運(yùn)營指揮平臺

配備運(yùn)營中心分析人員，進(jìn)行多方位統(tǒng)籌工作。聯(lián)動以上各個設(shè)備數(shù)據(jù)，進(jìn)行下一步應(yīng)急響應(yīng)處置工作，實現(xiàn)威脅早發(fā)現(xiàn)、快阻斷、回溯全等功能。在特殊時期，通過數(shù)據(jù)可視化，可以直觀查看威脅情況，便于值守人員操作。