安全運(yùn)營(yíng)服務(wù)——服務(wù)流程

以WebShell后門攻擊事件為例，深信服MSS運(yùn)營(yíng)中心監(jiān)測(cè)到用戶內(nèi)網(wǎng)工資查詢系統(tǒng)遭到WebShell后門攻擊，平臺(tái)自動(dòng)推送工單告警；MSS運(yùn)營(yíng)中心的安全立即對(duì)攻擊進(jìn)行驗(yàn)證并主動(dòng)聯(lián)系用戶，對(duì)該攻擊事件作出包含隔離主機(jī)、定位威脅路徑、查殺惡意文件、溯源加固等處置動(dòng)作。處置全程時(shí)間不超過(guò)2個(gè)小時(shí)，有效化解用戶業(yè)務(wù)系統(tǒng)發(fā)生更大面積安全事件的危機(jī)。

安全運(yùn)營(yíng)服務(wù)——安全運(yùn)營(yíng)給安全企業(yè)帶來(lái)新的生機(jī)

安全運(yùn)營(yíng)對(duì)網(wǎng)絡(luò)安全企業(yè)來(lái)說(shuō)，意義更是非同尋常。這兩年，許多安全廠商像啟明星辰、奇安信、綠盟等紛紛組建安全運(yùn)營(yíng)中心，把它作為業(yè)務(wù)突破的新抓手，有的甚至把它列為戰(zhàn)略級(jí)核心業(yè)務(wù)。這與很多國(guó)際廠商在全球范圍投入安全運(yùn)營(yíng)中心業(yè)務(wù)，有著異曲同工的關(guān)聯(lián)。

鄭建華院士近期在一次會(huì)議上提出，要解決行業(yè)防護(hù)工作分割的狀況，有必要建立國(guó)家安全隊(duì)伍或企業(yè)，用以代管行業(yè)的安全需求。有國(guó)外國(guó)際研究報(bào)告認(rèn)為，安全運(yùn)營(yíng)的主要載體，威脅監(jiān)測(cè)與主動(dòng)響應(yīng)服務(wù)將會(huì)成為中國(guó)具有吸引力的安全服務(wù)。Gartner預(yù)測(cè)，到2019年安全外包服務(wù)開銷會(huì)大幅增長(zhǎng)。技術(shù)和資源的缺乏，加之威脅復(fù)雜度的增加與IT安全人才的短缺，將促使企業(yè)用戶尋找由安全提供商、電信運(yùn)營(yíng)商或其他供應(yīng)商外部托管的自動(dòng)化安全服務(wù)。尤其是在中端市場(chǎng)，對(duì)中小企業(yè)而言更是如此。IDC的預(yù)測(cè)則顯示，隨著托管安全服務(wù)繼續(xù)朝著托管檢測(cè)和響應(yīng)的方向發(fā)展，市場(chǎng)范圍將繼續(xù)擴(kuò)大。到2024年，70％的托管安全服務(wù)客戶將采用威脅生命周期服務(wù)，與2019年的20%相比明顯增加。國(guó)內(nèi)一些安全企業(yè)的看法是，安全運(yùn)營(yíng)在安全市場(chǎng)空間占比未來(lái)會(huì)接近一半，預(yù)計(jì)可達(dá)上千億元規(guī)模。

安全運(yùn)營(yíng)服務(wù)系統(tǒng)的組成

蜜罐系統(tǒng)

誘捕惡意攻擊行為，可先發(fā)制人，也可虛晃一招，擾亂攻擊者視線，拖延攻擊者攻擊時(shí)間甚至可獲取攻擊者攻擊手段，從而保護(hù)真實(shí)網(wǎng)絡(luò)。

全流量取證系統(tǒng)

基于網(wǎng)絡(luò)流量數(shù)據(jù)的存儲(chǔ)和檢索，提供相關(guān)網(wǎng)絡(luò)安全事件的事后審計(jì)能力，能完整真實(shí)的還原網(wǎng)絡(luò)安全事件的原始場(chǎng)景，滿足合規(guī)性和網(wǎng)絡(luò)安全事件分析的需求。

威脅分析系統(tǒng)

憑借自身的檢測(cè)優(yōu)勢(shì)，利用支持雙向匹配的特征檢測(cè)、支持多分析場(chǎng)景的流檢測(cè)和基于沙箱檢測(cè)技術(shù)的文件檢測(cè)，除發(fā)現(xiàn)一般攻擊以外，利用威脅分析能力，結(jié)合ATT&CK模型、威脅情報(bào)、資產(chǎn)管理等能力，還能夠針對(duì)有效分析場(chǎng)景和APT攻擊進(jìn)行進(jìn)一步分析與研判。

EDR終端檢測(cè)響應(yīng)系統(tǒng)

通過(guò)算法來(lái)分析系統(tǒng)上單個(gè)用戶終端的行為，允許它記住和連接他們的活動(dòng)。數(shù)據(jù)會(huì)立即被過(guò)濾、豐富和監(jiān)控，以防出現(xiàn)惡意行為的跡象。

安全運(yùn)營(yíng)指揮平臺(tái)

配備運(yùn)營(yíng)中心分析人員，進(jìn)行多方位統(tǒng)籌工作。聯(lián)動(dòng)以上各個(gè)設(shè)備數(shù)據(jù)，進(jìn)行下一步應(yīng)急響應(yīng)處置工作，實(shí)現(xiàn)威脅早發(fā)現(xiàn)、快阻斷、回溯全等功能。在特殊時(shí)期，通過(guò)數(shù)據(jù)可視化，可以直觀查看威脅情況，便于值守人員操作。