活动 | ISC2020应急响应与安全运营论坛精彩落幕-安全客

官网地址：https://isc.360.com/2020/forum.html?id=30#/

活动简介

随着信息化的高速发展，云计算、大数据等新技术的普及，在当今复杂的安全形势下，网络安全建设愈发关注实战和响应能力，如何高效地落地安全运营并对安全事件应急响应已然成为近年来最热门的话题。不同行业视角的碰撞和交流，让线上观众享受到一场精彩绝伦的应急响应和安全运营技术与实践的创新思想盛会，助推行业更好的落地应急响应和安全运营。

中国互联网安全大会

由中国互联网协会、中国网络空间安全协会、全国工商联大数据运维（网络安全）委员会、360互联网安全中心和北京市朝阳区人民政府等联合主办，中国保密协会、中国计算机学会协办，中国计算机学会计算机安全专业委员会、中国人工智能学会人工智能与安全专业委员会承办的“第八届互联网安全大会”（简称“ISC 2020”），将首次以云端峰会形式召开。来自中、美、俄、韩、奥、新、以等多国安全智囊、专家、学者将以云端形式进行跨洋连线，共同探讨”数字孪生时代下的新安全“解决之道，打造永不落幕的云上安全交流平台。

活动时间

8月19日10:00上线

活动地点

官网地址：https://isc.360.com/2020/forum.html?id=30#/

精彩回顾

平安银行的安全运营之路

作者 | 宋歌平安银行科技运营中心总经理助理、深圳市金融科技协会成员及金融科技协会信息安全分会副主任委员

前言

平安银行真正开始做安全运营始于2017年。
2017年，平安银行开始做零售业务转型，业务线上化和敏捷迭代，对传统的安全管控提出了极大的挑战。这使得我们开始思考，如何能够真正让安全管理发挥作用，让一堆的制度体系、工具平台不再是摆设。所以，2017年我们立下一个目标，要建立以人为本，以数据为核心，以技术为支撑的安全运营能力。

平安银行安全运营的三个阶段

01事件驱动阶段

这个阶段平安银行面临的最大困惑与问题，是发生了安全事件，无法第一时间知道，更加无法分析溯源，属于典型的“看不见、想不到、抓不住、做不了”。

深入分析来看，其主要原因是由于我们虽然制定了许多制度、建立了许多规则，但是到底制度、规则是否真正落地与生效，我们缺乏对应的能力来监控与管理。

那什么是安全运营？安全运营是能够在事中，通过收集各种日志、告警等数据，让安全管理者更好地了解，自己的管理范围内发生了什么，及时发现偏离安全要求的行为与风险事件，并能够快速定位问题和采取措施（包括预防性措施和应急处置措施）。所以，在过程中发现安全事件与风险，成为了我们第一阶段安全运营体系构建的目标。

安全事件的监控和发现，已有大量成熟的工具和开箱即用的规则，但这些工具与规则要真正发挥作用，需要因地制宜，结合我们的现状进行优化与定制化。在人力有限的情况下，如何将有效的资源投入在最关键的部分，发挥最大的效能，成为困扰我们许久的问题。当时我们做了一个基于黑客攻击获利视角的分析模型，结合历史事件，归纳了4大类的30多个关键场景，将事件分为了网络攻击事件与员工风险事件两大类。

在工具选择上，基于场景类型的特征，采用了两个不同的安全事件分析平台。第一类是传统的SIEM，这一类主要是针对一些外部安全攻击类的事件分析与处置，采集了各类日志，包括系统日志、网络日志、应用日志及一些管理工具平台的告警日志。第二类的工具，主要用于发现员工对行内敏感数据操作的异常事件。一方面是由于国家和监管越来越重视数据安全，另一方面也是内部违规事件的驱动。员工异常行为分析，很难基于传统SIEM平台实现，因而我们选择了平安科技自研的员工风险看板，以员工为核心，基于DLP日志和终端特权异常行为，结合员工访问行内敏感信息的行为埋点日志，基于业务流程和统计模型，建立员工行为的风险基线，进而开展高风险员工行为分析与异常事件处置。

但随着IT资产的激增，安全运营所依赖的数据量和规则数量都在不断飙升，出现的问题也越来越多：
1）安全资产梳理永远不确定。事件处置过程，大量的时间精力花费在找设备、找人上，效率非常低下。
2）漏洞越来越多，资产的安全属性信息不足，导致漏洞分析耗时费力。特别是今年以来应用中间件层面的漏洞频发，加之银行系统技术栈非常复杂，每一次影响分析、修复优先级确认，都要耗费大量的时间与精力。
3）规则越来越多，但告警却并没有变得更精准有效。各平台的海量告警，误报率居高不下；面对APT事件，不同平台的告警无法关联分析，人工分析存在缺漏等诸多问题，给安全运营工作造成了很大的困惑。我们急迫需要对告警进行综合处理和智能分析。
4）业务发展快，IT变化快，外部形势变化也很快，但安全流程与运维流程脱节，应急响应处置效率极低。构成安全运营能力的基本要素包括人、数据、工具、流程四大方面，然而我们运营能力建设到今天，数据与工具两方面能力缺失的问题，变得尤其突出与明显。

02数据驱动阶段

为解决如上问题，我们在2018年决定自研安全大数据平台，安全运营进入了数据驱动的第二阶段。

在数据驱动的安全运营体系构建过程中，我们学习了大量的同业经验，特别是互联网安全体系的建设经验。我们总结了安全运营的几个关键环节，包括监测、过滤、研判、预警、响应、协作和复盘。大数据平台的基本使命，就是要通过数据收集、分析和处理，来提升每一个环节的效率。
而在大数据平台设计的时候，我们认为要做好四件事情：

首先，要真正拥有数据。安全运营做分析的数据大部分来自于运维和开发，这些数据要具备安全所需的各种信息和属性，才能真正用于安全运营。所以，安全大数据平台的数据采集部分，成为一个非常关键的环节。一方面要尽可能全面，另一方面需要基于安全需求，与各方协商补充安全运营所必须的属性与数据记录。

其次，要学会处理数据。包括基本的可扩展存储能力，以及兼具实时和离线处理能力。大多数安全从业人员开发技术栈不在大数据领域，与真正的大数据研发团队能力存在差距，需要基于安全运营诉求，在整体数据架构设计、数据治理层面具备长远的规划设计能力。

第三，要懂得深挖数据。需要能利用各种数据模型、知识图谱开展关联分析，建立安全风险模型。当然，这些需要对安全风险场景有比较深刻的理解。

最后，要善用可视化。更好地让数据来辅助决策。

安全大数据平台的建设，面临海量、多种形态数据的对接，而数据缺乏统一的规范和治理标准，需要花费大量的精力进行数据处理与规范化。一方面，是银行内部缺乏运维数据治理和数据标准规范，内部工具的对接耗时费力；另一方面，行业内缺乏安全相关的大数据治理规范，与各个安全产品的数据对接也耗时费力。所以，安全大数据平台在对接各类数据源的过程，变成了一个不断给自己挖坑，然后自己再想办法填坑的过程。

我们的大数据平台在数据对接与处理阶段花费了大半年的时间，而在功能研发迭代的过程中，又需要持续地跟踪数据源的变化，不断维护数据的时效性与准确性。回过头来思考这个过程，以及在思考未来如何更好地发挥安全大数据平台的效能时，我们有了以下3个灵魂拷问：
对接的数据越来越多，到底这些数据都能发挥什么作用？

数据永远不能100%准确，到底应该先解决哪个问题？

投入产出比不高，我们到底在干什么？

03价值驱动阶段

也就是这个时候，我们开始从技术自嗨中抬起头，以始为终，转而思考安全运营的真正价值。平安银行的安全运营体系建设，开始进入价值驱动的第三阶段。

其实，在一家企业中，安全很难成为企业的主营业务，所以我们必须了解企业的主营业务是什么，不同类型的业务对安全的诉求是什么，在整个企业的业务生态系统中，安全管理或安全运营到底扮演了什么角色。只有明确了自己在业务过程中的角色定位，才能明白安全运营应该如何更好的体现价值。安全价值到底是什么，也许是节流、止损，也许是提升品牌信誉或增加客户信任。如果说运营的是业务，业务产生价值，那么安全的价值也因对象而异。

所以，价值驱动的安全运营体系建设，首先要搞明白三件事：对谁负责，为谁服务、由谁评价。明确你所服务的目标人群和他们的诉求，是安全运营取得效果和认可的不二法门。

基于对银行内部的目标人群梳理，可以看到，不同的人群与团队，其关心的安全问题、期望从安全团队获得的服务或支持，以及安全团队希望与他们之间产生的互动或获取的支持都是不同的。我们必须首先梳理出这些诉求，然后找到核心目标。

那么，在安全运营能力的建设方面，我们依据如下四步法，规划整体实施路线图：

1）明确安全运营的目标。考虑安全运营对谁负责，为谁服务、由谁评价。
2）确定安全运营的运作机制。尤其是涉及到与安全团队外部组织的协同机制，需要基于组织已有的方法或机制，例如PMO接口人机制、研发流程控制机制、运维变更管理机制、运维问题管理机制、研发质量管理机制等，避免另外创造一套游离于现有工作机制之外的流程。
3）拆解细化运营工作内容。逐层分别给出短、中长期关键指标，落实到人。
4）制定运营评价和监测指标。持续检视，不断优化。

后记

真正要想做好安全运营，必须把安全的文化融入组织，在整个组织运营中建立广义的安全运营能力。每一个业务领域，通过持续运营，构建安全目标达成与持续改进的能力。而安全团队可以基于安全大数据，为整个组织构建安全能力中台，为各业务领域实现安全赋能、安全使能、安全创新，帮助让业务更加高效地实现安全的目标。
最终，我们的梦想，是安全运营创造价值。

小米安全运营落地与实践

作者 | 高鹤小米安全运营中心负责人

说到运营，很多人都想到的是非技术方面的工作，策划活动发布新媒体文章等等，但是对于安全运营来说，其实是安全技术和非技术的融合。下面就小米在安全运营中的落地和实践与大家分享。

安全运营的定义和思考

首先从几个角度对安全进行解释。拿安全里面比较适用的两个理论：木桶理论，一个木桶盛水的多少，并不取决于木桶上最高的那块木板，而恰恰取决于木桶上最短的那块，公司业务中怎样找到最短的那块木板，怎样去发现，并通过什么方式进行弥补，这对于研发、运维、产品都是无法察觉到的，这时就需要有其他人去对一个业务的整体安全进行把控，了解业务中所有木块的情况，找出到底哪块是薄弱的点，协助安全建设弥补它的短板。冰山理论，具体含义是：我们能看到的只是表面很少的一部分，更大的一部分却隐藏在更深的层次。类比业务安全，一个安全漏洞发生后，我们表面看到的只是一个简单的漏洞，联系业务去修复即可，但是这个漏洞的产生，一定是由于研发人员在开发时未关注到技术点，或是由于安全意识的缺失等其他方面的原因，或是安全防御过程中忽略的点，这些原因才是真正需要去挖掘和解决的，单纯一个漏洞只是一个表象而已。

除了理论指导，在实际的安全建设中，很多企业也会遇到以下这些问题：安全建设是好是坏？我们做的扫描器、waf、hids等具体在业务中的效果如何？这些工具已经覆盖了网络防御、系统安全、应用扫描，为什么还存在这样那样的问题？业务要高速发展，安全不断报漏洞，还限制业务上线，业务和安全该怎样进行结合？对于安全工作的成果怎样展示给老板看？将这些问题抛给安全建设的技术人员，很难回答，抛给非技术的运营人员，也很难知道安全建设用到的技术到底哪里出现的问题，如何进行优化和改进。

以上两个理论和实践中遇到的这些问题，都说明应该有安全建设和业务之间的协调者，不但可以对安全建设中的工具系统了解比较情况，而且还对各个业务中遇到的安全痛点、安全需求有很好的沟通能力，这就催生了新的工作内容——安全运营。

综上所述，那么安全运营可以总结为：

1、支撑和反馈安全建设的能力，通过运营来发现安全建设中的弱点不足，反馈安全建设、安全系统不断优化。

2、安全问题的收敛，包括对业务不断的深入沟通、深入了解，发现业务中的安全痛点和问题，对问题进行分析、诊断、发现症结所在，通过技术的方式去解决问题。

3、技术和非技术的融合，需要将技术进行不断的完善，发现更多的问题，另一方面在非技术上将安全的能力输出出去，推广安全的成果和理论。

4、负责提升安全在整个公司的影响力。

安全运营这个概念在网上并没有一个明确的定义，通过上述的思考和汇总，我们在小米内部对安全运营的定义是：结合技术和非技术的能力，对安全建设进行支撑和持续优化、对安全问题进行收敛，最终完成构建完善的安全体系并提升安全在业务中的品牌影响力。

安全运营的目标和方法

既然给出了定义，那么我们工作就必须有目标的设置和工作的方法论来指导。

小米的安全运营的目标以及人员的要求：1、做到技术和非技术的整合和协调，在业务上完成安全闭环，推动安全左移：安全运营人员不单有安全技术的硬实力在，还需要有沟通技巧，解决问题、数据展示、项目推进等软实力的要求。

2、把控整体安全建设的质量，对安全建设进行持续优化和改进，构建完善的纵深防御体系。

3、将内部安全建设和工作做到规范化、标准化、提升安全在业务中的影响力。

右边devsecops体系可以看做是小米内部的安全运营工作的指导，安全运营需要将sec融合到dev和ops阶段，完成整体业务的安全闭环，融合到业务的各个阶段，与dev人员、ops人员不断沟通，构造小米自己的devsecops体系。

小米安全运营落地实践

小米安全运营理念在devsecops上的实践，包括了需求和设计阶段，编码、编译阶段、测试验证阶段、预发布、发布、预防、检测、响应、预测、适应等各个阶段，每个阶段都部署对应的工具集来指导业务，每个阶段都有安全进行介入，包括收集每个阶段业务遇到的安全问题，思考是否可以通过安全建设的方式解决，在每个阶段推广安全建设中的工具和安全系统、安全制度、安全文档等，来观察安全建设在业务每个阶段的具体实施效果，收集问题，优化改进。

在过程中小米已经形成了小米安全手册在技术上的指导文档、各种培训体系、上线流程等，在编码阶段，安全给出安全的sdk、安全加密、安全方案评估等。测试已经有了扫描、安全测试、众测等各个手段，但小米安全还有很多不足的地方，我们在不断的完善过程中。

这些是每个阶段我们应该做什么，能做什么，但是安全也不能在每个阶段通过人工方式进行跟踪。因此，我们构造了小米安全平台、小米安全评估体系、数据化展示等多种方式，使得业务、安全更加容易操作和被感知到。

首先是体系化。针对业务应该做什么，在项目的前期、中期、后台我应该怎么做这些问题，我们有一个流程指导。上图只是流程大概的脑图展示，过程中需要专职专人负责，每一块都有专门的安全人员进行对接，并且按照流程进行。流程化的东西使得每一步都有记录跟进、处理，每个人也容易把自己的工作做到闭环。

其次是平台化建设，包括了小米安全工作平台，包括发现、监控、响应、感知、预警、管理等等，安全运营人员只要登入平台就能完成各项工作。第二个是米盾防御平台，包括了安全代理、waf等一系列提供给业务使用的工具平台，通过这个平台，我们对waf、代理的运营可以深入到业务，收集业务中遇到的问题和需求可以反馈到安全研发人员，不断提升和改进，第三个是风控平台，有些业务的安全问题不是技术能解决的，就需要风控的手段来防御处理。

最后是数据化平台建设，通过对运营过程中产生的数据进行图表化的展示，一方面能很好的展示出安全建设的运营效果，反向反映出安全建设的能力；另一方面可以通过对漏洞数据的汇总分析出业务部门的短板在哪，可以针对业务部门的短板进行弥补升级和优化等。

结语

以上是小米在平台化、规范化和数据化的一些尝试，把安全运营的理念通过这些平台融入到里面，可以更好地展示安全运营的工作成果和能力。

活动详情

怎样稳步走过“安全的最后一公里”？6位落地应急响应和安全运营领域的资深专家现身答疑，分享了自己的思考与经验。

威胁视角下监控响应运营建设

夏浩淋
京东监控响应运营负责人高级安全专家

将通过甲方在安全监控和应急响应方向中，所应对不同维度的”攻击”事件面上，来分享京东安全在此部分的问题解决、技术落地经验。同时希望在对不同行业和公司所面对的场景上，一起探讨安全监控响应的战场及创新思路。

小米安全运营落地与实践

高鹤
小米安全运营中心负责人

“企业在网络、系统、业务等各个方面都做了安全防护，为何安全问题依然层出不穷。安全体系建设后怎样评价体系的好坏？企业安全建设后续如何发展？为解答这些问题，安全运营的概念被提出并有不断壮大的趋势。本次分享将向大家介绍小米从零到一的安全运营工作落地和实践经验以及我们遇到的挑战、对运营工作的重新思考。”

基于360安全大脑的威胁运营落地与实践

张睿
360集团信息安全中心负责人

随着近年攻防演习活动的深入开展，威胁运营和应急响应是甲方安全谈论最多的话题，各大企业都在建设实战化的威胁运营和应急响应体系，如何在满足高度复杂业务场景的前提下落地基础运营工作是甲方应该重点思考的问题。本议题结合360集团在多年攻防实战中开展威胁运营的思路，探讨如何打造SOC团队分工协作，如何基于360安全大脑的威胁分析能力，在海量安全数据中进行威胁狩猎和落地运营，如何落地以结果为导向可衡量的运营管理几个方面的问题。