*以下內(nèi)容轉(zhuǎn)載自：安在

近段時間，歐洲疫情再度強烈反彈，新冠確診病例突破了5000 萬，法國甚至已經(jīng)進入第四輪疫情，反觀國內(nèi)卻是把疫情控制的死死的。兩者最大的差別是，國內(nèi)真正將新冠病毒的風(fēng)險管控落到了實處，真正做到了事前隔絕，事中快速處置，事后復(fù)盤沉淀經(jīng)驗。

有意思的是，這波操作放在網(wǎng)絡(luò)威脅的處置上也是極為合適，這是因為持續(xù)的風(fēng)險管控也是網(wǎng)絡(luò)安全建設(shè)者的根本目標(biāo)。

當(dāng)下，數(shù)字化轉(zhuǎn)型使得組織暴露在網(wǎng)絡(luò)世界中的風(fēng)險進一步增加，全球網(wǎng)絡(luò)安全整體形勢進一步惡化，如何持續(xù)有效管控網(wǎng)絡(luò)安全風(fēng)險已成為各個組織亟待解決的問題。

對于這個問題，或許我們可以從新冠病毒風(fēng)險管控中得到一些不一樣的答案：即打疫苗(預(yù)防)，人人戴口罩(防護)，人人有健康碼(實時監(jiān)測)，出現(xiàn)感染者立刻進行隔離，摸排可能接觸到的人員，并進行徹底的消毒和監(jiān)測(快速主動響應(yīng))，避免病毒再次傳播。

網(wǎng)絡(luò)安全也是如此，面對快速升級的勒索病毒，近乎實戰(zhàn)的攻防演練帶來的各種風(fēng)險，組織同樣需要快速擴展自己的網(wǎng)絡(luò)安全風(fēng)險持續(xù)管控能力，需要提前做好預(yù)防和保護，需要24小時不間歇的監(jiān)測機制，以及更專業(yè)的，對事件快速處置和善后的技術(shù)支撐。傳統(tǒng)基于人力資源服務(wù)化的安全服務(wù)模式已經(jīng)無法滿足用戶對持續(xù)發(fā)現(xiàn)問題、快速閉環(huán)問題的訴求，一種創(chuàng)新的安全服務(wù)模式由此而生。

近日，工業(yè)和信息化部起草、發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》（以下簡稱《意見稿》）也再次明確了一點。

《意見稿》提出“產(chǎn)業(yè)供給強化行動”，并指出要“創(chuàng)新安全服務(wù)模式”：加強安全組織技術(shù)產(chǎn)品的云化能力，推動云化安全產(chǎn)品應(yīng)用；鼓勵綜合實力強的安全組織發(fā)展彈性、靈活的云模式網(wǎng)絡(luò)安全服務(wù)；發(fā)展地區(qū)級、城市級、行業(yè)級安全運營服務(wù)，提高運營自動化、流程化、工具化水平；支持開展威脅管理、檢測響應(yīng)等安全托管和咨詢服務(wù)等。

事實上，多年來深信服也一直是這樣做的，此前推出的安全運營服務(wù)(MSS)完美契合了《意見稿》所提出的“創(chuàng)新安全服務(wù)模式”。作為組織網(wǎng)絡(luò)安全建設(shè)的強力補充，深信服MSS將以人機共智的模式助力組織做好持續(xù)的網(wǎng)絡(luò)安全風(fēng)險管控工作，如同疫情防控一般，將風(fēng)險降低到可以接受的最小化范圍內(nèi)。

MSS正在成為組織持續(xù)保障安全效果的必要措施

MSS是指安全廠商通過統(tǒng)一的云端安全運營平臺為客戶提供一系列安全服務(wù)，以滿足組織對安全專家、技術(shù)和流程外包的需要。

當(dāng)下，網(wǎng)絡(luò)安全正面臨前所未有的壓力：勒索軟件攻擊水平全面升級，大規(guī)模針對性網(wǎng)絡(luò)行動大幅增加，重大安全漏洞缺陷不斷涌現(xiàn)，超大規(guī)模數(shù)據(jù)泄露甚至趨于常態(tài)化......

面對日益嚴峻的安全威脅，組織缺乏安全自查的能力，以致各類安全事件此起彼伏。IDC在《面向未來 有效保護，護航數(shù)字化轉(zhuǎn)型》白皮書中直接指出，組織完全依賴自身的能力進行網(wǎng)絡(luò)安全管理已經(jīng)分身乏術(shù)。

因此，請外援（MSS）就成為大多數(shù)組織的選擇，讓專業(yè)的人去做專業(yè)的事情。

近年來，安全形勢日益嚴峻，隨著安全技術(shù)的發(fā)展，MSS受到了越來越多組織的肯定，甚至已成為組織安全體系的一部分。據(jù)IDC調(diào)查數(shù)據(jù)顯示，2018年，全球MSS的市場規(guī)模達到 211 億美金，且近年來一直保持著10%以上的速度增長。

另一方面，安全產(chǎn)業(yè)成熟度的提升也是MSS保持高速增長的驅(qū)動力。

隨著產(chǎn)業(yè)成熟度的持續(xù)提升，政企用戶的安全重心，將逐漸從采購安全產(chǎn)品以滿足合規(guī)要求，轉(zhuǎn)移到采購安全服務(wù)以提升安全能力。

對于大多數(shù)頭部組織來說，經(jīng)過多年的安全建設(shè)后，安全設(shè)備所帶來的提升有限，因此，專業(yè)安全服務(wù)廠商提供的安全運營服務(wù)就成了組織安全體系很好的補充。不論是SOC平臺還是安全服務(wù)廠商高階的安全技術(shù)專家，都是組織目前所缺乏的。

從長遠來看，與其花費大量的人力、資源自己建設(shè)高端的安全運營能力，倒不如通過云化的形式，用安全廠商的高階安全能力來應(yīng)對復(fù)雜威脅和管控風(fēng)險，這樣反而可以實現(xiàn)網(wǎng)絡(luò)安全工作的降本增效。

由此來看，組織對于專業(yè)的安全運營服務(wù)的采購需求將進一步增加。

正因為如此，2018年深信服重磅發(fā)布了“人機共智”安全運營服務(wù)(MSS)，引起了業(yè)內(nèi)人士的強烈反響。短短幾年的時間，深信服MSS服務(wù)用戶已經(jīng)超過1000家，覆蓋政府、央企、教育、醫(yī)療等多個行業(yè)。

所謂“人機共智”，“人”是指安全專家，為了有效應(yīng)對威脅，深信服MSS設(shè)置了T1、T2、T3三級專家團隊；“機”則是指深信服自研的AI安全運營平臺、基于威脅情報打造的脆弱性管理平臺、標(biāo)準(zhǔn)化服務(wù)監(jiān)控平臺。

一直以來，黑客的攻擊往往不分時間，針對需要持續(xù)保障的業(yè)務(wù)服務(wù)場景，傳統(tǒng)人工服務(wù)主要依賴于服務(wù)人員的能力和精力，往往難以7*24H不間斷服務(wù)，導(dǎo)致無法實時應(yīng)對隨時發(fā)生的安全威脅，例如新漏洞不斷曝光、黑客持續(xù)性攻擊等。

而人機共智的創(chuàng)新模式，通過 “人”“機”兩者相互配合，反而更能發(fā)揮出彼此的優(yōu)勢，為用戶提供更能保障安全效果的持續(xù)性標(biāo)準(zhǔn)化安全服務(wù)，最終實現(xiàn)7*24H 可持續(xù)安全運營。

至于深信服MSS具體是怎么樣的，咱們一起扒一扒。

深信服MSS之事前管理和監(jiān)測

近年來，網(wǎng)絡(luò)攻擊趨于復(fù)雜化和多樣化，給組織造成的威脅日益嚴重，甚至有可能是不可承受的，不可逆的后果。在這樣的情況下，傳統(tǒng)“頭痛醫(yī)頭、腳痛醫(yī)腳”的措施已經(jīng)無法滿足新型互聯(lián)網(wǎng)的安全需求，成熟的網(wǎng)絡(luò)安全防護體系必定更加重視“事前的梳理與監(jiān)測”。

也正因為如此，深信服MSS在事前可謂做足了準(zhǔn)備。

1.資產(chǎn)管理

當(dāng)下組織資產(chǎn)數(shù)字化趨勢明顯，能否有效梳理清楚組織的資產(chǎn)是網(wǎng)絡(luò)安全的前提。深信服MSS可部署相應(yīng)組件，設(shè)置相關(guān)資產(chǎn)發(fā)現(xiàn)策略，可定期進行資產(chǎn)探測，主動發(fā)現(xiàn)組織資產(chǎn)，形成臺賬并錄入組件，并且會持續(xù)進行探測，查看新增的資產(chǎn)，保障資產(chǎn)信息細化到設(shè)備指紋級別。一旦發(fā)現(xiàn)資產(chǎn)變更或可用性問題，云端安全專家會立刻通知用戶確認并更新資產(chǎn)。

2.漏洞管理

漏洞管理的重要性不言而喻，能否做好漏洞管理是衡量組織安全的重要指標(biāo)之一，同時也是組織必須要履行的義務(wù)。

2021年7月12日，工信部、網(wǎng)信辦和公安部聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，并將于2021年9月1日開始實施，并對組織漏洞管理提出了新的要求。

深信服MSS的做法是從漏洞管理的全生命周期入手，對列入安全漏洞評估及管理服務(wù)范圍的 IT 資產(chǎn)進行漏洞識別，并綜合威脅情報、資產(chǎn)等級、危害性等進行漏洞排序，然后提供可行的漏洞處置指導(dǎo)方案，并通過安全運營平臺跟蹤漏洞修復(fù)閉環(huán)，最后通過關(guān)鍵績效和風(fēng)險指標(biāo)展示安全風(fēng)險控制情況。如此環(huán)環(huán)相扣，不斷修復(fù)組織資產(chǎn)中產(chǎn)生的漏洞。

此外，深信服MSS還會持續(xù)監(jiān)測最新的漏洞，結(jié)合自研漏洞數(shù)據(jù)，以及CNVD、CNNVD等第三方漏洞情報，對這些漏洞與組織資產(chǎn)信息庫進行關(guān)聯(lián)驗證，一旦發(fā)現(xiàn)最新漏洞即進行預(yù)警、排查和給出處置建議，并建立起最新漏洞狀態(tài)追蹤機制。

3.威脅管理

在威脅管理方面，深信服基于安全用例(Use case)和操作規(guī)范(Play book)為用戶提供7*24H威脅監(jiān)測及處置。不同安全應(yīng)用場景(Use Case)和對應(yīng)的檢測模型可實時關(guān)聯(lián)分析海量的安全日志，提煉其中重要的安全信息，高階安全專家進行研判是否為真實的威脅，制定后續(xù)的處置計劃，同時還將周期性分析威脅管理措施有效性，并提供未來安全建設(shè)的規(guī)劃建議，逐步強化組織自身的安全能力。

4.做好事前應(yīng)急預(yù)案

好的組織安全體系必定會有相應(yīng)的事前應(yīng)急預(yù)案，深信服MSS將為組織針對性制定好事前應(yīng)急預(yù)案，并定期組織演練，強化組織對于安全事件的應(yīng)急響應(yīng)。

深信服MSS之事中快速處置

所有的事前準(zhǔn)備工作都是為了將網(wǎng)絡(luò)威脅扼殺在搖籃之中，但網(wǎng)絡(luò)攻擊似乎總是無法避免。此時，對安全事件的應(yīng)急響應(yīng)就決定了組織損失的多少。遺憾的是，隨著網(wǎng)絡(luò)攻擊趨于自動化、智能化，留給組織應(yīng)急響應(yīng)的黃金時間已經(jīng)越來越短了。

因此，深信服MSS尤其注重快速應(yīng)急響應(yīng)，且已經(jīng)取得了不錯的成果。據(jù)目前用戶的使用情況來看，絕大部分問題可在5分鐘以內(nèi)快速應(yīng)答，對于高危可利用漏洞、高級威脅和安全事件，做到100%的閉環(huán)處置，且時間大多在1小時以內(nèi)。

深信服MSS之所以能夠做到如此快速響應(yīng)，既和上文提到的事前監(jiān)測、預(yù)警分不開(據(jù)說準(zhǔn)確率高達99%)，也和經(jīng)過長期實踐沉淀下來的處置流程有著莫大的關(guān)系。

假設(shè)某個組織出現(xiàn)了網(wǎng)絡(luò)安全事件。

借助安全組件、云端安全運營中心7*24H的持續(xù)監(jiān)測，深信服MSS能夠可以第一時間發(fā)現(xiàn)威脅，不管是在白天還是在黑夜。

而當(dāng)威脅發(fā)現(xiàn)后，云端安全運營平臺將自動生成工單并實時通知到 T1 團隊。T1 團隊對事件進行確認，并按照標(biāo)準(zhǔn)化流程將工單給到 T2 團隊。T2 團隊開展安全事件的研判和響應(yīng)工作，T3 團隊作為 T2 團隊的后端資源，為 T2 團隊提供強大的技術(shù)支援，確保每種類型的安全事件都有專業(yè)知識的安全專家來解決。最后，T2 團隊會生成事件的處置建議并同步給 T1 團隊(線上和線下)，由 T1 團隊(線上和線下)協(xié)助用戶進行下 一步處置工作。

在這個過程中，我們不難發(fā)現(xiàn)，組織最缺乏的高級安全專家資源被深信服MSS給解決了。在事件處置過程中，深信服各個層級的安全專家們將全方位和組織進行共享，以遠程在線+線下的方式處置組織面臨的安全威脅，從而實現(xiàn)《意見稿》中所倡導(dǎo)的，以云化的形式提升組織安全能力的目標(biāo)。

結(jié)語

目前，深信服安全運營服務(wù)MSS以幫助用戶進行“持續(xù)的網(wǎng)絡(luò)安全風(fēng)險管控”為目標(biāo)，圍繞資產(chǎn)、脆弱性、威脅、事件四個要素，以“人機共智”模式為核心，全面整合技術(shù)、專家和流程，與用戶一同構(gòu)建7*24H、主動、閉環(huán)的安全運營體系。

而以“人機共智”模式為核心深信服MSS就像是當(dāng)下的新冠病毒防控體系，上有健康碼、行程軌跡(AI安全運營等平臺)實時監(jiān)測，下有時刻準(zhǔn)備的專業(yè)醫(yī)護人員(深信服三級專家團)，再加上各類高級設(shè)備，必將最大化強化組織安全防護體系。

最關(guān)鍵的是，它不需要組織投入大量的人力、物力去真正建設(shè)，真正實現(xiàn)了按需使用，隨時隨用的目的，并且將組織寶貴的IT人員從繁瑣的工作中解放出來，將更多的精力聚焦在更有價值的工作上。

而這些，不也正是《意見稿》所提出的安全能力云化和安全服務(wù)云模式的真實體現(xiàn)嗎?

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）