1、“人機(jī)共智”的IT安全運營建設(shè)目錄1安全困境2破局之道3最佳實踐4場景演示安全困境合規(guī)法律、法規(guī)不斷完善，要求越來越嚴(yán)網(wǎng)絡(luò)安全法 正式實施等保2.0標(biāo)準(zhǔn)正式發(fā)布關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例即將發(fā)布檢查安全檢查方式不斷升級用戶自查現(xiàn)場檢查技術(shù)檢測攻防演習(xí)重保重保時期網(wǎng)絡(luò)安全保障壓力越來越大兩會期間網(wǎng)絡(luò)安全保障護(hù)網(wǎng)行動期間網(wǎng)絡(luò)安全保障國慶期間網(wǎng)絡(luò)安全保障其他重大活動期間網(wǎng)絡(luò)安全保障沒有網(wǎng)絡(luò)安全就沒有國家安全外部監(jiān)管要求越來越注重實戰(zhàn)演練網(wǎng)絡(luò)安全法、等保2.0 等合規(guī)監(jiān)管趨嚴(yán)安全攻防不對等，外部威脅變化過快安全事件頻發(fā)的本質(zhì)是攻防不對等攻擊啟動時間入侵發(fā)現(xiàn)時間數(shù)據(jù)竊取時間應(yīng)急響應(yīng)時間攻防秒級分鐘級小時級

2、天級周級月級年級勒索攻擊事件頻發(fā)，變種數(shù)量不斷攀升數(shù)據(jù)來源：Verizon 2018 數(shù)據(jù)泄露調(diào)查報告14萬2018 年，CNCERT 捕獲勒索軟件近 14 萬個， 全年總體呈現(xiàn)增長趨勢！19勒索軟件 GandCrab 18年出現(xiàn)了約 19 個版本， 一直快速更新迭代勒索軟件即服務(wù)伴隨“勒索軟件即服務(wù)”產(chǎn)業(yè)的興起，活躍勒索軟件數(shù)量呈現(xiàn)快速增長勢頭，且更新頻率和威脅廣度都大幅度增加大部分組織憑借自身的安全能力難以有效應(yīng)對！高層重視，對安全效果提出更高要求組織缺乏專業(yè)的安全決策依據(jù)以及體系化的建設(shè)指導(dǎo)01不清楚應(yīng)該優(yōu)先重點解決哪些問題02不清楚如何更加體系化的解決安全問題現(xiàn)有建設(shè)思路無法達(dá)到安全效

3、果的預(yù)期安全運營能力不足，安全效果無法保障重建設(shè)輕運營FWIPSWAF漏掃大部分組織的安全建設(shè)集中在安全設(shè)備采購，部署實施后缺乏 專人運轉(zhuǎn)受限于人力、技術(shù)資源，大部分組織安全運營經(jīng)驗不足，導(dǎo)致安 全效果無法達(dá)到預(yù)期破局之道以 安全效果 為目標(biāo)以 資產(chǎn)、漏洞、威脅以及事件 四個控制要素為抓手 通過“人機(jī)共智”模式開展持續(xù)化的網(wǎng)絡(luò)安全保障工作實現(xiàn) 安全狀態(tài)可視、安全風(fēng)險可控、安全能力可量化構(gòu)建以安全效果為目標(biāo)的持續(xù)化安全運營體系最佳實踐STEP 01安全運營能力評估| 安全運營成熟度評估 |STEP 03STEP 02持續(xù)運營| 資產(chǎn)管理，漏洞管理| 威脅管理，事件管理|安全運營體系設(shè)計| 安全運

4、營提升規(guī)劃 | 安全運營框架設(shè)計 |一、安全運營體系建設(shè)方法論憑借深信服近20年安全能力沉淀，參考 CMMI 軟件成熟度模型，遵從等保、ISO27000的合規(guī)要求，結(jié)合 KPMG 等國際權(quán)威咨詢機(jī)構(gòu)方法論，打造業(yè)界領(lǐng)先的安全運營能力成熟度模型。一、安全運營能力成熟度評估第一年第二年第三年成熟度 1成熟度 2成熟度 3管理的（Managed）定義的（Defined）初始的（Inn）合規(guī)要求滿足專職的安全人員基礎(chǔ)的安全防護(hù)能力基礎(chǔ)的應(yīng)急響應(yīng)安全事件可管理高級的安全專家威脅監(jiān)測與響應(yīng)能力漏洞識別與閉環(huán)能力應(yīng)急預(yù)案與操作規(guī)范安全風(fēng)險可管理初具規(guī)模的安全團(tuán)隊資產(chǎn)/漏洞/威脅/事件管理能力流程定義明確，靈

5、活運轉(zhuǎn)二、安全運營能力提升規(guī)劃安全效果安全狀態(tài)可視安全風(fēng)險可控安全能力可量化人機(jī)共智平 臺/ 工 具人員流 程/ 方 法資產(chǎn)漏洞威脅事件安 全 能 力 評 估資 產(chǎn) 管 理漏 洞 管 理威 脅 監(jiān) 測 預(yù) 警威 脅 主 動 響 應(yīng)應(yīng) 急 處 置滲 透 測 試知 識 轉(zhuǎn) 移二、安全運營框架設(shè)計（續(xù)）資產(chǎn)漏洞威脅事件缺乏動態(tài)管理漏洞多而雜無法及時發(fā)現(xiàn)無專精人員無法精細(xì)化管理漏洞修復(fù)難告警量大缺乏無應(yīng)急流程影子資產(chǎn)難管理最新漏洞響應(yīng)分析能力無應(yīng)急工具滯后缺乏威脅情報可用性探測變更探測全生命周期管理漏洞分級評估漏洞閉環(huán)機(jī)制及時預(yù)警并排查 最新漏洞影響全天候持續(xù)監(jiān)測安全專家保障云端威脅情報分 析（云腦）

6、高階專家接管標(biāo)準(zhǔn)化響應(yīng)流程自動化處置工具業(yè)務(wù)痛點解決思路安全效果安全狀態(tài)可視； 安全風(fēng)險可控； 安全能力可量化三. 圍繞四個抓手開展持續(xù)運營安全運營中心要素工具采購消耗大量預(yù)算，成本高且運營難運營平臺需基于流程開 發(fā)，定制工作繁雜，周 期長人才短缺招聘難安全專家培養(yǎng)難人員內(nèi)部晉升難，人員 流動影響工作持續(xù)開展流程浮于表面，難以執(zhí) 行知識固化困難，難以有 效傳承自運營（成本高，周期長，團(tuán) 隊建設(shè)困難）數(shù)據(jù)源探針靈活按需復(fù)用安全運營平臺，快 速開展安全工作平臺建設(shè)成本低資金專項專用，確保效 果復(fù)用安全專家團(tuán)隊內(nèi)部晉升通道寬廣，人 員穩(wěn)定，持續(xù)保障安全 工作7*24 安全保障能力高效的流程執(zhí)行能力指

7、標(biāo)驅(qū)動的流程進(jìn)化能力開放的知識分享能力聯(lián)合運營（成本低，見效快，專家團(tuán)隊穩(wěn)定）工具人員流程（質(zhì)量管理）安全運營平臺應(yīng)急響應(yīng)工具集數(shù)據(jù)源探針T1 安全分析師T2 安全運營專家T3 首席安全專家資產(chǎn)管理流程漏洞管理流程威脅管理流程事件管理流程自運營 vs 聯(lián)合運營場景演示安全設(shè)備服務(wù)器網(wǎng)絡(luò)設(shè)備數(shù)據(jù)庫 中間件云設(shè)施威脅情報 漏洞情報優(yōu)先處置隊列監(jiān)測分析預(yù)警基于AI技術(shù)迭代的安全實例（Usecase）大數(shù)據(jù)實時分析技術(shù)內(nèi)外部安全資訊關(guān)聯(lián)分析基于業(yè)務(wù)行為的數(shù)據(jù)建模操作規(guī)范（ Playbook ）安全實例優(yōu)化操作規(guī)范優(yōu)化控制措施優(yōu)化持續(xù)監(jiān)測技術(shù)安全運營平臺流程T1安全工程師T2安全 運營專家T3首席 安全

8、專家人員組織資產(chǎn)處置安全知 識庫“人機(jī)共智”的安全運營 PPT 架構(gòu)精準(zhǔn) 告警防御規(guī)避 提權(quán)持久化 執(zhí)行訪問憑證發(fā)現(xiàn)初始化橫向移動搜集勒索 病毒挖礦 病毒木馬 病毒網(wǎng)絡(luò) 蠕蟲僵尸 網(wǎng)絡(luò)采集 過濾歸并聚合校正 脫敏威脅 情報特征分析關(guān)聯(lián) 分析AI算法命令控制數(shù)據(jù)獲取專家 研判影響Web后門MITREATT&CK基于業(yè)界最佳實踐的威脅檢測技術(shù)觀察Observe判斷Orient決策Decide行動Act端點檢測防護(hù)日志下一代防火墻日志漏洞管理日志上網(wǎng)行為管理日志VPN 日志威脅情報資產(chǎn)管理流程漏洞管理流程威脅檢測流程威脅處置流程應(yīng)急演練流程事件管理流程大數(shù)據(jù)分析 + 威脅情報 + 關(guān)聯(lián)分析 + AI算法關(guān)聯(lián)/分析智能診斷資產(chǎn)/漏洞/威脅風(fēng)險感知研