Page2引子——為什么我們要關(guān)注執(zhí)行體?執(zhí)行體既是代碼對(duì)抗中的攻擊目標(biāo)，也是“武器化”攻擊?但與此同時(shí)，我們對(duì)執(zhí)行體的認(rèn)識(shí)還是高度不全面、不完/執(zhí)行體的概念與基于對(duì)抗和治理的觀察/執(zhí)行體的概念與基于對(duì)抗和治理的觀察執(zhí)行體治理的歷史演進(jìn)過程與現(xiàn)實(shí)復(fù)雜性執(zhí)行體治理所需的能力集合與運(yùn)營(yíng)模式執(zhí)行體治理的成熟度模型、里程碑計(jì)劃觀察與執(zhí)行體治理Page5執(zhí)行體相關(guān)的定義和概念?執(zhí)行體是為實(shí)現(xiàn)特定目的代碼和數(shù)據(jù)的綜合表達(dá)，由硬件系統(tǒng)、固件系統(tǒng)、操作系統(tǒng)、應(yīng)用程序或?執(zhí)行體可以在執(zhí)行環(huán)境中獨(dú)立執(zhí)行，也可以嵌入在其他?攻擊可以通過惡意代碼執(zhí)行體實(shí)現(xiàn)，也可以借助正?！皥?zhí)行體”實(shí)現(xiàn)。Page6概念本源視角：從運(yùn)行機(jī)理和產(chǎn)生過程看執(zhí)行體惡意性(M)惡意性(M)風(fēng)險(xiǎn)性(R)脆弱性（V）害7度量要素視角：信息的安全要素和執(zhí)行體安全的要素的對(duì)比確保授權(quán)用戶或?qū)嶓w對(duì)信息確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔ⅲ３中畔?nèi)部和外部的一致性Page8攻擊視角：殺傷鏈?zhǔn)且粋€(gè)構(gòu)造執(zhí)行體作用于執(zhí)行體組成的系統(tǒng)的過程偵察跟蹤武器構(gòu)建載荷投遞漏洞利用安裝植入命令控制致效應(yīng)用攻擊武器具輔助工具用戶資產(chǎn)序口口置Page9攻擊視角：絕大部分網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)動(dòng)作依賴于執(zhí)行體完成形態(tài)視角：執(zhí)行體的對(duì)象形態(tài)執(zhí)行體形態(tài)與模式存在形式格式執(zhí)行環(huán)境/平臺(tái)加載來源例子相關(guān)攻擊組織攻擊事件Windows可執(zhí)行文件Windows驅(qū)動(dòng)程序文件win32k.sys腳本文件批處理文件AutoCAD插件宏UEFI驅(qū)動(dòng)HackingTeam泄漏的“MosaicRegressor”UEFI程序庫(kù)HackingTeam泄漏的“MosaicRegressor”微碼2017年“34C3:HackingIntoACPU’sMicrocode”PXE引導(dǎo)程序Vbootkit工具APK程序com.ss.android.ugc.aweme_23.9.0_2309Kimsuky組織使用移動(dòng)端惡意代碼針對(duì)韓國(guó)東亞研究所的JAR程序海淵使用Python偽編譯的EXE文件攻擊工控P小程序WASM程序某組織使用WASM編寫鍵盤記錄器、加密貨容器鏡像TeamTNT組織使用包含而惡意代碼的Docker鏡像進(jìn)行SQL代碼SQL注入非文件/嵌入式文本應(yīng)用程序解釋執(zhí)行網(wǎng)絡(luò)1'unionselect1,database()#絕大多數(shù)APT組織APT28、APT39在歷史攻擊活動(dòng)中使用SQL注入攻擊對(duì)目標(biāo)網(wǎng)站進(jìn)行攻擊DDE漏洞利用代碼DDEAUTOc:\\windows\\system32\\安裝包蔓靈花APT組織針對(duì)國(guó)內(nèi)的攻擊活動(dòng)使用過MSI偽編譯可執(zhí)行文件海淵使用Python偽編譯的EXE文件攻擊工控PSNAP應(yīng)用UbuntuSnap應(yīng)用商店上發(fā)現(xiàn)加eBPF程序裸機(jī)程序無(wú)BadUSB一句話木馬<?php@eval($_POST['cmd']網(wǎng)絡(luò)服務(wù)溢出EDB-ID-50944qdPM9.1RCE文件格式溢出非文件/嵌入式二進(jìn)制其他執(zhí)行體調(diào)用磁盤OFFICE、PDF、SWF、LNK格式文件絕大多數(shù)APT組織綠斑組織針對(duì)我國(guó)的魚叉釣魚活動(dòng)二進(jìn)制ShellCodeFIN7組織使用XLL文件加載Shellcode代執(zhí)行機(jī)會(huì)視角：現(xiàn)代操作系統(tǒng)為執(zhí)行體提供了豐富的入口機(jī)會(huì)安天CERT20221227更新什么是執(zhí)行體治理?執(zhí)行體治理是網(wǎng)絡(luò)安全運(yùn)營(yíng)者通過識(shí)別和管控執(zhí)行體保障網(wǎng)絡(luò)安全的持續(xù)過程。?持續(xù)過程不僅僅要完成檢測(cè)、防御、清除惡意執(zhí)行體和控制非惡意執(zhí)行體網(wǎng)絡(luò)訪問等基礎(chǔ)防護(hù)，更要建立識(shí)別、塑造、檢測(cè)、防御和響應(yīng)的流程閉環(huán)。在流程運(yùn)行閉環(huán)的基礎(chǔ)上，全面掌握?qǐng)?zhí)行體的靜態(tài)分布情況與業(yè)務(wù)應(yīng)用的執(zhí)行體構(gòu)成，建立信譽(yù)清單，同時(shí)能夠識(shí)別執(zhí)行體的執(zhí)行動(dòng)作并依據(jù)基線進(jìn)行控制。?在基線建立之后，識(shí)別全部執(zhí)行體，全面掌握?qǐng)?zhí)行體和執(zhí)行體的行為與業(yè)務(wù)之間的支撐關(guān)系，建立信譽(yù)指標(biāo)、行為指標(biāo)、業(yè)務(wù)影響指標(biāo)等量化指標(biāo)，以指標(biāo)為指引針對(duì)不同場(chǎng)景建立配套的管控規(guī)則庫(kù)、基線庫(kù)和模型庫(kù)，并持續(xù)運(yùn)營(yíng)實(shí)現(xiàn)能力與時(shí)俱進(jìn)、效能不斷應(yīng)用與執(zhí)行體是關(guān)鍵治理層次、執(zhí)行體是關(guān)鍵治理對(duì)象安全治理安全價(jià)值維度舉措業(yè)務(wù)與數(shù)據(jù)身份與憑證網(wǎng)絡(luò)與地形應(yīng)用與執(zhí)行體資產(chǎn)與系統(tǒng)業(yè)務(wù)與數(shù)據(jù)/布身份與憑證/控網(wǎng)絡(luò)與地形測(cè)/形絡(luò)訪問……應(yīng)用與執(zhí)行體/體資產(chǎn)與系統(tǒng)布復(fù)/執(zhí)行體治理對(duì)安全能力的價(jià)值意義識(shí)別塑造防護(hù)檢測(cè)響應(yīng)執(zhí)行體治理對(duì)各個(gè)環(huán)節(jié)的收獲SOARXDR支撐技術(shù)能力演進(jìn)路徑SOARXDR對(duì)象檢測(cè)技術(shù)系統(tǒng)防護(hù)技術(shù)異步分析技術(shù)安全管理技術(shù)技術(shù)概念出現(xiàn)時(shí)間時(shí)間價(jià)值/不可替代性盲區(qū)與局限性反病毒引擎技術(shù)?對(duì)海量已知威脅的精準(zhǔn)識(shí)別（分類、家族、變種）?執(zhí)行體的歷史應(yīng)用和攻擊活動(dòng)關(guān)聯(lián)（配套知識(shí)）?技戰(zhàn)術(shù)揭示和攻擊組織的精準(zhǔn)指向（配套知識(shí)）?可免殺繞過的資源?對(duì)I/O的依賴威脅情報(bào)技術(shù)?具有明確的信標(biāo)指向性?便于快速運(yùn)營(yíng)和消費(fèi)?HASH規(guī)則的魯棒性奇差?Tools情報(bào)缺少統(tǒng)一的機(jī)制?TTPS層面情報(bào)難以消費(fèi)系統(tǒng)主防技術(shù)?執(zhí)行體動(dòng)作級(jí)的發(fā)現(xiàn)和評(píng)價(jià)，可以發(fā)現(xiàn)執(zhí)行體的資源訪問和對(duì)系統(tǒng)的操作等?防御環(huán)境的主動(dòng)塑造?攻擊殺傷的實(shí)時(shí)拒止?常態(tài)資源占用?對(duì)業(yè)務(wù)連續(xù)性產(chǎn)生潛在影響可信計(jì)算技術(shù)?執(zhí)行體發(fā)布者身份的鑒別?執(zhí)行體啟動(dòng)時(shí)和運(yùn)行時(shí)的可信驗(yàn)證?目前缺少對(duì)文本、宏等的有效驗(yàn)證機(jī)制?證書盜用、證書濫用等問題難以?一旦可信根出現(xiàn)問題，將影響整個(gè)信任鏈，可能對(duì)整個(gè)系統(tǒng)產(chǎn)生安全風(fēng)險(xiǎn)內(nèi)存對(duì)抗技術(shù)?降低緩沖區(qū)溢出攻擊的成功率?對(duì)應(yīng)用漏洞無(wú)效?對(duì)獨(dú)立文件載體的惡意代碼執(zhí)行無(wú)效執(zhí)行體治理模式的演進(jìn)主機(jī)殺毒階段綜合主機(jī)防御階段場(chǎng)景特點(diǎn)威脅狀況端點(diǎn)安全環(huán)節(jié)執(zhí)行體治理模式場(chǎng)景環(huán)境復(fù)雜度治理難的原因具體情況場(chǎng)景案例規(guī)模龐大采購(gòu)安裝、網(wǎng)管安裝、用戶自行安裝、用戶自研、攻擊者投放、捆完整驗(yàn)證困難Page20Page20場(chǎng)景復(fù)雜性x規(guī)模是本質(zhì)挑戰(zhàn)典型辦公主機(jī)居家辦公個(gè)人主機(jī)Page22執(zhí)行體治理的關(guān)聯(lián)圖譜Page23執(zhí)行體治理的對(duì)象任務(wù)工作任務(wù)工作對(duì)象具體動(dòng)作緊急程度工作難度工作代價(jià)有效處置響應(yīng)已知威脅對(duì)象高低小篩選排查可疑對(duì)象高中中塑造基礎(chǔ)運(yùn)行環(huán)境中中中識(shí)別與管控動(dòng)態(tài)運(yùn)行對(duì)象中中中識(shí)別分析判定靜默對(duì)象中高大管理和約束供應(yīng)鏈與軟件來源低高大Page24防御能力框架下的執(zhí)行體治理能力枚舉識(shí)別塑造防護(hù)檢測(cè)響應(yīng)執(zhí)行體治理所需能力集合測(cè)復(fù)Page25需要多種模塊和服務(wù)支持威脅獵殺服務(wù)威脅獵殺服務(wù)Page26關(guān)鍵支撐能力——海量惡意代碼精準(zhǔn)識(shí)別能力有效處置檢出的惡意代碼，依然是執(zhí)行體治理最重能夠被低風(fēng)險(xiǎn)惡意代碼代碼感染的系統(tǒng)，一定可以安天引擎文件規(guī)則數(shù)量安天引擎可解析格式安天惡意代碼分類命名規(guī)范安天的惡意代碼檢測(cè)能力參數(shù)Page27關(guān)鍵支撐能力——執(zhí)行體的元數(shù)據(jù)提取能力身分開存儲(chǔ)的過程，支持識(shí)別、分析、追蹤和管理等者、內(nèi)容、結(jié)構(gòu)、成分、版本等為什么要將執(zhí)行體元數(shù)據(jù)化細(xì)管控的基礎(chǔ)解包文檔拆分9脫殼3靜態(tài)配置解密深度拆解序號(hào)類別字段來源描述123打卡文檔需要使用的軟件名稱(如Office打卡文檔需要使用的軟件版本(如Offic45678復(fù)合文檔元數(shù)據(jù)Page28向量級(jí)威脅情報(bào)概念由安天提出，是基于威脅檢測(cè)引擎的識(shí)別和深度拆解能力承載，從執(zhí)行體中抽取的的能夠表征威脅行為體基因特性、具備形式化特征的深度情報(bào)?？蚣荑b定分析拆解情報(bào)承載格式識(shí)別 消費(fèi)引擎 威脅情報(bào)痛苦金字塔關(guān)鍵支撐能力——面向執(zhí)行體的向量級(jí)情報(bào)與消費(fèi)引擎向量級(jí)威脅情報(bào)概念由安天提出，是基于威脅檢測(cè)引擎的識(shí)別和深度拆解能力承載，從執(zhí)行體中抽取的的能夠表征威脅行為體基因特性、具備形式化特征的深度情報(bào)?？蚣荑b定分析拆解情報(bào)承載格式識(shí)別 消費(fèi)引擎 威脅情報(bào)痛苦金字塔特異性向量特異性向量??典型字符串?編譯環(huán)境?簽名信息?注冊(cè)表?互斥量?通訊配置信息?解密密鑰?關(guān)鍵代碼片段等?基礎(chǔ)信息（字符串、編碼過的二進(jìn)制）?屬性信息（格式、編譯器、殼、包、版本信息）?結(jié)構(gòu)信息（PE結(jié)構(gòu)、復(fù)合文檔結(jié)構(gòu)、結(jié)構(gòu)異常）?身份信息（開發(fā)者、登錄ID、密碼、郵箱、數(shù)字簽名）?攻擊技術(shù)（執(zhí)行、持久化、提權(quán)、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向移動(dòng)、收Page29系統(tǒng)環(huán)境細(xì)粒度采集技術(shù)方案采集方式基于系統(tǒng)的API調(diào)用采集、利用系統(tǒng)WMI接口進(jìn)行系統(tǒng)環(huán)境細(xì)粒度采集技術(shù)方案采集方式基于系統(tǒng)的API調(diào)用采集、利用系統(tǒng)WMI接口進(jìn)行采集、利用系統(tǒng)com組件接口進(jìn)行采集、獲取系統(tǒng)內(nèi)存進(jìn)行采集、與系統(tǒng)服務(wù)交互進(jìn)行采集、與系統(tǒng)采集頻率實(shí)時(shí)采集、定時(shí)采集、周期性采集觸發(fā)機(jī)制消息觸發(fā)、驅(qū)動(dòng)監(jiān)控觸發(fā)、變更觸發(fā)、差異觸發(fā)采集策略采集對(duì)象策略配置對(duì)象屬性策略配置采集頻率策略配置采集觸發(fā)機(jī)制策略配置數(shù)據(jù)上報(bào)優(yōu)先級(jí)策略配置系統(tǒng)環(huán)境細(xì)粒度采集必要性系統(tǒng)環(huán)境細(xì)粒度采集必要性是對(duì)威脅檢測(cè)、固證、溯源、獵殺等上層業(yè)務(wù)的必要支撐是進(jìn)行執(zhí)行體識(shí)別、信譽(yù)計(jì)算和管控的必是實(shí)現(xiàn)牢固IT治理的必要支撐系統(tǒng)環(huán)境細(xì)粒度采集對(duì)象系統(tǒng)環(huán)境細(xì)粒度采集對(duì)象硬件/軟件Page30基礎(chǔ)信譽(yù)庫(kù)是海量執(zhí)行體的識(shí)別基礎(chǔ)基礎(chǔ)信譽(yù)庫(kù)是海量執(zhí)行體的識(shí)別基礎(chǔ)員和分析資源有限，如果沒有廠商支撐識(shí)別大多數(shù)對(duì)象，用戶不可能自行完成對(duì)海量執(zhí)行體的識(shí)別大部分網(wǎng)內(nèi)執(zhí)行體的初始信譽(yù)基線構(gòu)建，全面節(jié)省客戶計(jì)算的算力向量信譽(yù)提供百萬(wàn)級(jí)向量信譽(yù)庫(kù)，包括但不限于注冊(cè)表、互文件名等軟件信譽(yù)庫(kù)軟件開發(fā)者和軟件的系統(tǒng)信譽(yù)知識(shí)文件信譽(yù)庫(kù)提供數(shù)十億級(jí)別的文件信譽(yù)庫(kù)IP信譽(yù)庫(kù)包含IP的威脅類型、反向解析信息等APTIOC址、惡意文件HASH和識(shí)別規(guī)則等URL信譽(yù)庫(kù)包括黑白判定信息、威脅類型、下載的文件等靜態(tài)配置解密庫(kù)從執(zhí)行體中解析出的IP、URL和域名等EMAIL信譽(yù)庫(kù)包含黑白判定信息、威脅類型標(biāo)簽、關(guān)聯(lián)的域名、下載的樣本等域名信譽(yù)庫(kù)包含黑白判定信息、威脅類型、解析記關(guān)聯(lián)的通訊樣本等Page31關(guān)鍵支撐能力——本地分析鑒定和治理情報(bào)生產(chǎn)能力環(huán)境仿真（3）、其他（32）行為監(jiān)控API監(jiān)控點(diǎn)行為分析規(guī)則及敏感行為提取能力對(duì)抗行為揭示情報(bào)輸出能力關(guān)鍵工作——構(gòu)建場(chǎng)景化面向執(zhí)行體的行動(dòng)能力場(chǎng)景/安全環(huán)節(jié)來源元數(shù)據(jù)/計(jì)算元素標(biāo)簽判定結(jié)果（信譽(yù)）行動(dòng)端點(diǎn)防護(hù)場(chǎng)景/對(duì)象分析（異步分析環(huán)節(jié)）聯(lián)合聯(lián)動(dòng)與人工心等Page33安天賦能環(huán)實(shí)時(shí)防護(hù)環(huán)送與安天賦能環(huán)實(shí)時(shí)防護(hù)環(huán)送與詢或異步異步響應(yīng)環(huán)Page35全量資產(chǎn)識(shí)別執(zhí)行體信譽(yù)計(jì)算執(zhí)行體全量識(shí)別低CPU負(fù)載低內(nèi)存負(fù)載降低生僻對(duì)象統(tǒng)計(jì)系統(tǒng)基線構(gòu)建應(yīng)用基線構(gòu)建低I/OHASH信譽(yù)庫(kù)向量信譽(yù)庫(kù)簽名信譽(yù)庫(kù)低網(wǎng)絡(luò)帶全量資產(chǎn)識(shí)別執(zhí)行體信譽(yù)計(jì)算執(zhí)行體全量識(shí)別低CPU負(fù)載低內(nèi)存負(fù)載降低生僻對(duì)象統(tǒng)計(jì)系統(tǒng)基線構(gòu)建應(yīng)用基線構(gòu)建低I/OHASH信譽(yù)庫(kù)向量信譽(yù)庫(kù)簽名信譽(yù)庫(kù)低網(wǎng)絡(luò)帶寬占用威脅情報(bào)必要安全策略定義文件信譽(yù)庫(kù)行為基線構(gòu)建信譽(yù)庫(kù)威脅情報(bào)安全服務(wù)托管運(yùn)營(yíng)能力支撐雙端收斂執(zhí)行體執(zhí)行體全要素采集全自動(dòng)批全自動(dòng)批量化處理執(zhí)行體細(xì)執(zhí)行體細(xì)粒度管控廠商信廠商信譽(yù)庫(kù)優(yōu)先處理優(yōu)先處理風(fēng)險(xiǎn)清單確認(rèn)必要信譽(yù)必要信譽(yù)清單與基線建立運(yùn)維減負(fù)運(yùn)維減負(fù)不同場(chǎng)景環(huán)境的執(zhí)行體治理工作要點(diǎn)比較場(chǎng)景環(huán)境和執(zhí)行體特點(diǎn)執(zhí)行體治理相關(guān)工作傳統(tǒng)政企聯(lián)網(wǎng)終端?節(jié)點(diǎn)數(shù)量通常巨大、物理空間分散、部分便捷移動(dòng)?應(yīng)用眾多、類型眾多?用途：用于業(yè)務(wù)服務(wù)、辦公服務(wù)、個(gè)人等清點(diǎn)：盡量清點(diǎn)基線：以系統(tǒng)基線為主、相對(duì)靈活風(fēng)險(xiǎn)：定期治理、盡量管控威脅：威脅防護(hù)為主、異常檢測(cè)為輔持續(xù)治理孤島節(jié)點(diǎn)?節(jié)點(diǎn)數(shù)量通常較少、物理空間分散?應(yīng)用較少、類型較少?用途：用于業(yè)務(wù)服務(wù)、辦公服務(wù)、個(gè)人等?行為：本機(jī)行為、外設(shè)行為僅內(nèi)網(wǎng)行為清點(diǎn)：盡量清點(diǎn)基線：以系統(tǒng)基線為主、相對(duì)靈活風(fēng)險(xiǎn)：定期治理、盡量管控威脅：威脅防護(hù)為主、異常檢測(cè)為輔定期治理工作站節(jié)點(diǎn)?節(jié)點(diǎn)數(shù)量較少、物理空間集中?應(yīng)用較少、類型較少?用途：用于業(yè)務(wù)服務(wù)、外設(shè)（下位機(jī)）控制通常僅內(nèi)網(wǎng)行為清點(diǎn)：全量清點(diǎn)基線：系統(tǒng)基線、應(yīng)用基線、行為基線風(fēng)險(xiǎn)：全面管控（定期升級(jí)/修復(fù)，按需緩解）威脅：威脅防護(hù)與異常檢測(cè)/阻斷并重定期治理傳統(tǒng)IDC/服務(wù)器?節(jié)點(diǎn)數(shù)量較少、物理分布集中在少數(shù)的數(shù)據(jù)中心?應(yīng)用較多、類型較多?用途：用于業(yè)務(wù)服務(wù)、辦公服務(wù)?行為：本機(jī)行為和網(wǎng)絡(luò)行為為主，較少外設(shè)行為清點(diǎn)：全量清點(diǎn)基線：系統(tǒng)基線、應(yīng)用基線、行為基線威脅：威脅檢測(cè)與異常檢測(cè)并重、按需阻斷/告警持續(xù)治理云/容器或異構(gòu)場(chǎng)景?節(jié)點(diǎn)海量、物理分布異地異構(gòu)的數(shù)據(jù)中心?應(yīng)用眾多、類型眾多?用途：業(yè)務(wù)服務(wù)為主，辦公服務(wù)為輔?行為：本機(jī)行為和網(wǎng)絡(luò)行為為主，無(wú)外設(shè)行為海量的內(nèi)網(wǎng)（東西向）行為清點(diǎn)：全量清點(diǎn)基線：系統(tǒng)基線、應(yīng)用基線、行為基線風(fēng)險(xiǎn)：智能化的全面管控（及時(shí)升級(jí)/修復(fù)，按需緩解）威脅：威脅檢測(cè)與異常檢測(cè)并重、自動(dòng)化、按需的阻斷/告警自動(dòng)/智能化治理、持續(xù)治理Page3702?傳統(tǒng)系統(tǒng)基線外，提供執(zhí)行體級(jí)的應(yīng)用基線02?傳統(tǒng)系統(tǒng)基線外，提供執(zhí)行體級(jí)的應(yīng)用基線?采用自學(xué)習(xí)建立執(zhí)行體的網(wǎng)絡(luò)行為動(dòng)態(tài)基線并持續(xù)001?執(zhí)行體的細(xì)粒度清點(diǎn)?執(zhí)行體網(wǎng)絡(luò)流量的可視化?執(zhí)行體風(fēng)險(xiǎn)和威脅的檢測(cè)003?基于身份標(biāo)簽的執(zhí)行體訪?面向業(yè)務(wù)動(dòng)態(tài)遷移與彈性伸縮，自適應(yīng)動(dòng)態(tài)調(diào)整安全策略004化圈定響應(yīng)策略作用范圍粒度響應(yīng)控制Page38執(zhí)行體治理成熟度級(jí)別級(jí)別級(jí)別名稱描述典型能力與技術(shù)舉措典型管理舉措5級(jí)持續(xù)優(yōu)化(主動(dòng)運(yùn)營(yíng)持續(xù)優(yōu)化）在4級(jí)基礎(chǔ)上，適配業(yè)務(wù)的數(shù)字化演進(jìn)速度，主動(dòng)調(diào)整優(yōu)化指標(biāo)體系，改進(jìn)治理流程，持續(xù)運(yùn)營(yíng)規(guī)則庫(kù)、基線庫(kù)和模型庫(kù)，持續(xù)提升治理體系的運(yùn)行效率。威脅對(duì)抗運(yùn)營(yíng)平臺(tái)、統(tǒng)一威脅情報(bào)運(yùn)營(yíng)平臺(tái)、XSOAR、XSAIM……安全開發(fā)運(yùn)維一體化指南、向量級(jí)威脅情報(bào)運(yùn)營(yíng)規(guī)范、威脅獵殺指南、執(zhí)行體治理效能評(píng)估規(guī)范……4級(jí)細(xì)致評(píng)估（全量識(shí)別細(xì)粒度管控，指標(biāo)體系量化可評(píng)估）識(shí)別全部執(zhí)行體，全面掌握?qǐng)?zhí)行體和執(zhí)行體的行為與業(yè)務(wù)之間的支撐關(guān)系，建立信譽(yù)指標(biāo)、行為指標(biāo)、業(yè)務(wù)影響指標(biāo)等量化指標(biāo)，以指標(biāo)為指引針對(duì)不同場(chǎng)景建立配套的管控規(guī)則庫(kù)、基線庫(kù)和模型庫(kù)。SAST、DAST、向量級(jí)威脅情報(bào)交換、向量級(jí)威脅情報(bào)生產(chǎn)……應(yīng)用靜態(tài)安全分析與測(cè)試要求、應(yīng)用動(dòng)態(tài)安全分析與測(cè)試要求、向量級(jí)情報(bào)應(yīng)用指引……3級(jí)清晰可控（分布構(gòu)成清晰，