2018民航網(wǎng)絡(luò)安全年會昨日收官。綠盟科技（300369）高級副總裁葉曉虎在大會首日主論壇上，針對“安全運營能力與技術(shù)創(chuàng)新”發(fā)表了精彩演講。以下是部分演講內(nèi)容分享。

　　在企業(yè)安全運營中，大家不再滿足只從合規(guī)的角度，而提出了越來越高的要求，希望從合規(guī)轉(zhuǎn)變成有效的企業(yè)安全風(fēng)險治理。我們今天面臨的網(wǎng)絡(luò)安全風(fēng)險問題，與10年前大有不同，十年前更多考慮虛擬網(wǎng)絡(luò)空間的一些事件，而今天已經(jīng)影響到整個社會的穩(wěn)定甚至包括個人生活。

　　企業(yè)如何在新的安全形勢下建設(shè)新的安全體系能力？安全體系包括設(shè)備、系統(tǒng)、人、組織、流程，所有因素加起來是整個安全運營的工作。本質(zhì)的工作沒有太大變化，但近幾年在技術(shù)、手段、能力建設(shè)上發(fā)生了很多改變。比如去建設(shè)相應(yīng)的態(tài)勢感知的能力、綜合防御、以及企業(yè)安全運營的能力建設(shè)，這幾年我們也在做落地的工作。

　　攻擊方有很好的產(chǎn)業(yè)鏈合作體系，作為防守方要怎么應(yīng)對挑戰(zhàn)？近幾年大家更關(guān)注3個方面：

　　業(yè)務(wù)系統(tǒng)安全生命周期如何把安全考慮前置

　　基于數(shù)據(jù)進(jìn)行安全能力的建設(shè)

　　針對安全事件的智能化處置與響應(yīng)

　　上圖是綠盟科技在云端所建立的安全數(shù)據(jù)能力的系統(tǒng)框架圖，對于企業(yè)環(huán)境也是類似。

　　為什么大家如此關(guān)注態(tài)勢？首先安全要能看得見，知道在我的環(huán)境里正在和可能發(fā)生什么樣的事件、做什么樣的動作，在不同運營場景下，我們對安全態(tài)勢關(guān)注的要素不同。

　　另一角度，對關(guān)鍵的業(yè)務(wù)系統(tǒng)我們也在技術(shù)上做了很多探索，如全流量深度威脅分析與檢測方案，把流量鏡像過來，通過探針去解析相應(yīng)的網(wǎng)絡(luò)源數(shù)據(jù)信息，將數(shù)據(jù)長時間跨度存儲下來，在系統(tǒng)下面構(gòu)建相應(yīng)的檢測引擎。引入威脅情報，從而實現(xiàn)對高危事件監(jiān)控、攻擊者畫像、流量監(jiān)控等一系列能力。

　　全流量檢測與傳統(tǒng)老三樣(防火墻、入侵檢測、漏洞掃描)在模型上的區(qū)別是什么？傳統(tǒng)檢測方案都是基于實時計算模型的產(chǎn)出，但流量無法追溯。在應(yīng)急響應(yīng)中，最常見也最痛苦的場景是，高危漏洞爆發(fā)后，系統(tǒng)之前已經(jīng)被黑客攻陷了，缺乏追溯機(jī)制，管理員只能每臺機(jī)器去查，工作量巨大。而全流量深度威脅分析與檢測方案就可以很好地解決這類問題。

　　幾乎所有的安全報告都會提到，企業(yè)安全團(tuán)隊人員的數(shù)量、技能遠(yuǎn)遠(yuǎn)不夠，在這種環(huán)境下，除了引入更好的設(shè)備、平臺外，我覺得另一條路是能夠與專業(yè)廠商更緊密的合作?，F(xiàn)在的企業(yè)安全已經(jīng)不滿足于廠商只提供基于設(shè)備運維(如MSS)，還需要檢測與響應(yīng)服務(wù)的能力。這就是近年來在國際國內(nèi)慢慢出現(xiàn)的一體化的可管理威脅檢測與響應(yīng)服務(wù)(MDR)。

　　MDR除了彌補(bǔ)企業(yè)安全團(tuán)隊人員數(shù)量和技能的不足，另外對企業(yè)自身的價值還從安全投資風(fēng)險、成本以及安全運營效果都有所體現(xiàn)(如圖)。

　　作為安全廠商，更多的是對企業(yè)安全運營體系或某個環(huán)節(jié)起支撐作用，這是我們近年來為客戶提供整體服務(wù)的情況。從事前、事中、事后角度來看我們能做的事情。

　　綠盟科技在2015年提出戰(zhàn)略轉(zhuǎn)型，希望能夠建設(shè)我們在云端的能力，助力地面的企業(yè)安全管理團(tuán)隊及綠盟的專業(yè)安全團(tuán)隊一起合作，使企業(yè)安全運營體系更加成熟、得到更多發(fā)展。