企業網絡安全響應服務值得信賴「多面魔方」

怎樣評估安全運營服務？

SOCaaS的定義是動態發展的，從提供基本的24小時網絡監控，到全功能的威脅檢測與緩解，都包含在內。這意味著每家供應商都有自己可以被標注為SOCaaS或傳統MSSP的服務集。糾結于是SOCaaS還是MSSP會耗去很多不必要的時間。有時候這不過是每個首字母縮略詞的定義不同，有時候這只是個理解問題，有時候要歸結到具體的產品和服務上，還有時候跟供應商的出身有關。

安全運營服務的應用

智慧城市網絡安全威脅急需安全運營

數字中國作為國家戰略，離不開一個個智慧城市的建設。而智慧城市基礎是構建的大數據中心，依賴電子政務基礎架構進行數據共享交互。

隨著智慧城市快速發展其面臨的網絡安全威脅也日益復雜、多變：

1、持續性威脅常態化，我國面臨的攻擊威脅尤為嚴重；

2、針對工業控制系統的攻擊日益增多，多起重要工業控制系統安全事件應引起重視；

3、大量聯網智能設備遭受惡意程序攻擊形成僵網絡，被用于發起大流量攻擊；

4、網站數據和個人信息泄露屢見不鮮，衍生災害嚴重；

5、移動互聯網惡意程序趨利性更加明顯，移動互聯網黑色產業鏈已經成熟；

6、不合法的軟件嚴重威脅本地數據和智能設備安全。

上述威脅急需全天候、多方位地感知整個城市的網絡安全，實現對于整個城市網絡安全持續性監測，對于城市網絡空間面臨的威脅進行實時的感知、應對與處置。

安全運營服務——安全運營中心的網絡安全治理思路

安全運營不應該僅僅強調技術，是產品和工具的組合，更應該是一套強調以安全合規為前提，以業務風險治理為核心，以“安全事件管理”為導向、“解決安全風險”為訴求、“保障網絡安全”為目標的長效安全風險治理解決方案。

以深度安全攻防研究，實現網絡安全被動治理到主動治理的轉變

傳統的網絡安全治理以“救火式”的安全運維方式開展，對網絡安全治理過于被動，無主動探索安全威脅和安全風險的機制。因此安全運營需要解決傳統網絡安全風險治理的被動局面，通過安全攻防對抗和深度安全攻防研究，以攻擊者的視角，看待網絡安全治理，轉被動安全防御為主動安全防護。

安全運營服務系統的組成

蜜罐系統

誘捕惡意攻擊行為，可先發制人，也可虛晃一招，擾亂攻擊者視線，拖延攻擊者攻擊時間甚至可獲取攻擊者攻擊手段，從而保護真實網絡。

全流量取證系統

基于網絡流量數據的存儲和檢索，提供相關網絡安全事件的事后審計能力，能完整真實的還原網絡安全事件的原始場景，滿足合規性和網絡安全事件分析的需求。

威脅分析系統

憑借自身的檢測優勢，利用支持雙向匹配的特征檢測、支持多分析場景的流檢測和基于沙箱檢測技術的文件檢測，除發現一般攻擊以外，利用威脅分析能力，結合ATT&CK模型、威脅情報、資產管理等能力，還能夠針對有效分析場景和APT攻擊進行進一步分析與研判。

EDR終端檢測響應系統

通過算法來分析系統上單個用戶終端的行為，允許它記住和連接他們的活動。數據會立即被過濾、豐富和監控，以防出現惡意行為的跡象。

安全運營指揮平臺

配備運營中心分析人員，進行多方位統籌工作。聯動以上各個設備數據，進行下一步應急響應處置工作，實現威脅早發現、快阻斷、回溯全等功能。在特殊時期，通過數據可視化，可以直觀查看威脅情況，便于值守人員操作。