《腾讯安全:2023年SOC+安全运营体系白皮书(93页).pdf》由会员分享,可在线阅读,更多相关《腾讯安全:2023年SOC+安全运营体系白皮书(93页).pdf(93页珍藏版)》请在三个皮匠报告上搜索。
1、SOC+安全运营体系白皮书以威胁情报和攻防对抗为原子能力,聚焦安全运营的未来式排名商品名称购买人数总销售额1xxx手机123234人76312.92xxx电风扇92323人76312.93xxx冰箱91322人76312.94xxx榨汁机88322人76312.95xxx电视86312人76312.96xxx游戏机76312人76312.97xxx电脑56312人76312.9xxx笔记本46752人76312.99xxx水杯35312人76312.910 xxx口罩23847人76312.986%86%86%总入驻率服务占比商品占比32.8%07-0807-0807-0807-0807-08
2、2022.12报告顾问方斌 杨光夫编写组成员腾讯安全洪春华 刘桂泽 孙亚东 傅伟镔 黄羽 程碧淳 陈沅琳王未来 李国民 刘玲 陶夏溦 齐恒 李晨东腾讯知识产权部黄超 郑剑锋专家组成员程文杰 徐展 陈龙 潘佳旭 方正华 许志雄 周颖 李诚编写人员名单报告顾问方斌 杨光夫编写组成员腾讯安全洪春华 刘桂泽 孙亚东 傅伟镔 黄羽 程碧淳 陈沅琳王未来 李国民 刘玲 陶夏溦 齐恒 李晨东腾讯知识产权部黄超 郑剑锋专家组成员程文杰 徐展 陈龙 潘佳旭 方正华 许志雄 周颖 李诚编写人员名单寄 语 欢迎!随着数字化浪潮的蓬勃兴起,各类政企机构上云步伐加快。与此同时,如高危漏洞、勒索病毒、挖矿木马、APT攻击
3、等威胁层出不穷,安全形势日益严峻。许多政企机构虽部署了较为完备的基础安全产品,但防御体系仍以异构设备堆叠式为主,各设备相互割裂、难以深度协同,缺乏全局数据的可见性和主动防御能力。面对指数级增长的威胁和告警,传统的安全防御往往力不从心。政企机构亟需一款成熟的、有体系、现代化的SOC,驱动安全运营整体能力朝“实战化”不断升级和演进。“SOC+安全运营体系”是腾讯安全面向产业数字化转型推出的新理念,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。目前,腾讯SOC+集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品
4、矩阵,可支撑政企机构建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。未来,腾讯安全将依托威胁情报云将腾讯20多年攻防实战经验、业内顶尖安全实验室的安全能力、算法算力平台的安全大数据和AI技术,持续赋能并完善腾讯SOC+安全运营体系,为产业数字化升级保驾护航。腾讯安全副总裁:方斌CONTENTS目 录目 录CONTENTS一、企业安全运营行业发展特征(一)安全运营产业发展历史1.SIEM打造安全工具阶段2.态势感知融合发展阶段3.现代SOC创新发展阶段(二)我国安全运营产业发展驱动因素1.合规驱动2.业务风险驱动1.美国率先开展安全运营中心探索与部署2.美国安全运
5、营特征与演变(三)海外安全运营产业发展特点3.其他国家SOC发展特点1.威胁情报云打造安全生命周期“闭环能力”2.连接效能提升实现安全能力“集群效应”3.开放平台打造安全共赢“朋友圈”(一)数字化转型重塑IT架构,导致攻击面扩大(二)攻击方法层出不穷,安全挑战指数级增加二、企业安全运营面临新形势(三)产品能力割裂,体系化能力建设不足(四)安全人才短缺,运营效果难保障(一)“SOC+”三大进阶理念0097三、“SOC+安全运营体系”构建安全防护新理念0(一)SOC相关整体标准(二)重点领域标准制定情况(三)SOC标准演进趋势六、S
6、OC成熟度模型七、未来展望五、SOC标准加快应用落地(一)模型基本情况(二)SOC成熟度模型实践(一)贴近实战构建“防得住”的安全运营体系(二)人机汇智发挥专家经验与人工智能双重融合优势(三)多维协同实现云端赋能-本地联动-产业链协同闭环(四)生态融合提升综合安全效能的必然选择495052535861616262(三)腾讯SOC+安全运营体系优势(二)SOC+安全运营体系“架构进阶”1.原子力(Atomic Force)构筑:“情报、攻防”两大基础底座2.产品力(Product Force)打造“核心-基础-抓手-载体”产品理念3.生态力(Ecological Force)实现“共享-互补-共
7、建”安全协同机制2224242527四、SOC+安全运营体系四大进阶价值(一)TIX威胁情报中心构建弹性协同安全体系(二)SOC聚焦威胁检测与事件响应(三)NDR以实战驱动,智能化部署网络安全防护体系(四)MDR构建最佳的安全运营效果29354045CONTENTS目 录目 录CONTENTS一、企业安全运营行业发展特征(一)安全运营产业发展历史1.SIEM打造安全工具阶段2.态势感知融合发展阶段3.现代SOC创新发展阶段(二)我国安全运营产业发展驱动因素1.合规驱动2.业务风险驱动1.美国率先开展安全运营中心探索与部署2.美国安全运营特征与演变(三)海外安全运营产业发展特点3.其他国家SOC
8、发展特点1.威胁情报云打造安全生命周期“闭环能力”2.连接效能提升实现安全能力“集群效应”3.开放平台打造安全共赢“朋友圈”(一)数字化转型重塑IT架构,导致攻击面扩大(二)攻击方法层出不穷,安全挑战指数级增加二、企业安全运营面临新形势(三)产品能力割裂,体系化能力建设不足(四)安全人才短缺,运营效果难保障(一)“SOC+”三大进阶理念0097三、“SOC+安全运营体系”构建安全防护新理念0(一)SOC相关整体标准(二)重点领域标准制定情况(三)SOC标准演进趋势六、SOC成熟度模型七、未来展望五、SOC标准加快应用落地(一)模
9、型基本情况(二)SOC成熟度模型实践(一)贴近实战构建“防得住”的安全运营体系(二)人机汇智发挥专家经验与人工智能双重融合优势(三)多维协同实现云端赋能-本地联动-产业链协同闭环(四)生态融合提升综合安全效能的必然选择495052535861616262(三)腾讯SOC+安全运营体系优势(二)SOC+安全运营体系“架构进阶”1.原子力(Atomic Force)构筑:“情报、攻防”两大基础底座2.产品力(Product Force)打造“核心-基础-抓手-载体”产品理念3.生态力(Ecological Force)实现“共享-互补-共建”安全协同机制2224242527四、SOC+安全运营体系
10、四大进阶价值(一)TIX威胁情报中心构建弹性协同安全体系(二)SOC聚焦威胁检测与事件响应(三)NDR以实战驱动,智能化部署网络安全防护体系(四)MDR构建最佳的安全运营效果29354045八、腾讯SOC+实践(一)混合多云统一安全运营中心1.项目背景2.解决方案3.方案价值65676965(二)高级威胁(APT)检测与响应系统1.项目背景2.解决方案3.方案价值70717270(三)基于情报与攻击面管理的主动防御体系1.项目背景2.解决方案3.方案价值73737473(四)重保/攻防演练防护体系1.项目背景2.解决方案3.方案价值75757775(五)内部违规与用户行为异常检测项目1.项目背
11、景2.解决方案3.方案价值79808179(六)安全服务托管MSSP平台1.项目背景2.解决方案3.方案价值83848583目 录CONTENTS八、腾讯SOC+实践(一)混合多云统一安全运营中心1.项目背景2.解决方案3.方案价值65676965(二)高级威胁(APT)检测与响应系统1.项目背景2.解决方案3.方案价值70717270(三)基于情报与攻击面管理的主动防御体系1.项目背景2.解决方案3.方案价值73737473(四)重保/攻防演练防护体系1.项目背景2.解决方案3.方案价值75757775(五)内部违规与用户行为异常检测项目1.项目背景2.解决方案3.方案价值79808179(
12、六)安全服务托管MSSP平台1.项目背景2.解决方案3.方案价值83848583目 录CONTENTS一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART 信息安全建设早期,恶意代码和恶意软件层出不穷。为打破各类安全设备和系统间的“安全防御孤岛”,SIEM(Security Information and Event Management,以下简称“SIEM”)作为早期安全工具,开始在一些大型龙头企业内部使用,同时还在历史数据保留和法律合规方面发挥着一定的作用。SIEM在早期采用了较为基础的关联引擎,但是对非结构化数据的本地处理能力较
13、弱,需要用户花费大量时间进行数据查询,并且对安全事件发生的原因分析也较为初级。随着Splunk公司进入SIEM市场,并创新性的开发了一种灵活而强大的数据存储和搜索引擎,使得SIEM工具更容易获取、搜索、存储和显示数据。但是,当以0Day攻击为代表的高级威胁大量出现后,SIEM行业的竞争格局再一次开始改变。传统的SIEM工具由于存在难以实现精准告警、漏报较为严重等问题,已不是企业安全运营团队的理想选择。同时,有研究数据显示,有41%的受访企业表示:缺少熟练的安全工作人员来有效运行SIEM,也是当前面临的主要问题。随着人工智能、机器学习算法和神经网络的发展,SIEM对帮助企业识别潜在安全威胁和漏洞
14、安全解决方案的需求不断增加。尤其是后疫情时代,企业的网络边界越来越模糊,安全风险激增;要求SIEM的不断完善与创新,自动收集和分析数据,简化安全管理并尽早检测企业相关违规行为,从而推动SIEM不断发展和演进。SIEM可以识别用户、设备和应用程序的网络活动,有效提高整个基础设施的可见性并检测威胁。根据Valuates的研究报告显示:到2027年SIEM的全球市场规模预计将从2020年的39.4亿美元增长至64.4亿美元,其中持续监控和事件响应、合规要求以及日志管理等成为主要推动力量。企业安全运营行业发展特征THE FIRST PART安全运营产业发展历史01010201SIEM打造安全工具阶段
15、态势感知的概念最早主要是由SIEM产品承载,定位于安全日志的统一收集、安全事件分析和审计。态势感知覆盖感知、理解和预测三个层次,随着计算机网络的发展又提出了“网络态势感知(Cyberspace Situation Awareness,CSA)”,即在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。2016年以后,受益于国家战略层面的重视,态势感知进入蓬勃发展期。这其中攻防实战需求和大数据技术能力成为态势感知成功落地的底层驱动力:目前,态势感知应用整体来看主要有两个大类:一类是定位于合规需求,以满足等保2.0和行业监管的要求。统一采集、
16、分析和存储安全日志,用于监控、审计、统计分析、态势展示和指挥通报等。另一类是满足业务发展的安全需求。侧重于安全运营效果和效率的提升,如高级威胁发现,检测、分析、响应、处置的一体化等。往往需要采用多产品融合战略,最大化降低集成的复杂度,以运营体系应对安全威胁。02态势感知融合发展阶段从需求角度看,单点防护和已知特征检测等技术已经不能满足复杂的安全形势和实战对抗需求,需要采取更多样、深层次的综合防御措施;新技术快速发展,海量数据存储与分析可以以较低成本实现,这为态势感知提供了大量技术支撑,大量态势感知应用开始出现。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征
17、THE FIRST PART 信息安全建设早期,恶意代码和恶意软件层出不穷。为打破各类安全设备和系统间的“安全防御孤岛”,SIEM(Security Information and Event Management,以下简称“SIEM”)作为早期安全工具,开始在一些大型龙头企业内部使用,同时还在历史数据保留和法律合规方面发挥着一定的作用。SIEM在早期采用了较为基础的关联引擎,但是对非结构化数据的本地处理能力较弱,需要用户花费大量时间进行数据查询,并且对安全事件发生的原因分析也较为初级。随着Splunk公司进入SIEM市场,并创新性的开发了一种灵活而强大的数据存储和搜索引擎,使得SIEM工具更
18、容易获取、搜索、存储和显示数据。但是,当以0Day攻击为代表的高级威胁大量出现后,SIEM行业的竞争格局再一次开始改变。传统的SIEM工具由于存在难以实现精准告警、漏报较为严重等问题,已不是企业安全运营团队的理想选择。同时,有研究数据显示,有41%的受访企业表示:缺少熟练的安全工作人员来有效运行SIEM,也是当前面临的主要问题。随着人工智能、机器学习算法和神经网络的发展,SIEM对帮助企业识别潜在安全威胁和漏洞安全解决方案的需求不断增加。尤其是后疫情时代,企业的网络边界越来越模糊,安全风险激增;要求SIEM的不断完善与创新,自动收集和分析数据,简化安全管理并尽早检测企业相关违规行为,从而推动S
19、IEM不断发展和演进。SIEM可以识别用户、设备和应用程序的网络活动,有效提高整个基础设施的可见性并检测威胁。根据Valuates的研究报告显示:到2027年SIEM的全球市场规模预计将从2020年的39.4亿美元增长至64.4亿美元,其中持续监控和事件响应、合规要求以及日志管理等成为主要推动力量。企业安全运营行业发展特征THE FIRST PART安全运营产业发展历史01010201SIEM打造安全工具阶段 态势感知的概念最早主要是由SIEM产品承载,定位于安全日志的统一收集、安全事件分析和审计。态势感知覆盖感知、理解和预测三个层次,随着计算机网络的发展又提出了“网络态势感知(Cybersp
20、ace Situation Awareness,CSA)”,即在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。2016年以后,受益于国家战略层面的重视,态势感知进入蓬勃发展期。这其中攻防实战需求和大数据技术能力成为态势感知成功落地的底层驱动力:目前,态势感知应用整体来看主要有两个大类:一类是定位于合规需求,以满足等保2.0和行业监管的要求。统一采集、分析和存储安全日志,用于监控、审计、统计分析、态势展示和指挥通报等。另一类是满足业务发展的安全需求。侧重于安全运营效果和效率的提升,如高级威胁发现,检测、分析、响应、处置的一体化等。往往
21、需要采用多产品融合战略,最大化降低集成的复杂度,以运营体系应对安全威胁。02态势感知融合发展阶段从需求角度看,单点防护和已知特征检测等技术已经不能满足复杂的安全形势和实战对抗需求,需要采取更多样、深层次的综合防御措施;新技术快速发展,海量数据存储与分析可以以较低成本实现,这为态势感知提供了大量技术支撑,大量态势感知应用开始出现。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART0304 随着网络安全复杂性的凸显,态势感知在网络安全领域得到高度重视和广泛应用。未来,态势感知将跟随客户的要求和认知不断变化,总的来看将重点在以下几个方面发
22、力:随着云计算的普及和数字化转型席卷而来,网络威胁呈指数型爆炸增长,威胁源、威胁类型、威胁事件加速迭代且相互交织利用,隐蔽性和针对性极强,对工具和事件间的联动协作能力要求越来越高,集成多种安全产品和安全解决方案的现代化一体安全运营需求越来越强烈。需要进一步整合SIEM、SOAR、TIP、EDR、NDR以及云上安全解决方案等多种安全产品和解决方案,适应多种环境。为此,现代SOC开始应运而生,现代SOC有效整合多个产品或平台间割裂的数据和响应能力,从预测、防御、检测和响应四个维度构建一体化、智能化、专业化的全面威胁感知与响应体系,为客户提供更优的威胁检测效果和事件响应效率。现代SOC包含以下四个特
23、征:03现代SOC创新发展阶段企业传统的业务体系和业务环境已经从封闭转向开放,信息化需求不断升级、网络接入方式也更加多元,企业需要借助各种云平台来快速实现业务在线交付,无论是企业内部应用私有云系统,还是业务拓展所需要的公有云系统,都很难避免存在未知的漏洞与安全威胁。因此需要提升企业对安全响应速度,提供一致性高效决策,同时注重与云计算、人工智能和编排能力的使用,给用户提供端到端的安全可视性服务。现代SOC作为云端和服务工具化能力更加受关注早期态势感知基本是独立运行,客户之间的信息不关联,云化可以让用户较为方便的获取安全能力和信息,深度挖掘数据的价值。业务云化2022.12态势感知体系庞大,功能多
24、样,带来便利的同时,各种安全探针如何合理配置并形成合力,成为大家关注的焦点,因此打造“开箱即用、简单统一、方便使用”的一体化系统,成为未来态势感知发展的关键。一体化当前网络安全风险日益严重,尤其是对重大活动保障、攻防演练等场景,需要企业快速精准发现威胁,因此对态势感知能力提出了满足实战化的需求,为此需要态势感知能力能够更广泛的聚合安全能力,尤其是威胁情报能力。实战化一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART0304 随着网络安全复杂性的凸显,态势感知在网络安全领域得到高度重视和广泛应用。未来,态势感知将跟随客户的要求和认知不
25、断变化,总的来看将重点在以下几个方面发力:随着云计算的普及和数字化转型席卷而来,网络威胁呈指数型爆炸增长,威胁源、威胁类型、威胁事件加速迭代且相互交织利用,隐蔽性和针对性极强,对工具和事件间的联动协作能力要求越来越高,集成多种安全产品和安全解决方案的现代化一体安全运营需求越来越强烈。需要进一步整合SIEM、SOAR、TIP、EDR、NDR以及云上安全解决方案等多种安全产品和解决方案,适应多种环境。为此,现代SOC开始应运而生,现代SOC有效整合多个产品或平台间割裂的数据和响应能力,从预测、防御、检测和响应四个维度构建一体化、智能化、专业化的全面威胁感知与响应体系,为客户提供更优的威胁检测效果和
26、事件响应效率。现代SOC包含以下四个特征:03现代SOC创新发展阶段企业传统的业务体系和业务环境已经从封闭转向开放,信息化需求不断升级、网络接入方式也更加多元,企业需要借助各种云平台来快速实现业务在线交付,无论是企业内部应用私有云系统,还是业务拓展所需要的公有云系统,都很难避免存在未知的漏洞与安全威胁。因此需要提升企业对安全响应速度,提供一致性高效决策,同时注重与云计算、人工智能和编排能力的使用,给用户提供端到端的安全可视性服务。现代SOC作为云端和服务工具化能力更加受关注早期态势感知基本是独立运行,客户之间的信息不关联,云化可以让用户较为方便的获取安全能力和信息,深度挖掘数据的价值。业务云化
27、2022.12态势感知体系庞大,功能多样,带来便利的同时,各种安全探针如何合理配置并形成合力,成为大家关注的焦点,因此打造“开箱即用、简单统一、方便使用”的一体化系统,成为未来态势感知发展的关键。一体化当前网络安全风险日益严重,尤其是对重大活动保障、攻防演练等场景,需要企业快速精准发现威胁,因此对态势感知能力提出了满足实战化的需求,为此需要态势感知能力能够更广泛的聚合安全能力,尤其是威胁情报能力。实战化一、企业安全运营行业发展特征THE FIRST PART05根据IBM统计,相比需要耗费100天以上才能识别出数据泄露事件的公司,在100天以内识别出数据泄露事件的公司可节省超过100万美元的成
28、本。为此构建自动化、智能化安全系统和工具已经成为企业构建安全能力的当务之急,自动化工具擅长原因分析,可自动连接不同的潜在事件;人工智能技术能够根据威胁及组织的特定情况统筹安排后续步骤,解决人力问题;此外,自动化和智能化手段可以推动一致且深入的调查,让安全团队能够作出数据驱动型决策,实现工作流与补救流程的完全自动化。使用安全编排、自动化响应工具,将大大缩短分析和响应时间精准的检测和正确的决策离不开有效的情报信息,威胁情报在现代SOC中具有重要作用,可以帮助云上用户实现事前安全防御,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理。在一个有集成能力、自动化能力和情报运
29、营化能力的现代平台推动下,安全团队可以到达威胁情报项目的新高度,包括评估检测和响应效果的正反馈情况。同时,企业在对威胁情报的应用过程中,需要要考虑到威胁情报和自身的相关性、集成能力以及自动化能力等因素。威胁情报整合将成为现代SOC的重要组成部分一、企业安全运营行业发展特征THE FIRST PART现代SOC处在是一个复杂多变的环境中,需要使用数十种安全工具和解决方案以及需要应对不断增长的攻击面。为了应对这些挑战并跟上快速发展的威胁形势,现代SOC的领导者必须不断努力提高SOC效率并保持团队成员的参与,这其中不仅有安全团队内部的配合,现代SOC团队还需要与其他部门的团队密切合作,包括业务、IT
30、、人力、合规、法律等团队。团队之间需要能够共享威胁情报信息,保证足够的沟通和积极倾听,从而确保整个团队在威胁运营期间构建成一个高效协作的团队。不同部门之间的协同作用06一、企业安全运营行业发展特征THE FIRST PART05根据IBM统计,相比需要耗费100天以上才能识别出数据泄露事件的公司,在100天以内识别出数据泄露事件的公司可节省超过100万美元的成本。为此构建自动化、智能化安全系统和工具已经成为企业构建安全能力的当务之急,自动化工具擅长原因分析,可自动连接不同的潜在事件;人工智能技术能够根据威胁及组织的特定情况统筹安排后续步骤,解决人力问题;此外,自动化和智能化手段可以推动一致且深
31、入的调查,让安全团队能够作出数据驱动型决策,实现工作流与补救流程的完全自动化。使用安全编排、自动化响应工具,将大大缩短分析和响应时间精准的检测和正确的决策离不开有效的情报信息,威胁情报在现代SOC中具有重要作用,可以帮助云上用户实现事前安全防御,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理。在一个有集成能力、自动化能力和情报运营化能力的现代平台推动下,安全团队可以到达威胁情报项目的新高度,包括评估检测和响应效果的正反馈情况。同时,企业在对威胁情报的应用过程中,需要要考虑到威胁情报和自身的相关性、集成能力以及自动化能力等因素。威胁情报整合将成为现代SOC的重要组
32、成部分一、企业安全运营行业发展特征THE FIRST PART现代SOC处在是一个复杂多变的环境中,需要使用数十种安全工具和解决方案以及需要应对不断增长的攻击面。为了应对这些挑战并跟上快速发展的威胁形势,现代SOC的领导者必须不断努力提高SOC效率并保持团队成员的参与,这其中不仅有安全团队内部的配合,现代SOC团队还需要与其他部门的团队密切合作,包括业务、IT、人力、合规、法律等团队。团队之间需要能够共享威胁情报信息,保证足够的沟通和积极倾听,从而确保整个团队在威胁运营期间构建成一个高效协作的团队。不同部门之间的协同作用06一、企业安全运营行业发展特征THE FIRST PART一、企业安全运
33、营行业发展特征THE FIRST PART 当前,我国安全运营产业发展迅速,安全合规与业务风险是推动安全运营产业发展的主要推动力。需要指出的是,满足安全合规不仅仅是企业发展的“压舱石”,也是企业健康经营的“安全阀”。同时,随着国内监管部门组织的实战攻防演练中,企业安全运营工作的价值得以进一步体现:演习前资产、漏洞、配置弱点、弱口令的梳理与加固,缩小攻击暴露面。演习中实时监测威胁,及时发现攻击行为;对攻击事件进行溯源分析和应急处置,通过数据统计、可视化大屏展示等方式,掌握整体攻防演习态势。演习后完成总结报告和优化改进。因此,多数企业在实战攻防演练中,发现了安全运营中心作为支撑平台的重要性,进一步
34、加快安全运营中心的建设。我国安全运营产业发展驱动因素02070801 合规驱动 随着我国安全法律法规的进一步完善,尤其是 网络安全法、数据安全法 和个人信息保护法 的正式颁布施行,如何使得业务发展更加安全合规,成为企业关注的焦点:最重要较为重要一般价值演习前资产、漏洞、配置弱点、弱口令的梳理与加固,缩小攻击暴露面演习中实时监测威胁,及时发现攻击行为演习中对攻击事件进行溯源分析对攻击事件进行应急处置演习中通过数据统计、可视化大屏展示等方式,掌握整体攻防演习态势演习后总结报告和优化改进一方面数字时代企业加大对数据价值的挖掘和分析。例如大量企业通过数据进行用户画像分析、精准营销。另一方面安全合规要求
35、对数据的使用要遵守相关法律法规,同时保护客户数据隐私,更不能将核心数据随意与第三方做共享。一方面,随着企业壮大,安全风险对企业的打击已经成为不能承受之重,不合规将成为企业的阿克琉斯之踵。对于企业而言,在安全风险来临之时,有效的合规体系是抵御风险非常重要的一环,而企业构建合规体系正是以确定的合规管理应对不确定的外部环境。合规可使企业抵御溃塌式风险带来的致命打击,合规是企业永续经营的“压舱石”。另一方面,合规风险尚未发生之时,通过对企业和员工的经营活动设置边界,确保经营活动都在安全边界之内,对违规风险、越界行为进行预测、防范,监督、改正违规和越界行为,并形成制度性的保证。一、企业安全运营行业发展特
36、征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART 当前,我国安全运营产业发展迅速,安全合规与业务风险是推动安全运营产业发展的主要推动力。需要指出的是,满足安全合规不仅仅是企业发展的“压舱石”,也是企业健康经营的“安全阀”。同时,随着国内监管部门组织的实战攻防演练中,企业安全运营工作的价值得以进一步体现:演习前资产、漏洞、配置弱点、弱口令的梳理与加固,缩小攻击暴露面。演习中实时监测威胁,及时发现攻击行为;对攻击事件进行溯源分析和应急处置,通过数据统计、可视化大屏展示等方式,掌握整体攻防演习态势。演习后完成总结报告和优化改进。因此,多数企业在实战攻防演练中,发
37、现了安全运营中心作为支撑平台的重要性,进一步加快安全运营中心的建设。我国安全运营产业发展驱动因素02070801 合规驱动 随着我国安全法律法规的进一步完善,尤其是 网络安全法、数据安全法 和个人信息保护法 的正式颁布施行,如何使得业务发展更加安全合规,成为企业关注的焦点:最重要较为重要一般价值演习前资产、漏洞、配置弱点、弱口令的梳理与加固,缩小攻击暴露面演习中实时监测威胁,及时发现攻击行为演习中对攻击事件进行溯源分析对攻击事件进行应急处置演习中通过数据统计、可视化大屏展示等方式,掌握整体攻防演习态势演习后总结报告和优化改进一方面数字时代企业加大对数据价值的挖掘和分析。例如大量企业通过数据进行
38、用户画像分析、精准营销。另一方面安全合规要求对数据的使用要遵守相关法律法规,同时保护客户数据隐私,更不能将核心数据随意与第三方做共享。一方面,随着企业壮大,安全风险对企业的打击已经成为不能承受之重,不合规将成为企业的阿克琉斯之踵。对于企业而言,在安全风险来临之时,有效的合规体系是抵御风险非常重要的一环,而企业构建合规体系正是以确定的合规管理应对不确定的外部环境。合规可使企业抵御溃塌式风险带来的致命打击,合规是企业永续经营的“压舱石”。另一方面,合规风险尚未发生之时,通过对企业和员工的经营活动设置边界,确保经营活动都在安全边界之内,对违规风险、越界行为进行预测、防范,监督、改正违规和越界行为,并
39、形成制度性的保证。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART091002 业务风险驱动 当前,我国安全运营产业发展迅速,企业业务安全意识不断增强。有研究数据显示,有超过66%以上的企业对业务资产和漏洞的管理已有一定的认知,具备了一定的安全事件管理能力,同时已经意识到网络安全不能仅靠前期的建设,而是需要不断的运营。赛迪顾问对外发布 2020中国安全运营中心调研分析报告,从数据来看,已有79.5%的企业已经建立了专门的安全运营中心。并且以最近两年新建的居多,占38.8%。此外,建立5年以上的也达26.6%,以央企、事业单位为主,
40、重点分布在金融、互联网、能源等对安全运营重视程度较高的行业。调研单位安全运营中心运营时间5年以上26.6%19.9%20.5%19.4%21.9%19.4%数据来源:企业调研,赛迪顾问整理,2021.0911.9%9.0%10.4%5.0%4.0%31.8%无1年2年3年4年2020年2019年 与此同时,随着业务不断发展,新的安全风险不断增加。对于安全团队来说,为企业业务提供安全防护能力,助其有效管理和应对网络攻击及对业务带来的潜在影响,已经成为安全运营团队的当务之急。因此,需要驱动安全团队构建快速、智能、系统的安全运营能力建设体系:在业务安全风险方面资产一旦受到攻击,数据及业务运作都将受到
41、影响。因此,需要基于人工智能和专家系统,对大范围业务相关数据进行安全分析,发现未知威胁。通过多维度进行数据关联分析,发现潜在的安全问题。依托态势感知能力,用户可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,并能够及时采取防范措施。基于安全大数据的现代安全运营中心,提供全局的网络安全视图,使用户能够快速准确地把握全网当前的安全状态,提前识别暴露的风险资产,降低受到攻击的可能性及影响。从而掌握全网安全态势趋势,并能够对异常事件进行预警,对于提高网络应急响应能力,缓解网络攻击造成的危害,发现潜在的恶意入侵,具有重要的意义。通过智能检测引擎,可以对多个环节的检测结果综合分析、
42、准确识别、响应预警,完成对网络的全面安全防护、实现“精准防御、快速过滤、立体防护、智能联动”。同时,定期对资产进行安全评估,为用户的安全合规检查和加固行为提供决策支撑。在安全应急响应方面在建立预警机制方面在增强安全防护方面通过云端赋能,形成“云网端”协同联动的主动防御体系;基于知识库进行实时场景自适应决策响应,快速生成应急响应预案,向全网关键设备推送安全策略,实现安全事件的预警、响应和处置,完成对威胁的闭环响应机制。从而有效降低受到攻击的可能性,减少攻击对业务带来的影响。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART091002
43、 业务风险驱动 当前,我国安全运营产业发展迅速,企业业务安全意识不断增强。有研究数据显示,有超过66%以上的企业对业务资产和漏洞的管理已有一定的认知,具备了一定的安全事件管理能力,同时已经意识到网络安全不能仅靠前期的建设,而是需要不断的运营。赛迪顾问对外发布 2020中国安全运营中心调研分析报告,从数据来看,已有79.5%的企业已经建立了专门的安全运营中心。并且以最近两年新建的居多,占38.8%。此外,建立5年以上的也达26.6%,以央企、事业单位为主,重点分布在金融、互联网、能源等对安全运营重视程度较高的行业。调研单位安全运营中心运营时间5年以上26.6%19.9%20.5%19.4%21.
44、9%19.4%数据来源:企业调研,赛迪顾问整理,2021.0911.9%9.0%10.4%5.0%4.0%31.8%无1年2年3年4年2020年2019年 与此同时,随着业务不断发展,新的安全风险不断增加。对于安全团队来说,为企业业务提供安全防护能力,助其有效管理和应对网络攻击及对业务带来的潜在影响,已经成为安全运营团队的当务之急。因此,需要驱动安全团队构建快速、智能、系统的安全运营能力建设体系:在业务安全风险方面资产一旦受到攻击,数据及业务运作都将受到影响。因此,需要基于人工智能和专家系统,对大范围业务相关数据进行安全分析,发现未知威胁。通过多维度进行数据关联分析,发现潜在的安全问题。依托态
45、势感知能力,用户可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,并能够及时采取防范措施。基于安全大数据的现代安全运营中心,提供全局的网络安全视图,使用户能够快速准确地把握全网当前的安全状态,提前识别暴露的风险资产,降低受到攻击的可能性及影响。从而掌握全网安全态势趋势,并能够对异常事件进行预警,对于提高网络应急响应能力,缓解网络攻击造成的危害,发现潜在的恶意入侵,具有重要的意义。通过智能检测引擎,可以对多个环节的检测结果综合分析、准确识别、响应预警,完成对网络的全面安全防护、实现“精准防御、快速过滤、立体防护、智能联动”。同时,定期对资产进行安全评估,为用户的安全合规检
46、查和加固行为提供决策支撑。在安全应急响应方面在建立预警机制方面在增强安全防护方面通过云端赋能,形成“云网端”协同联动的主动防御体系;基于知识库进行实时场景自适应决策响应,快速生成应急响应预案,向全网关键设备推送安全策略,实现安全事件的预警、响应和处置,完成对威胁的闭环响应机制。从而有效降低受到攻击的可能性,减少攻击对业务带来的影响。海外安全运营产业发展特点031.美国率先开展安全运营中心探索与部署 美国政府机构部署了全球最早的计算机网络,安全运营中心也在这里诞生。早在上世纪90年代,美国率先开展了态势感知系统的建设工作。1999年,Tim Bass提出了态势感知的概念,并将该技术应用于多个网络
47、入侵检测系统。2012年美国启动“X计划”,构建一种实时、大规模的动态网络环境,从中了解、规划和管理网络空间的活动。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART11 为此,企业安全工作需要与公司战略和业务目标保持一直,需要将其与组织战略统一起来:一方面安全运营体系和企业业务目标相匹配,推动安全防护能力满足业务发展需要。另一方面安全运营工作需要为业务伙伴做好行动规划,以获得业务需要的安全等级,确保工作高效进行。12美国率先开展安全运营中心探索与部署美国安全运营特征与演变其他国家SOC发展特点海外安全运营产业发展特点031.美国率
48、先开展安全运营中心探索与部署 美国政府机构部署了全球最早的计算机网络,安全运营中心也在这里诞生。早在上世纪90年代,美国率先开展了态势感知系统的建设工作。1999年,Tim Bass提出了态势感知的概念,并将该技术应用于多个网络入侵检测系统。2012年美国启动“X计划”,构建一种实时、大规模的动态网络环境,从中了解、规划和管理网络空间的活动。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART11 为此,企业安全工作需要与公司战略和业务目标保持一直,需要将其与组织战略统一起来:一方面安全运营体系和企业业务目标相匹配,推动安全防护能力满
49、足业务发展需要。另一方面安全运营工作需要为业务伙伴做好行动规划,以获得业务需要的安全等级,确保工作高效进行。12美国率先开展安全运营中心探索与部署美国安全运营特征与演变其他国家SOC发展特点一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART13142.美国安全运营特征与演变美国率先开展安全运营中心探索与部署20032007201020202014美国政府启动爱因斯坦计划,建设大规模信息安全监控系统,自动收集、关联分析和共享政府机构间的安全信息,快速感知和应对网络安全威胁,增强了美国政府对网络空间态势感知能力和网络安全防御能力。美国支
50、付卡行业率先成立了PCI委员会,要求供应商遵守安全和数据保护标准。计算机事件响应小组正式制定了危机管理程序,并将重点放在早期发现能力上。同时,美国实施新的泄露告知法,企业和组织的安全项目开始增加,重大数据泄露开始向公众披露。2003年2007年美国提出可信互联网连接计划,目标是将联邦政府8000个网络出口归并为50个左右。出口整合后,便于进行安全设备统一部署,监控和防护也能做到一体化。随着进展的深入,美国发现政府基层的办事处很难覆盖完全,又提出了可管理的可信互联网协议服务。基层的办事处可通过运营商提供的NBIP-VPN,连接到可信互联网协议服务的网络中,从而完成可信互联网连接的目标。2010年
51、联邦信息安全管理法,要求各机构的信息安全方案中必须包含信息系统的持续监测。这个计划目标是将一个静态安全控制评估和风险测定过程变换成一个可以提供必要的、实时的且反映相关安全状态信息的动态系统。希望从以前只能通过手动审核的联邦信息系统法规遵从性评估管理过程提升到系统化的接近实时的自动化过程,动态管理企业的风险。要求各机构持续监测其整个IT环境,修复漏洞或其它风险点,并根据联邦数据调用要求出具报告。2014年美国NISTF发布CybersecurityFrame-work,安全运营可以拆解为5个版块:识别(Identify)、保护(Protect)、检测(Detect)、响应(Response)和恢
52、复(Recovery)。而安全运营的核心即解决问题,通过提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化,推动整体安全目标的实现。2020年美国咨询机构Ponemon发布针对SOC的调研结果显示,大多数公司将SOC视为其网络安全策略的关键要素,尤其是在最大程度减少误报,以及报告威胁情报信息方面。73的人表示,SOC对他们的整体网络安全策略至关重要(31)或非常重要(42)。77的人表示SOC分析师培训“非常重要”。一、企业安全运营行业发展特征THE FIRST PART一、企业安全运营行业发展特征THE FIRST PART13142.美国安全运营特征与演变美国率
53、先开展安全运营中心探索与部署20032007201020202014美国政府启动爱因斯坦计划,建设大规模信息安全监控系统,自动收集、关联分析和共享政府机构间的安全信息,快速感知和应对网络安全威胁,增强了美国政府对网络空间态势感知能力和网络安全防御能力。美国支付卡行业率先成立了PCI委员会,要求供应商遵守安全和数据保护标准。计算机事件响应小组正式制定了危机管理程序,并将重点放在早期发现能力上。同时,美国实施新的泄露告知法,企业和组织的安全项目开始增加,重大数据泄露开始向公众披露。2003年2007年美国提出可信互联网连接计划,目标是将联邦政府8000个网络出口归并为50个左右。出口整合后,便于进
54、行安全设备统一部署,监控和防护也能做到一体化。随着进展的深入,美国发现政府基层的办事处很难覆盖完全,又提出了可管理的可信互联网协议服务。基层的办事处可通过运营商提供的NBIP-VPN,连接到可信互联网协议服务的网络中,从而完成可信互联网连接的目标。2010年联邦信息安全管理法,要求各机构的信息安全方案中必须包含信息系统的持续监测。这个计划目标是将一个静态安全控制评估和风险测定过程变换成一个可以提供必要的、实时的且反映相关安全状态信息的动态系统。希望从以前只能通过手动审核的联邦信息系统法规遵从性评估管理过程提升到系统化的接近实时的自动化过程,动态管理企业的风险。要求各机构持续监测其整个IT环境,
55、修复漏洞或其它风险点,并根据联邦数据调用要求出具报告。2014年美国NISTF发布CybersecurityFrame-work,安全运营可以拆解为5个版块:识别(Identify)、保护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)。而安全运营的核心即解决问题,通过提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化,推动整体安全目标的实现。2020年美国咨询机构Ponemon发布针对SOC的调研结果显示,大多数公司将SOC视为其网络安全策略的关键要素,尤其是在最大程度减少误报,以及报告威胁情报信息方面。73的人表示,S
56、OC对他们的整体网络安全策略至关重要(31)或非常重要(42)。77的人表示SOC分析师培训“非常重要”。16一、企业安全运营行业发展特征THE FIRST PART153.其他国家SOC发展特点欧盟为提升信息安全监控防御能力,启动了MASSIF项目,由政府机构、科研院所和商业公司共同研发面向大型服务的新一代SIEM架构,通过智能化、可扩展、多层次、跨领域的大数据检测分析,实现对安全事件的预警与处置。该SIEM架构强调自主可控性,采用以开源软件为基础进行集成整合的技术路线。日本政府2012年3月计划在宫城县建立全国第一家大规模的反黑客设施“防御系统安全中心”,以保护日本重要基础设施和工业设施的
57、安全。该中心将参考美国国土安全部的系统经验,对涉及日本国家安全的道路交通、航空、新干线等基础设施和化学工厂等工业设施实施强有力的网络防护,以阻止黑客集团攻击。日本政府在2014年11月通过了 网络安全基本法,并于次年1月建立了日本网络安全战略总部。日本方面欧盟方面16一、企业安全运营行业发展特征THE FIRST PART153.其他国家SOC发展特点欧盟为提升信息安全监控防御能力,启动了MASSIF项目,由政府机构、科研院所和商业公司共同研发面向大型服务的新一代SIEM架构,通过智能化、可扩展、多层次、跨领域的大数据检测分析,实现对安全事件的预警与处置。该SIEM架构强调自主可控性,采用以开
58、源软件为基础进行集成整合的技术路线。日本政府2012年3月计划在宫城县建立全国第一家大规模的反黑客设施“防御系统安全中心”,以保护日本重要基础设施和工业设施的安全。该中心将参考美国国土安全部的系统经验,对涉及日本国家安全的道路交通、航空、新干线等基础设施和化学工厂等工业设施实施强有力的网络防护,以阻止黑客集团攻击。日本政府在2014年11月通过了 网络安全基本法,并于次年1月建立了日本网络安全战略总部。日本方面欧盟方面二、企业安全运营面临新形势THE SECOND PART二、企业安全运营面临新形势THE SECOND PART1718 随着数字经济快速发展,网络安全事件不断发生,各类企业逐渐
59、意识到网络安全的重要性和紧迫性,尤其是随着新安全漏洞的层出不穷,攻防新技术快速发展和应用,攻击手段越来越有针对性,给企业安全带来较大挑战,总的来看,当前企业安全运营主要面临以下四个方面的挑战:数字化转型加速推动企业上云步伐,并多呈现云上、云下相结合的混合云形态。同时,基础设施复杂度的提升,也让安全的管理难度不断加大,用户对安全体系是否真正有效缺乏信心。尤其是疫情催生的远程办公、企业SaaS的兴起,业务数字化转型,给安全复杂性带来更大的挑战。云上业务的增加,开源软件的流行,企业使用的大量软件中存在漏洞,甚至安全设备自身也存在漏洞,让攻击者可以有机可乘。软件供应链安全风险和不断暴露的企业攻击面,成
60、为攻击者最主要的突破口。企业安全体系的理念和架构亟需快速迭代,以应对数字时代的新型攻击。数字时代,数据成为企业重要资产,针对数据的攻击方法层出不穷,APT攻击、勒索攻击、供应链攻击呈现多样化、高频化、组织化等特点。网络攻击的发起方已经转向专业的黑产组织,越来越多的基础设施进入攻击者的视野范围内,尤其是物联网、车联网、工业互联网等新业态的发展,进一步催生出新业务新场景新基础设施的迭代升级,导致安全需求和企业核心业务直接关联,安全工作面临着攻击者攻击手法不断创新和复杂度呈指数级增长的趋势。企业安全运营面临新形势THESECOND PART数字化转型重塑IT架构,导致攻击面扩大01攻击方法层出不穷,
61、安全挑战指数级增加02产品能力割裂,体系化能力建设不足03安全人才短缺,运营效果难保障04 当前,企业对网络安全与稳定需求快速增长,企业在安全防御体系上部署了较为完备的基础安全产品,但仍以异构设备堆叠式建设为主,如部署不同厂商的漏扫、防火墙、WAF、IPS、EDR等。设备之间相互割裂,难以深度协同,存在信息孤岛效应和防御孤岛效应;安全防护设备的安全威胁发现手段,多以被动式的黑白名单、签名和规则特征为主,难以将现有安全能力进行统筹,达成理想的安全防御效果。随着业务围绕云构建,安全和业务的关联度在提升,现有安全能力的割裂状态将面临更大挑战,难以应对攻击的不确定性和对抗的复杂性。安全人才短缺与网络安
62、全事件层出不穷的矛盾不断加剧。一方面企业对于安全人才的需求日益增长,但人才短缺现象正在逐步扩大。另一方面安全团队在成本与效益方面难以量化平衡,安全风险没有暴露前无法客观体现工作价值,导致企业在没有合规压力和安全事件驱动前,难以加大对安全团队的投资力度。由于缺乏专业人员,以及先进技术平台支撑,企业在安全运营体系建设过程中,流程制度的建立往往是“事件驱动”,这种被动“救火式”流程机制,往往混乱无序,事倍功半。没有完善的流程制度、缺乏用于衡量安全运营工作有效性和时效性的指标,安全运营体系建设如同空中楼阁,最终安全运营效果难以保障。二、企业安全运营面临新形势THE SECOND PART二、企业安全运
63、营面临新形势THE SECOND PART1718 随着数字经济快速发展,网络安全事件不断发生,各类企业逐渐意识到网络安全的重要性和紧迫性,尤其是随着新安全漏洞的层出不穷,攻防新技术快速发展和应用,攻击手段越来越有针对性,给企业安全带来较大挑战,总的来看,当前企业安全运营主要面临以下四个方面的挑战:数字化转型加速推动企业上云步伐,并多呈现云上、云下相结合的混合云形态。同时,基础设施复杂度的提升,也让安全的管理难度不断加大,用户对安全体系是否真正有效缺乏信心。尤其是疫情催生的远程办公、企业SaaS的兴起,业务数字化转型,给安全复杂性带来更大的挑战。云上业务的增加,开源软件的流行,企业使用的大量软
64、件中存在漏洞,甚至安全设备自身也存在漏洞,让攻击者可以有机可乘。软件供应链安全风险和不断暴露的企业攻击面,成为攻击者最主要的突破口。企业安全体系的理念和架构亟需快速迭代,以应对数字时代的新型攻击。数字时代,数据成为企业重要资产,针对数据的攻击方法层出不穷,APT攻击、勒索攻击、供应链攻击呈现多样化、高频化、组织化等特点。网络攻击的发起方已经转向专业的黑产组织,越来越多的基础设施进入攻击者的视野范围内,尤其是物联网、车联网、工业互联网等新业态的发展,进一步催生出新业务新场景新基础设施的迭代升级,导致安全需求和企业核心业务直接关联,安全工作面临着攻击者攻击手法不断创新和复杂度呈指数级增长的趋势。企
65、业安全运营面临新形势THESECOND PART数字化转型重塑IT架构,导致攻击面扩大01攻击方法层出不穷,安全挑战指数级增加02产品能力割裂,体系化能力建设不足03安全人才短缺,运营效果难保障04 当前,企业对网络安全与稳定需求快速增长,企业在安全防御体系上部署了较为完备的基础安全产品,但仍以异构设备堆叠式建设为主,如部署不同厂商的漏扫、防火墙、WAF、IPS、EDR等。设备之间相互割裂,难以深度协同,存在信息孤岛效应和防御孤岛效应;安全防护设备的安全威胁发现手段,多以被动式的黑白名单、签名和规则特征为主,难以将现有安全能力进行统筹,达成理想的安全防御效果。随着业务围绕云构建,安全和业务的关
66、联度在提升,现有安全能力的割裂状态将面临更大挑战,难以应对攻击的不确定性和对抗的复杂性。安全人才短缺与网络安全事件层出不穷的矛盾不断加剧。一方面企业对于安全人才的需求日益增长,但人才短缺现象正在逐步扩大。另一方面安全团队在成本与效益方面难以量化平衡,安全风险没有暴露前无法客观体现工作价值,导致企业在没有合规压力和安全事件驱动前,难以加大对安全团队的投资力度。由于缺乏专业人员,以及先进技术平台支撑,企业在安全运营体系建设过程中,流程制度的建立往往是“事件驱动”,这种被动“救火式”流程机制,往往混乱无序,事倍功半。没有完善的流程制度、缺乏用于衡量安全运营工作有效性和时效性的指标,安全运营体系建设如
67、同空中楼阁,最终安全运营效果难以保障。“SOC+安全运营体系”构建安全防护新理念THE THIRD PART“SOC+”三大进阶理念01 面对安全运营出现的新特征新挑战,传统的安全运营中心(Security Operations Center,以下简称“SOC”)难以全面应对,尤其是网络安全事件频发、各类攻击方法以及工具的不断创新,给企业安全带来较大安全挑战。为此,需要在传统SOC能力的基础上,加快技术创新和能力提升,从产业链与生态全局的角度制定安全策略、提升安全能力,从而适应新的安全挑战和攻击,为企业提供持续、稳定的安全服务。“SOC+安全运营体系”是腾讯安全面向产业数字化转型推出的新理念,
68、强调以威胁情报运营和攻防对抗为基础,驱动客户安全运营整体能力朝“实战化”、“体系化”、“平台化”不断升级和演进。腾讯SOC+安全运营体系中的“+”有三层含义:三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART 腾讯安全依托威胁情报云将腾讯20多年攻防实战经验、业内顶尖安全实验室的安全能力、海量安全大数据和AI技术,持续赋能并完善腾讯SOC+安全运营体系。具体来看,腾讯威胁情报云将不断提升安全防护水平、丰富情报数据源并形成多维度能力矩阵,通过预测、防御、检测和响应打造安全生命周期的能力闭环。同时,威
69、胁情报云融合人工智能技术助力安全防御,打造安全大数据的智能化管理和分析能力,构建高级威胁感知和处置的自动化平台,推动SaaS化部署和订阅服务等,实现网络安全智能化,从而增强安全检测和响应能力,构建“防得住”的安全运营体系。1.威胁情报云打造安全生命周期“闭环能力”在产品集成度上逐步完善,如威胁情报中心、SOC、NDR、MDR等产品和服务连接的能力,持续开展业务和产品侧的协同。通过威胁情报云给产品赋能,构建攻击面管理(事前)、情报赋能检测(事中)、情报支撑响应(事后)协同连接,打破安全能力碎片化、割裂化的问题,重新连接融合安全能力矩阵,降低对人工的依赖,解决安全运营流程中人人、人机协同的问题,从
70、而对网络攻击进行立体分析、综合研判,推动实现更加高效安全响应。2.连接效能提升实现安全能力“集群效应”在安全能力上将更加注重对生态伙伴的开放与合作,充分发挥渠道伙伴和能力伙伴的价值,以开放平台为核心,提供高质量的情报数据,帮助生态伙伴提升发现失陷资产以及威胁事件的能力,提高威胁检测与响应效率,有效控制威胁事件的危害范围。同时,开放平台的打造将构建产业链共赢“朋友圈”,在降低复杂度、减少管理开支的基础上,实现企业间的协作共振与价值提升。例如威胁情报云的开放平台,方便企业的运营人员对威胁情报进行查询,为威胁事件的响应处置提供高精准检测能力和辅助分析决策能力,实现全产业链安全运营价值共享。总的来看,
71、将为企业打造一款成熟、有体系、现代化的平台,建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。3.开放平台打造安全共赢“朋友圈”“闭环能力”“集群效应”“朋友圈”1920“SOC+安全运营体系”构建安全防护新理念THE THIRD PART“SOC+”三大进阶理念01 面对安全运营出现的新特征新挑战,传统的安全运营中心(Security Operations Center,以下简称“SOC”)难以全面应对,尤其是网络安全事件频发、各类攻击方法以及工具的不断创新,给企业安全带来较大安全挑战。为此,需要在传统SOC能力的基础上,加快技术创新和能力提升,从产业链与生态全
72、局的角度制定安全策略、提升安全能力,从而适应新的安全挑战和攻击,为企业提供持续、稳定的安全服务。“SOC+安全运营体系”是腾讯安全面向产业数字化转型推出的新理念,强调以威胁情报运营和攻防对抗为基础,驱动客户安全运营整体能力朝“实战化”、“体系化”、“平台化”不断升级和演进。腾讯SOC+安全运营体系中的“+”有三层含义:三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART 腾讯安全依托威胁情报云将腾讯20多年攻防实战经验、业内顶尖安全实验室的安全能力、海量安全大数据和AI技术,持续赋能并完善腾讯SOC
73、+安全运营体系。具体来看,腾讯威胁情报云将不断提升安全防护水平、丰富情报数据源并形成多维度能力矩阵,通过预测、防御、检测和响应打造安全生命周期的能力闭环。同时,威胁情报云融合人工智能技术助力安全防御,打造安全大数据的智能化管理和分析能力,构建高级威胁感知和处置的自动化平台,推动SaaS化部署和订阅服务等,实现网络安全智能化,从而增强安全检测和响应能力,构建“防得住”的安全运营体系。1.威胁情报云打造安全生命周期“闭环能力”在产品集成度上逐步完善,如威胁情报中心、SOC、NDR、MDR等产品和服务连接的能力,持续开展业务和产品侧的协同。通过威胁情报云给产品赋能,构建攻击面管理(事前)、情报赋能检
74、测(事中)、情报支撑响应(事后)协同连接,打破安全能力碎片化、割裂化的问题,重新连接融合安全能力矩阵,降低对人工的依赖,解决安全运营流程中人人、人机协同的问题,从而对网络攻击进行立体分析、综合研判,推动实现更加高效安全响应。2.连接效能提升实现安全能力“集群效应”在安全能力上将更加注重对生态伙伴的开放与合作,充分发挥渠道伙伴和能力伙伴的价值,以开放平台为核心,提供高质量的情报数据,帮助生态伙伴提升发现失陷资产以及威胁事件的能力,提高威胁检测与响应效率,有效控制威胁事件的危害范围。同时,开放平台的打造将构建产业链共赢“朋友圈”,在降低复杂度、减少管理开支的基础上,实现企业间的协作共振与价值提升。
75、例如威胁情报云的开放平台,方便企业的运营人员对威胁情报进行查询,为威胁事件的响应处置提供高精准检测能力和辅助分析决策能力,实现全产业链安全运营价值共享。总的来看,将为企业打造一款成熟、有体系、现代化的平台,建立起技术、人员、流程一体化的安全运营体系,全面提升安全防护能力和安全运营效率。3.开放平台打造安全共赢“朋友圈”“闭环能力”“集群效应”“朋友圈”1920SOC+安全运营体系“架构进阶”02 腾讯“SOC+安全运营体系”支持更多企业从“安全建设”向“安全运营”转变,由“满足合规要求”导向“提升安全能力”,从被动式防御过渡到“原生式”主动安全建设,最终迈进具备成熟、智能、可持续的安全“进阶优
76、化”阶段,不断提升高阶安全防护、安全运营能力。随着数字经济演进,数字资产成为企业运营发展的核心,安全建设趋势发生三大变化:一是安全的主体,从过去以个人为主,到现在以产业为主。二是安全的形态,从过去的合规管理导向,到现在的实战对抗;三是安全管理方式,从单一化运营到一体化运营的安全运营机制;四是安全的思维,从过去的被动防御,到从战略视角规划积极动态防御。腾讯安全将二十余年积累的能力与技术提炼出来,构建出情报、攻防、管理、规划一体的IDEA模型,帮助企业降低安全建设门槛,提供系统化的安全服务。尤其是围绕企业核心业务资产,腾讯安全构建情报、攻防、管理和规划四大能力:在情报方面,打造威胁情报系统,智能感
77、知安全威胁。在攻防方面,构建全时全域攻防能力对抗全新安全挑战。在管理方面,建立全面协同的安全运营管理体系。在规划方面,从企业经营的战略视角开展主动的安全规划。定位于产业数字化转型构建最新安全防护体系,腾讯通过多年积累的威胁情报云,打造可对外复用的动态安全模型,为企业客户提供模块式、可迭代的安全服务。从安全运营角度来看,企业安全运营体系能力建设需要以情报和攻防为基础,推动安全管理和规划的全面落地实施。为此,腾讯“SOC+安全运营体系”区别过去烟囱式的安全建设方式,充分融合情报、攻防、管理与规划四大能力矩阵,通过原子力(Atomic Force)、产品力(Product Force)和生态力(Ec
78、ological Force)打造全新的安全运营体系与架构,从安全形态、安全价值、安全思维等战略视角,更全面的审视安全问题,有效解决制约SOC建设过程中的诸多瓶颈问题。图1 SOC+安全运营体系示意图SOC+安全运营体系原子力产品力生态力生态化服务集成化效率提升能力进阶在技术上新能力的引入和升级,如安全大数据的智能化管理和分析、高级威胁感知和处置的自动化,平台SaaS化的部署和服务发挥渠道伙伴和能力伙伴的价值,在全产业链构建安全运营能力在产品集成上的逐步完善,推动服务持续丰富和深度协同,从而更加高效实现安全快速响应原子力Atomic Force产品力Product Force生态力Ecolog
79、ical Force2122三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PARTSOC+安全运营体系“架构进阶”02 腾讯“SOC+安全运营体系”支持更多企业从“安全建设”向“安全运营”转变,由“满足合规要求”导向“提升安全能力”,从被动式防御过渡到“原生式”主动安全建设,最终迈进具备成熟、智能、可持续的安全“进阶优化”阶段,不断提升高阶安全防护、安全运营能力。随着数字经济演进,数字资产成为企业运营发展的核心,安全建设趋势发生三大变化:一是安全的主体,从过去以个人为主,到现在以产业为主。二是安全的形
80、态,从过去的合规管理导向,到现在的实战对抗;三是安全管理方式,从单一化运营到一体化运营的安全运营机制;四是安全的思维,从过去的被动防御,到从战略视角规划积极动态防御。腾讯安全将二十余年积累的能力与技术提炼出来,构建出情报、攻防、管理、规划一体的IDEA模型,帮助企业降低安全建设门槛,提供系统化的安全服务。尤其是围绕企业核心业务资产,腾讯安全构建情报、攻防、管理和规划四大能力:在情报方面,打造威胁情报系统,智能感知安全威胁。在攻防方面,构建全时全域攻防能力对抗全新安全挑战。在管理方面,建立全面协同的安全运营管理体系。在规划方面,从企业经营的战略视角开展主动的安全规划。定位于产业数字化转型构建最新
81、安全防护体系,腾讯通过多年积累的威胁情报云,打造可对外复用的动态安全模型,为企业客户提供模块式、可迭代的安全服务。从安全运营角度来看,企业安全运营体系能力建设需要以情报和攻防为基础,推动安全管理和规划的全面落地实施。为此,腾讯“SOC+安全运营体系”区别过去烟囱式的安全建设方式,充分融合情报、攻防、管理与规划四大能力矩阵,通过原子力(Atomic Force)、产品力(Product Force)和生态力(Ecological Force)打造全新的安全运营体系与架构,从安全形态、安全价值、安全思维等战略视角,更全面的审视安全问题,有效解决制约SOC建设过程中的诸多瓶颈问题。图1 SOC+安全
82、运营体系示意图SOC+安全运营体系原子力产品力生态力生态化服务集成化效率提升能力进阶在技术上新能力的引入和升级,如安全大数据的智能化管理和分析、高级威胁感知和处置的自动化,平台SaaS化的部署和服务发挥渠道伙伴和能力伙伴的价值,在全产业链构建安全运营能力在产品集成上的逐步完善,推动服务持续丰富和深度协同,从而更加高效实现安全快速响应原子力Atomic Force产品力Product Force生态力Ecological Force2122三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART06232
83、4三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART1.原子力(Atomic Force)构筑:“情报、攻防”两大基础底座2.产品力(Product Force)打造“核心-基础-抓手-载体”产品理念 为了更好与生态企业协同,腾讯在构建SOC+安全运营体系的同时,与国内十余家安全上市企业及数十家安全服务厂商建立了合作体系,在行业内形成了“生态资源共享、能力互补、生态共建”全新合作机制,推动伙伴携手为企业客户提供更全面可靠的安全解决方案及服务。原子力是腾讯SOC+安全运营体系基础能力引擎,包含丰富的
84、威胁情报和坚实的攻防对抗能力。在威胁情报方面,对于企业安全运营者而言,掌握全面、准确的威胁信息有利于缩短威胁发现时间,提高响应速度,使企业防御体系得到大幅提升。缺少威胁情报,安全就大打折扣。因此基于海量、多元的安全数据打造情报数据平台,形成威胁情报体系,能够让企业在威胁预测、感知、响应上占领先机。安全的本质就是攻防,在攻防对抗方面,只有掌握先进技术和人才,才能有效对抗攻击入侵。攻击者会不断寻找企业安全防护的弱点,防守方也需要不断研究攻击者的攻击手法,探索应对攻击的方法,提升安全防护能力和效率。此外,攻防博弈还促进人工智能等新技术在安全领域得到应用创新,产生新的安全防护模式和新的安全产品,并在安
85、全实践中不断得到检验和精进。产品力是腾讯SOC+安全运营体系关键所在,腾讯SOC+安全运营体系的产品力主要由四个核心模块组成,分别是TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务。具体来看:图2 腾讯SOC+安全运营全景图原子力产品力生态力安全运营平台结合自身多年攻防对抗经验和安全实验室顶尖技术,驱动客户安全运营整体能力朝“实战化”不断升级和演进推进安全能力“被集成”,链接生态资源及能力,保证服务韧性在产品集成上的逐步完善,加强产品和服务的深度协同并支持单产品精准应用或柔性的扩展组合应用SOC+安全运营全景威胁情报攻防对抗渠道伙伴能力伙伴网络威胁检测与响应
86、御界高级威胁检测系统天幕安全治理平台天幕威胁情报网关态势感知安全运营自动化内部威胁与违规安全运营服务云监测服务攻击面梳理服务威胁检测与响应服务威胁情报中心攻击面管理云端威胁情报中心本地威胁情报中心威胁情报查询在威胁情报方面在攻防对抗方面TIX威胁情报中心是“核心”依托于威胁情报云,TIX威胁情报中心能够提供第一手威胁情报,一站式情报服务,最大化发挥情报在整个企业组织安全运营体系下的价值。SOC安全运营平台是“基础”集成安全专家与AI能力,能够提高安全运营自动化效率,对安全事件进行自动化调查和响应。同时挖掘内部威胁,充分利用高价值数据,实现全方位态势感知能力。062324三、“SOC+安全运营体
87、系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART1.原子力(Atomic Force)构筑:“情报、攻防”两大基础底座2.产品力(Product Force)打造“核心-基础-抓手-载体”产品理念 为了更好与生态企业协同,腾讯在构建SOC+安全运营体系的同时,与国内十余家安全上市企业及数十家安全服务厂商建立了合作体系,在行业内形成了“生态资源共享、能力互补、生态共建”全新合作机制,推动伙伴携手为企业客户提供更全面可靠的安全解决方案及服务。原子力是腾讯SOC+安全运营体系基础能力引擎,包含丰富的威胁情报和坚实的攻防对抗能
88、力。在威胁情报方面,对于企业安全运营者而言,掌握全面、准确的威胁信息有利于缩短威胁发现时间,提高响应速度,使企业防御体系得到大幅提升。缺少威胁情报,安全就大打折扣。因此基于海量、多元的安全数据打造情报数据平台,形成威胁情报体系,能够让企业在威胁预测、感知、响应上占领先机。安全的本质就是攻防,在攻防对抗方面,只有掌握先进技术和人才,才能有效对抗攻击入侵。攻击者会不断寻找企业安全防护的弱点,防守方也需要不断研究攻击者的攻击手法,探索应对攻击的方法,提升安全防护能力和效率。此外,攻防博弈还促进人工智能等新技术在安全领域得到应用创新,产生新的安全防护模式和新的安全产品,并在安全实践中不断得到检验和精进
89、。产品力是腾讯SOC+安全运营体系关键所在,腾讯SOC+安全运营体系的产品力主要由四个核心模块组成,分别是TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务。具体来看:图2 腾讯SOC+安全运营全景图原子力产品力生态力安全运营平台结合自身多年攻防对抗经验和安全实验室顶尖技术,驱动客户安全运营整体能力朝“实战化”不断升级和演进推进安全能力“被集成”,链接生态资源及能力,保证服务韧性在产品集成上的逐步完善,加强产品和服务的深度协同并支持单产品精准应用或柔性的扩展组合应用SOC+安全运营全景威胁情报攻防对抗渠道伙伴能力伙伴网络威胁检测与响应御界高级威胁检测系统天幕安
90、全治理平台天幕威胁情报网关态势感知安全运营自动化内部威胁与违规安全运营服务云监测服务攻击面梳理服务威胁检测与响应服务威胁情报中心攻击面管理云端威胁情报中心本地威胁情报中心威胁情报查询在威胁情报方面在攻防对抗方面TIX威胁情报中心是“核心”依托于威胁情报云,TIX威胁情报中心能够提供第一手威胁情报,一站式情报服务,最大化发挥情报在整个企业组织安全运营体系下的价值。SOC安全运营平台是“基础”集成安全专家与AI能力,能够提高安全运营自动化效率,对安全事件进行自动化调查和响应。同时挖掘内部威胁,充分利用高价值数据,实现全方位态势感知能力。3.生态力(Ecological Force)实现“共享-互补
91、-共建”安全协同机制 生态力是腾讯SOC+安全运营体系持续发展的重要补给,腾讯SOC+安全运营体系的生态力主要包括渠道伙伴和能力伙伴。数字经济时代,安全需要融入更多企业、机构和个人,每个安全主体对应不同的安全责任。各方都是安全生态构建的参与者,政府、企业、第三方机构需要在战略规划、技术创新、生态建设发力,不仅需要共享彼此的威胁情报、提升攻防能力,还需要进一步加强行业资源的有效配置,形成良性生态和通畅渠道,通过将资产、风险事件、情报等大数据进行融合分析并关联化呈现,帮助用户提升安全管理效率,让安全能力“被集成”实现生态共赢,从而更好的为企业提供“有韧性”的服务。通过原子力构建的基础能力引擎,奠定
92、安全运营的最小战斗单元;基于原子力引擎打造出具有独特优势的四大能力模块,构建腾讯SOC+的产品力矩阵,从而为用户提供有别于传统SOC的进阶能力和持续安全保障;同时从产业链视角实现了渠道生态和能力生态的搭建,最终形成生态力,为全行业安全运营贡献力量。NDR网络威胁检测与响应是重要“抓手”缓解网络层安全问题,御界高级威胁检测系统和天幕安全治理平台,实时发现流量中的恶意攻击和潜在威胁,进行分析、溯源和阻断。实现网络层“检测与响应”智能化闭环。MDR安全运营服务是关键“载体”通过SaaS化服务实现云端赋能,提供云监测、攻击面梳理、威胁检测与响应等服务,整合产品/服务/人员,构建完善的安全服务支撑体系,
93、从而实现安全价值最大化。2526三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART3.生态力(Ecological Force)实现“共享-互补-共建”安全协同机制 生态力是腾讯SOC+安全运营体系持续发展的重要补给,腾讯SOC+安全运营体系的生态力主要包括渠道伙伴和能力伙伴。数字经济时代,安全需要融入更多企业、机构和个人,每个安全主体对应不同的安全责任。各方都是安全生态构建的参与者,政府、企业、第三方机构需要在战略规划、技术创新、生态建设发力,不仅需要共享彼此的威胁情报、提升攻防能力,还需要进一
94、步加强行业资源的有效配置,形成良性生态和通畅渠道,通过将资产、风险事件、情报等大数据进行融合分析并关联化呈现,帮助用户提升安全管理效率,让安全能力“被集成”实现生态共赢,从而更好的为企业提供“有韧性”的服务。通过原子力构建的基础能力引擎,奠定安全运营的最小战斗单元;基于原子力引擎打造出具有独特优势的四大能力模块,构建腾讯SOC+的产品力矩阵,从而为用户提供有别于传统SOC的进阶能力和持续安全保障;同时从产业链视角实现了渠道生态和能力生态的搭建,最终形成生态力,为全行业安全运营贡献力量。NDR网络威胁检测与响应是重要“抓手”缓解网络层安全问题,御界高级威胁检测系统和天幕安全治理平台,实时发现流量
95、中的恶意攻击和潜在威胁,进行分析、溯源和阻断。实现网络层“检测与响应”智能化闭环。MDR安全运营服务是关键“载体”通过SaaS化服务实现云端赋能,提供云监测、攻击面梳理、威胁检测与响应等服务,整合产品/服务/人员,构建完善的安全服务支撑体系,从而实现安全价值最大化。2526三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART 腾讯SOC+安全运营体系具备较强的实时性、精准性、完整性,并处于行业领先地位。同时云端迭代能力可以更好的保证腾讯SOC+安全运营体系的持续性。具体来看,腾讯产品力优势具体表现在
96、以下四个方面:具有丰富的情报数据能力、高级威胁精准检测、强大的资产暴露面测绘、重大安全事件快速响应能力等四方面的优势。通过强大的情报采集能力矩阵,提供一站式情报查询工具,实现云网端安全协同能力建设,多维度的威胁情报数据查询及分析,可帮助安全人员对威胁事件进行研判和优先级排序,最终打造出丰富的情报应用形态。腾讯SOC+安全运营体系优势03 腾讯SOC+安全运营体系,可以针对企业安全成熟度进行可量化、可视化、标准化的评估。从而适应企业数字化转型需要,实现海量安全大数据处理能力。同时,领先的云端能力,可以将云端训练成果快速的下发给到用户侧,并发挥实际效果,提升用户的体验感。通过安全事件自动调查、响应
97、和处置大幅提升威胁运营效率,实现企业全网安全态势可知、可见、可控的闭环。腾讯MDR以标准化服务包的形式提供各类服务内容,依托强大的安全工具、云端能力和广泛覆盖的服务人员等措施支持服务落地,协助企业运营人员及时发现安全风险并调整防御措施,全面持续的对安全事件进行监控、威胁检测并协助企业做威胁处置。让客户能明确感知服务价值和成果。腾讯NDR具备全流量威胁检测分析与响应阻断,实现开箱即用的八大安全专题场景,能够实时更新安全能力来应对各种攻击手法和漏洞;针对新型攻击手段,腾讯NDR具有领先的未知威胁检测能力对抗绕过类攻击和0day等;具备快速的漏洞和威胁情报更新,提升响应速度;支持IPv4、IPv6的
98、高效旁路阻断;轻松应对海量流量威胁检测与响应,适应一体机、多机集群、级联、多云混合云等多种部署方式。MDR构建标准化生态服务多技术融合提升NDR能力威胁情报云打造一站式TIX威胁情报中心智能化平台化SOC能力2728三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART 腾讯SOC+安全运营体系具备较强的实时性、精准性、完整性,并处于行业领先地位。同时云端迭代能力可以更好的保证腾讯SOC+安全运营体系的持续性。具体来看,腾讯产品力优势具体表现在以下四个方面:具有丰富的情报数据能力、高级威胁精准检测、强
99、大的资产暴露面测绘、重大安全事件快速响应能力等四方面的优势。通过强大的情报采集能力矩阵,提供一站式情报查询工具,实现云网端安全协同能力建设,多维度的威胁情报数据查询及分析,可帮助安全人员对威胁事件进行研判和优先级排序,最终打造出丰富的情报应用形态。腾讯SOC+安全运营体系优势03 腾讯SOC+安全运营体系,可以针对企业安全成熟度进行可量化、可视化、标准化的评估。从而适应企业数字化转型需要,实现海量安全大数据处理能力。同时,领先的云端能力,可以将云端训练成果快速的下发给到用户侧,并发挥实际效果,提升用户的体验感。通过安全事件自动调查、响应和处置大幅提升威胁运营效率,实现企业全网安全态势可知、可见
100、、可控的闭环。腾讯MDR以标准化服务包的形式提供各类服务内容,依托强大的安全工具、云端能力和广泛覆盖的服务人员等措施支持服务落地,协助企业运营人员及时发现安全风险并调整防御措施,全面持续的对安全事件进行监控、威胁检测并协助企业做威胁处置。让客户能明确感知服务价值和成果。腾讯NDR具备全流量威胁检测分析与响应阻断,实现开箱即用的八大安全专题场景,能够实时更新安全能力来应对各种攻击手法和漏洞;针对新型攻击手段,腾讯NDR具有领先的未知威胁检测能力对抗绕过类攻击和0day等;具备快速的漏洞和威胁情报更新,提升响应速度;支持IPv4、IPv6的高效旁路阻断;轻松应对海量流量威胁检测与响应,适应一体机、
101、多机集群、级联、多云混合云等多种部署方式。MDR构建标准化生态服务多技术融合提升NDR能力威胁情报云打造一站式TIX威胁情报中心智能化平台化SOC能力2728三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART三、“SOC+安全运营体系”构建安全防护新理念THE THIRD PART为了更好地应对当前企业安全运营面临的新形势,威胁情报应具备以下能力:后疫情时代,云计算、人工智能、5G等技术融合发展趋势明显,数字化转型将成为企业在数字经济时代发展的重要路径。同时,企业安全面临新的挑战更加严峻:越来越多的云上资产成为攻击者的主要攻击目标,传统的安全运营模式难以为继,企业需要在
102、数字原生时代构建新的安全运营模式,支撑企业建立现代化安全运营体系,全面提升安全防护能力和安全运营效率。威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报能够贯穿预测、防御、检测和响应整个安全生命周期的能力闭环,可以通过威胁情报云向产品进行赋能,实现“云网端”立体的安全能力协同。如:赋能生态产品,提供实时、精准的的威胁信息,增强检测能力(如新型的病毒、勒索攻击、挖矿木马等)。提供丰富的威胁情报信息,支撑客户进行事件调查、溯源分析和响应处置。TIX威胁情报中
103、心构建弹性协同安全体系01SOC+安全运营体系四大进阶价值THE FOURTH PART提供从基础情报到业务情报的延伸,覆盖安全的全场景。如:解决用户侧电信诈骗、薅羊毛、资产信息泄露等实际业务场景问题。情报的商业化价值丰富的情报数据源覆盖C端、B端、云端、互联网开放数据等多个维度的情报数据矩阵。强大的威胁情报云采用云端的大数据、安全智能、算法算力平台等多种高新技术进行情报自动化生产,保障输出情报的高精准度、丰富度和实时性。情报云端安全能力协同事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)。情报应用多样化以SaaS为核心,SDK、API、TIP、情报社区、小程序为辅助等多种形
104、态进行情报能力的实战化应用。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART2930为了更好地应对当前企业安全运营面临的新形势,威胁情报应具备以下能力:后疫情时代,云计算、人工智能、5G等技术融合发展趋势明显,数字化转型将成为企业在数字经济时代发展的重要路径。同时,企业安全面临新的挑战更加严峻:越来越多的云上资产成为攻击者的主要攻击目标,传统的安全运营模式难以为继,企业需要在数字原生时代构建新的安全运营模式,支撑企业建立现代化安全运营体系,全面提升安全防护能力和安全运营效率。威胁情报是一种基于证据的知识,包括了
105、情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报能够贯穿预测、防御、检测和响应整个安全生命周期的能力闭环,可以通过威胁情报云向产品进行赋能,实现“云网端”立体的安全能力协同。如:赋能生态产品,提供实时、精准的的威胁信息,增强检测能力(如新型的病毒、勒索攻击、挖矿木马等)。提供丰富的威胁情报信息,支撑客户进行事件调查、溯源分析和响应处置。TIX威胁情报中心构建弹性协同安全体系01SOC+安全运营体系四大进阶价值THE FOURTH PART提供从基础情报到业务情报的延伸,覆盖安全的全场景。
106、如:解决用户侧电信诈骗、薅羊毛、资产信息泄露等实际业务场景问题。情报的商业化价值丰富的情报数据源覆盖C端、B端、云端、互联网开放数据等多个维度的情报数据矩阵。强大的威胁情报云采用云端的大数据、安全智能、算法算力平台等多种高新技术进行情报自动化生产,保障输出情报的高精准度、丰富度和实时性。情报云端安全能力协同事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)。情报应用多样化以SaaS为核心,SDK、API、TIP、情报社区、小程序为辅助等多种形态进行情报能力的实战化应用。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE
107、FOURTH PART2930 威胁情报中心(TIX)是一款集成基础情报、攻击面情报、业务情报三大情报能力的开放平台,依托于威胁情报云,提供第一手威胁情报,一站式情报服务。支持多种交付方式满足不同客户需求,重保或日常安全防护期间,威胁情报中心可以提供情报的查询、IOC的研判分析、攻击面管理等能力,协助客户更高效的对安全事件进行分析研判和更全面的评估企业资产暴露面的风险情况,同时也支持与其他安全产品结合,提升客户侧整体安全解决方案的检测与响应能力。强大的情报采集能力矩阵 覆盖C端、B端、云端、互联网开放数据等多个维度的数据采集,采集数据量级超200万台云主机安全数据;腾讯电脑管家、腾讯手机管家等
108、市场份额超过40%的C端产品的恶意样本数据,每日采集原始安全数据3万亿条,数据采集的全面性和丰富度行业领先。业界领先的威胁情报云 威胁情报云集成了国内顶尖安全实验室提供前沿情报生产技术,超20年安全经验的安全专家团队进行持续化运营;应用超10亿终端的安全规则和算法,实时提供最新的战术型情报(TTPs)、技术型情报(含IP、域名、MD5等)、业务情报(黑灰产、仿冒、漏洞情报)等,自产情报数量占比95%以上,高精准IOCs情报准确率达到99.99%,充分联动云端算法算力,秒级去除误报;提供丰富的威胁情报标签和上下文信息。除了情报外,威胁情报云依赖腾讯云算法算力平台,对海量云端安全大数据进行持续挖掘
109、,并不断迭代优化,构建全景安全攻防框架和MITRE ATT&CK知识库,如安全防护策略、威胁检测规则、安全算法模型、威胁狩猎模版、自动调查引擎、回溯取证系统、响应处置剧本等。然后通云网端协同,将以上安全能力赋能给安全产品,能够在线升级和协同进化,以应对当前和未来的威胁。图3 威胁情报产品和能力概览图四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3132威胁情报产品和能力概览用户资产资产测绘漏洞扫描漏洞监测互联网暴露面信息泄漏劫持业务仿冒黑灰产资产维度的情报能力,覆盖资产与网络测绘、漏洞扫描与监测、暴露面监测监
110、控互联网与暗网中的黑灰产与攻击行为,为用户提供相关的信息泄漏、劫持与业务仿冒等风险的情报例如:外围雷达监测,判断博物馆中藏品是否流通黑市,是否有仿冒品出现研判分析业务情报 安全事件专题推送威胁情报产品和能力概览基础情报 机读情报 查询社区覆盖、域名、等信息的查询与威胁研判(支持查询多种方式进行能力输出)例如:博物馆的安检 门禁系统,检查进出的物品 人员的安全性攻击面情报资产暴露面测绘基础情报攻击面情报业务情报、威胁情报中心(TIX)是一款集成基础情报、攻击面情报、业务情报三大情报能力的开放平台,依托于威胁情报云,提供第一手威胁情报,一站式情报服务。支持多种交付方式满足不同客户需求,重保或日常安
111、全防护期间,威胁情报中心可以提供情报的查询、IOC的研判分析、攻击面管理等能力,协助客户更高效的对安全事件进行分析研判和更全面的评估企业资产暴露面的风险情况,同时也支持与其他安全产品结合,提升客户侧整体安全解决方案的检测与响应能力。强大的情报采集能力矩阵 覆盖C端、B端、云端、互联网开放数据等多个维度的数据采集,采集数据量级超200万台云主机安全数据;腾讯电脑管家、腾讯手机管家等市场份额超过40%的C端产品的恶意样本数据,每日采集原始安全数据3万亿条,数据采集的全面性和丰富度行业领先。业界领先的威胁情报云 威胁情报云集成了国内顶尖安全实验室提供前沿情报生产技术,超20年安全经验的安全专家团队进
112、行持续化运营;应用超10亿终端的安全规则和算法,实时提供最新的战术型情报(TTPs)、技术型情报(含IP、域名、MD5等)、业务情报(黑灰产、仿冒、漏洞情报)等,自产情报数量占比95%以上,高精准IOCs情报准确率达到99.99%,充分联动云端算法算力,秒级去除误报;提供丰富的威胁情报标签和上下文信息。除了情报外,威胁情报云依赖腾讯云算法算力平台,对海量云端安全大数据进行持续挖掘,并不断迭代优化,构建全景安全攻防框架和MITRE ATT&CK知识库,如安全防护策略、威胁检测规则、安全算法模型、威胁狩猎模版、自动调查引擎、回溯取证系统、响应处置剧本等。然后通云网端协同,将以上安全能力赋能给安全产
113、品,能够在线升级和协同进化,以应对当前和未来的威胁。图3 威胁情报产品和能力概览图四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3132威胁情报产品和能力概览用户资产资产测绘漏洞扫描漏洞监测互联网暴露面信息泄漏劫持业务仿冒黑灰产资产维度的情报能力,覆盖资产与网络测绘、漏洞扫描与监测、暴露面监测监控互联网与暗网中的黑灰产与攻击行为,为用户提供相关的信息泄漏、劫持与业务仿冒等风险的情报例如:外围雷达监测,判断博物馆中藏品是否流通黑市,是否有仿冒品出现研判分析业务情报 安全事件专题推送威胁情报产品和能力概览基础情报
114、 机读情报 查询社区覆盖、域名、等信息的查询与威胁研判(支持查询多种方式进行能力输出)例如:博物馆的安检 门禁系统,检查进出的物品 人员的安全性攻击面情报资产暴露面测绘基础情报攻击面情报业务情报、应用场景:情报能够为客户不同的应用场景和业务目标,提供强大的情报数据支撑和安全能力赋能。包括:独特的“威胁情报”云端安全协同能力 以腾讯云为载体,以云上算法算力、大数据、AI能力为底座,联合云上数百安全运营专家,基于威胁情报和重大安全事件全天候响应分析,实现对产品的赋能,并且能通过安全产品反哺云端情报能力建设,协助企业运营人员快速研判和处置重大安全事件。丰富的情报应用形态 为满足不同的用户需求,TIX
115、威胁情报中心支持以SaaS化为核心,提供WEB端、小程序、公众号、API、SDK、TIP等多种交付方式。通过被集成方式实现云端情报数据在用户本地下沉,支持与用户现有安全防护产品进行联动以提高检测响应能力。同时也支持对接SOC等安全数据平台,通过被集成方式进行高性能检测查询,提升企业整体安全运营和威胁响应效率,夯实客户安全能力,实现情报最佳实践。办公网/生产网失陷检测场景:以SaaS形态,面向客户提供一站式情报查询工具,多维度的威胁情报数据查询与分析可帮助安全人员对威胁事件(如:新型的病毒、恶意软件、勒索攻击、挖矿木马等)进行确认和优先级排序,同时智能的可视化关联分析可对线索进行深度挖掘,提供如
116、攻击团伙、APT跟踪等信息,实现安全左移。赋能生态场景 通过SDK/API等方式将云端情报赋能生态伙伴,帮助生态伙伴的安全产品提升发现失陷资产及安全威胁的能力,有效控制安全威胁的危害范围,提高威胁检测与响应效率。自建威胁情报中心场景 帮助客户在内网/专网/隔离网场景环境下,构建一套情报管理和情报应用的本地专业化威胁情报系统,赋能给本地的WAF/防火墙/SOC等安全产品,提高整体安全事件检测和处置的时效性和精准性。事前风险预防场景 对于业务资产众多的企业用户,将资产、风险事件、情报等大数据进行融合分析并关联化呈现,帮助用户提升安全管理效率。通过主动情报发现和测绘技术,对互联网暴露资产进行持续风险
117、测绘,以SaaS平台结合专业人工运营的模式,提供7*24攻击面管理、漏洞情报、黑客组织情报服务。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3334强大的情报采集能力矩阵业界领先的威胁情报云独特的“威胁情报”云端安全协同能力丰富的情报应用形态应用场景:情报能够为客户不同的应用场景和业务目标,提供强大的情报数据支撑和安全能力赋能。包括:独特的“威胁情报”云端安全协同能力 以腾讯云为载体,以云上算法算力、大数据、AI能力为底座,联合云上数百安全运营专家,基于威胁情报和重大安全事件全天候响应分析,实现对产品的赋能
118、,并且能通过安全产品反哺云端情报能力建设,协助企业运营人员快速研判和处置重大安全事件。丰富的情报应用形态 为满足不同的用户需求,TIX威胁情报中心支持以SaaS化为核心,提供WEB端、小程序、公众号、API、SDK、TIP等多种交付方式。通过被集成方式实现云端情报数据在用户本地下沉,支持与用户现有安全防护产品进行联动以提高检测响应能力。同时也支持对接SOC等安全数据平台,通过被集成方式进行高性能检测查询,提升企业整体安全运营和威胁响应效率,夯实客户安全能力,实现情报最佳实践。办公网/生产网失陷检测场景:以SaaS形态,面向客户提供一站式情报查询工具,多维度的威胁情报数据查询与分析可帮助安全人员
119、对威胁事件(如:新型的病毒、恶意软件、勒索攻击、挖矿木马等)进行确认和优先级排序,同时智能的可视化关联分析可对线索进行深度挖掘,提供如攻击团伙、APT跟踪等信息,实现安全左移。赋能生态场景 通过SDK/API等方式将云端情报赋能生态伙伴,帮助生态伙伴的安全产品提升发现失陷资产及安全威胁的能力,有效控制安全威胁的危害范围,提高威胁检测与响应效率。自建威胁情报中心场景 帮助客户在内网/专网/隔离网场景环境下,构建一套情报管理和情报应用的本地专业化威胁情报系统,赋能给本地的WAF/防火墙/SOC等安全产品,提高整体安全事件检测和处置的时效性和精准性。事前风险预防场景 对于业务资产众多的企业用户,将资
120、产、风险事件、情报等大数据进行融合分析并关联化呈现,帮助用户提升安全管理效率。通过主动情报发现和测绘技术,对互联网暴露资产进行持续风险测绘,以SaaS平台结合专业人工运营的模式,提供7*24攻击面管理、漏洞情报、黑客组织情报服务。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3334强大的情报采集能力矩阵业界领先的威胁情报云独特的“威胁情报”云端安全协同能力丰富的情报应用形态为了更好地应对当前企业安全运营面临的新形势,现代SOC应具备以下能力:SOC采用集中管理方式,统一管理企业内安全产品,收集企业和组织中所
121、有IT资产产生的安全信息,进行统一的实时监控、审计分析、调查取证,以预测、预防、检测、评估和响应安全威胁与事件。SOC产品目标是支撑客户在多云混合云架构下,日常运营和攻防对抗场景下,统一的安全管理、威胁检测、大数据分析、调查取证、和响应处置。满足Gartner对现代SOC定义。SOC安全运营平台是腾讯安全面向政府以及金融、制造业、医疗、教育等大型企事业单位推出的多云混合云场景下的统一安全运营平台。平台聚焦TDIR,为用户提供数据遥测、安全检测、威胁狩猎、调查分析、联动响应、安全可视等威胁闭环运营能力。如下图所示SOC功能架构:SOC聚焦威胁检测与事件响应02适应数字化转型需要能够覆盖多云、混合
122、云场景,还能以SaaS化、服务化的形式交付。聚焦威胁运营安全运营的重点是威胁运营,SOC需要首先具备的核心能力为TDIR(Threat Detect,Investigate and Respond威胁检测、调查和响应),并覆盖内部威胁场景。海量安全大数据处理能力需要支持海量数据遥测、检测、分析、调查取证。具备权威的安全的评价体系可直观快速的评估企业威胁检测能力覆盖度,遭受的攻击手法和攻击阶段。集成安全专家经验和AI能力实现威胁自动化调查和响应,提升安全运营效率。适应数字化转型需要聚焦威胁运营海量安全大数据处理能力具备权威的安全的评价体系集成安全专家经验和AI能力图4 腾讯SOC功能架构图腾讯S
123、OC功能架构图云原生多租户角色运营租户权限灵活定义适配多级组织架构多环境云环境办公网信创检测响应关联引擎威胁调查分析可视化展示效果种自定义视图选择自定义仪表盘组装安全运营服务安全攻防经验积累云上安全运营经验安全运营服务预测响应研判响应威胁狩猎自动化响应剧本自动溯源、拦截、响应自动响应()人工响应数据关联情报分析行为轨迹长时基线内部威胁()外部威胁(关联 情报)风险量化管理脆弱性管理情报跟踪预测攻击面收敛拦截、加固知识矩阵防御检测网络云安全运营中心Syslog/Kafka/持续监测与运营终端云第三方数据调查与响应威胁检测数据遥测四、SOC+安全运营体系四大进阶价值THE FOURTH PART四
124、、SOC+安全运营体系四大进阶价值THE FOURTH PART3536为了更好地应对当前企业安全运营面临的新形势,现代SOC应具备以下能力:SOC采用集中管理方式,统一管理企业内安全产品,收集企业和组织中所有IT资产产生的安全信息,进行统一的实时监控、审计分析、调查取证,以预测、预防、检测、评估和响应安全威胁与事件。SOC产品目标是支撑客户在多云混合云架构下,日常运营和攻防对抗场景下,统一的安全管理、威胁检测、大数据分析、调查取证、和响应处置。满足Gartner对现代SOC定义。SOC安全运营平台是腾讯安全面向政府以及金融、制造业、医疗、教育等大型企事业单位推出的多云混合云场景下的统一安全运
125、营平台。平台聚焦TDIR,为用户提供数据遥测、安全检测、威胁狩猎、调查分析、联动响应、安全可视等威胁闭环运营能力。如下图所示SOC功能架构:SOC聚焦威胁检测与事件响应02适应数字化转型需要能够覆盖多云、混合云场景,还能以SaaS化、服务化的形式交付。聚焦威胁运营安全运营的重点是威胁运营,SOC需要首先具备的核心能力为TDIR(Threat Detect,Investigate and Respond威胁检测、调查和响应),并覆盖内部威胁场景。海量安全大数据处理能力需要支持海量数据遥测、检测、分析、调查取证。具备权威的安全的评价体系可直观快速的评估企业威胁检测能力覆盖度,遭受的攻击手法和攻击阶
126、段。集成安全专家经验和AI能力实现威胁自动化调查和响应,提升安全运营效率。适应数字化转型需要聚焦威胁运营海量安全大数据处理能力具备权威的安全的评价体系集成安全专家经验和AI能力图4 腾讯SOC功能架构图腾讯SOC功能架构图云原生多租户角色运营租户权限灵活定义适配多级组织架构多环境云环境办公网信创检测响应关联引擎威胁调查分析可视化展示效果种自定义视图选择自定义仪表盘组装安全运营服务安全攻防经验积累云上安全运营经验安全运营服务预测响应研判响应威胁狩猎自动化响应剧本自动溯源、拦截、响应自动响应()人工响应数据关联情报分析行为轨迹长时基线内部威胁()外部威胁(关联 情报)风险量化管理脆弱性管理情报跟踪
127、预测攻击面收敛拦截、加固知识矩阵防御检测网络云安全运营中心Syslog/Kafka/持续监测与运营终端云第三方数据调查与响应威胁检测数据遥测四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3536海量大数据分析和处理能力 除了ES和HDFS大数据存储技术外,SOC平台还提供第二代大数据技术云数据仓库 ClickHouse,云对象存储COS。实现海量告警、日志、流量数据和事件模型的热/温/冷数据分离,支持180天以上数据存储和分析。并对安全数据进行分类和分级,在成本和收益间达到理想的平衡。完备的安全评价体系ATT
128、&CK SOC以MITRE ATT&CK技战术框架为指导,全面升级安全检测体系,实现ATT&CK企业矩阵的全面覆盖。以ATT&CK框架评价安全指标,支持ATT&CK能力可视化。全面而直接地展示当前企业防护能力全局和面临的威胁全景。另外SOC提供威胁狩猎Threat hunting,从“被动检测”走向“主动发现”,帮助企业主动发现IT环境中未被防护体系检测到的安全威胁。基于ClickHouse数据湖,以ATT&CK框架指导,通过类SQL对资产、漏洞、日志、告警、事件进行长周期多维数据关联分析。平台预置数百个威胁狩猎模版,覆盖日常运营和攻防对抗场景。集成专家经验+AI实现自动调查和响应 为了从根源
129、上解决“告警疲劳”这一业内难题,SOC将威胁情报云上安全专家在事件分析、调查、取证、溯源的能力和经验形成知识库,推出自动调查功能。通过自动调查生成安全事件(Incident),基于资产、时间线、ATT&CK技战术进行关联,自动还原攻击过程中,采用的战术、技术、过程、相关的上下文以及造成的影响,以时间线(Timeline)的方式呈现。并给出安全事件的严重级别、描述和处置建议。将每天十万甚至百万级安全告警降到安全告警-安全事件”的安全数据处理流程。安全数据湖支持海量原始事件/日志的存储、分析和快速查询。关联引擎、UEBA和自定义AI平台支持1000+规则对原始事件/日志进行分析,生成安全告警。通过
130、安全事件自动调查、响应和处置大幅提升威胁运营效率,实现企业全网安全态势可知、可见、可控的闭环。图5 TDIR示意图TDIR示意图安全事件安全告警事件 日志威胁检测分析 自动调查评测检测能力评测遥测能力评估标准安全设备告警日志资产漏洞应用日志关键系统。流量日志主机日志数据源采集归一化亿 天天天评估标准建设机制:安全专家经验自动调查威胁情报攻击者技战术TDIR四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3738海量大数据分析和处理能力 除了ES和HDFS大数据存储技术外,SOC平台还提供第二代大数据技术云数据仓
131、库 ClickHouse,云对象存储COS。实现海量告警、日志、流量数据和事件模型的热/温/冷数据分离,支持180天以上数据存储和分析。并对安全数据进行分类和分级,在成本和收益间达到理想的平衡。完备的安全评价体系ATT&CK SOC以MITRE ATT&CK技战术框架为指导,全面升级安全检测体系,实现ATT&CK企业矩阵的全面覆盖。以ATT&CK框架评价安全指标,支持ATT&CK能力可视化。全面而直接地展示当前企业防护能力全局和面临的威胁全景。另外SOC提供威胁狩猎Threat hunting,从“被动检测”走向“主动发现”,帮助企业主动发现IT环境中未被防护体系检测到的安全威胁。基于Clic
132、kHouse数据湖,以ATT&CK框架指导,通过类SQL对资产、漏洞、日志、告警、事件进行长周期多维数据关联分析。平台预置数百个威胁狩猎模版,覆盖日常运营和攻防对抗场景。集成专家经验+AI实现自动调查和响应 为了从根源上解决“告警疲劳”这一业内难题,SOC将威胁情报云上安全专家在事件分析、调查、取证、溯源的能力和经验形成知识库,推出自动调查功能。通过自动调查生成安全事件(Incident),基于资产、时间线、ATT&CK技战术进行关联,自动还原攻击过程中,采用的战术、技术、过程、相关的上下文以及造成的影响,以时间线(Timeline)的方式呈现。并给出安全事件的严重级别、描述和处置建议。将每天
133、十万甚至百万级安全告警降到安全告警-安全事件”的安全数据处理流程。安全数据湖支持海量原始事件/日志的存储、分析和快速查询。关联引擎、UEBA和自定义AI平台支持1000+规则对原始事件/日志进行分析,生成安全告警。通过安全事件自动调查、响应和处置大幅提升威胁运营效率,实现企业全网安全态势可知、可见、可控的闭环。图5 TDIR示意图TDIR示意图安全事件安全告警事件 日志威胁检测分析 自动调查评测检测能力评测遥测能力评估标准安全设备告警日志资产漏洞应用日志关键系统。流量日志主机日志数据源采集归一化亿 天天天评估标准建设机制:安全专家经验自动调查威胁情报攻击者技战术TDIR四、SOC+安全运营体系
134、四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3738应用场景:SOC能够为客户不同的应用场景和业务目标,提供强大的平台支撑和安全能力赋能。包括:为了更好地应对当前企业安全运营面临的新形势,NDR应具备以下能力:基于云端情报、算法、专家知识库迭代更新,提升安全能力,应对层出不穷的攻击手法和漏洞。实现云上、云下、IDC数据中心的安全统一运营,并与企业中的安全设备和业务系统对接,实现多云混合云环境下多级平台的统一安全运营。统一管理企业内安全产品,收集所有IT资产产生的安全信息,进行预测、防御、检测和响应,支撑日常运营。并满足等保2.0关
135、于安全管理、日志审计等合规需求。产品聚焦威胁运营,为安全运营团队提供立体的安全态势感知、精准的威胁检测、高效的调查和响应能力。通过UEBA和自定义AI平台,解决内部威胁问题,包括远程办公、内网渗透、内部破坏、内部违规、数据收集和数据泄露6大主题,实现内部风险早发现,早治理。大型多分支集团单位或行业主管单位安全监管场景,上级单位需要对下属单位的安全情况统一安全检测和指挥调度,实现多级联动、情报共享的一体化运营。NDR以实战驱动,智能化部署网络安全防护体系03 业界通常将网络威胁检测与响应系统称为NDR(Network Detection and Response),从原始流量中发现网络威胁及异常
136、,对网络威胁进行分析和溯源,并提供取证和响应手段。覆盖互联网侧(南北向流量)及内网侧(东西向)的流量。01实时更新安全能力具备规则检测及行为检测手段,如行为分析、流量深度分析、机器学习、情报、沙箱等。02高级持续性威胁、未知威胁发现能力提供自动的威胁响应方法,多种响应手段。03实现网络层自动化响应闭环基于攻击链还原安全事件,方便安全运营人员分析溯源;同时提供全流量日志存储服务,方便取证。04支持事件归并、分析、取证覆盖南北向、东西向流量,能够发现内网横移渗透行为。05支持互联网侧及内网侧的流量威胁检测支持云上、本地化、混合云场景部署。06覆盖混合云等多种场景如API安全、邮件安全、账号安全、敏
137、感数据泄露等。07帮助发现业务相关的安全风险多云/混合云/多租户统一安全运营日常运营、等保合规场景实战攻防、安全态势感知内部威胁与违规大型集团、组织多级平台级联监管四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3940应用场景:SOC能够为客户不同的应用场景和业务目标,提供强大的平台支撑和安全能力赋能。包括:为了更好地应对当前企业安全运营面临的新形势,NDR应具备以下能力:基于云端情报、算法、专家知识库迭代更新,提升安全能力,应对层出不穷的攻击手法和漏洞。实现云上、云下、IDC数据中心的安全统一运营,并与企业
138、中的安全设备和业务系统对接,实现多云混合云环境下多级平台的统一安全运营。统一管理企业内安全产品,收集所有IT资产产生的安全信息,进行预测、防御、检测和响应,支撑日常运营。并满足等保2.0关于安全管理、日志审计等合规需求。产品聚焦威胁运营,为安全运营团队提供立体的安全态势感知、精准的威胁检测、高效的调查和响应能力。通过UEBA和自定义AI平台,解决内部威胁问题,包括远程办公、内网渗透、内部破坏、内部违规、数据收集和数据泄露6大主题,实现内部风险早发现,早治理。大型多分支集团单位或行业主管单位安全监管场景,上级单位需要对下属单位的安全情况统一安全检测和指挥调度,实现多级联动、情报共享的一体化运营。
139、NDR以实战驱动,智能化部署网络安全防护体系03 业界通常将网络威胁检测与响应系统称为NDR(Network Detection and Response),从原始流量中发现网络威胁及异常,对网络威胁进行分析和溯源,并提供取证和响应手段。覆盖互联网侧(南北向流量)及内网侧(东西向)的流量。01实时更新安全能力具备规则检测及行为检测手段,如行为分析、流量深度分析、机器学习、情报、沙箱等。02高级持续性威胁、未知威胁发现能力提供自动的威胁响应方法,多种响应手段。03实现网络层自动化响应闭环基于攻击链还原安全事件,方便安全运营人员分析溯源;同时提供全流量日志存储服务,方便取证。04支持事件归并、分析
140、、取证覆盖南北向、东西向流量,能够发现内网横移渗透行为。05支持互联网侧及内网侧的流量威胁检测支持云上、本地化、混合云场景部署。06覆盖混合云等多种场景如API安全、邮件安全、账号安全、敏感数据泄露等。07帮助发现业务相关的安全风险多云/混合云/多租户统一安全运营日常运营、等保合规场景实战攻防、安全态势感知内部威胁与违规大型集团、组织多级平台级联监管四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART3940 腾讯NDR网络威胁检测与响应由NDR御界高级威胁检测系统和NDR天幕安全治理平台两款产品组成,是腾讯自研的
141、高级威胁检测(APT检测)、分析、溯源和响应一体化解决方案。通过专家规则、TAV引擎、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断等技术,实时发现流量中的恶意攻击和潜在威胁,进行全流量分析、溯源和阻断。云端协同的全流量威胁检测与响应 依托强大云端威胁情报能力和腾讯安全专家知识库,快速响应最新漏洞和事件。覆盖攻击链全阶段,集成专家规则、TAV引擎、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断等技术,发现流量中的攻击行为和异常行为,提供全面精准的威胁检测、丰富的溯源信息,快速定位威胁和失陷资产。提供多种响应手段,闭环处置攻击事件。海量流量威胁自动化响应闭环 底层安全算力算法强力支撑,高效应对海
142、量数据复杂场景。单机支持最高10G/s流量,集群支持最多40G/s流量。在IPv4和IPv6阻断场景最高可达99.99%阻断率。采用非侵入式的旁路部署,不影响企业原有网络架构。提供开放的阻断API,可接入第三方检测产品,形成响应闭环中心。大数据分析和取证能力 基于攻击链还原安全事件,将海量安全告警归并成事件,提供详细的关键和关联信息,结合威胁情报丰富上下文信息,形成攻击者画像,方便调查人员研判分析,定位溯源攻击。支持对4层流量日志和7层Payload信息存储,方便调查取证。图7 提升NDR与威胁情报联动效果图6 腾讯NDR网络威胁检测与响应产品结构图提升NDR与威胁情报联动效果网络威胁检测与响
143、应威胁情报域名 文件信誉情报攻击者画像 溯源分析查询漏洞 业务情报通报预警情报推送情报 重保专项情报失陷威胁检测,阻断风险情报推送产品与威胁情报联合应用提升威胁感知感知攻击暴露面高级威胁行为及时报警全网信息收集精准定位失陷行为及时响应阻断提升与威胁情报联动效果腾讯NDR网络威胁检测与响应产品结构图流量探针交换机深度检测调查取证响应安全安全恶意软件分析垃圾邮件过滤钓鱼邮件检测收件人画像发件人画像恶意文件分析信誉分析资产关联分析流量阻断数据泄露风险发现资产安全评估安全场景产品结构哈勃沙盒天幕旁路阻断引擎机器学习威胁检测全包存储全流量分析关联分析深度分析处置第三方设备威胁情报攻击者 受害者画像规则引
144、擎恶意附件检测四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4142 腾讯NDR网络威胁检测与响应由NDR御界高级威胁检测系统和NDR天幕安全治理平台两款产品组成,是腾讯自研的高级威胁检测(APT检测)、分析、溯源和响应一体化解决方案。通过专家规则、TAV引擎、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断等技术,实时发现流量中的恶意攻击和潜在威胁,进行全流量分析、溯源和阻断。云端协同的全流量威胁检测与响应 依托强大云端威胁情报能力和腾讯安全专家知识库,快速响应最新漏洞和事件。覆盖攻击链全阶段,集成专家规则、
145、TAV引擎、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断等技术,发现流量中的攻击行为和异常行为,提供全面精准的威胁检测、丰富的溯源信息,快速定位威胁和失陷资产。提供多种响应手段,闭环处置攻击事件。海量流量威胁自动化响应闭环 底层安全算力算法强力支撑,高效应对海量数据复杂场景。单机支持最高10G/s流量,集群支持最多40G/s流量。在IPv4和IPv6阻断场景最高可达99.99%阻断率。采用非侵入式的旁路部署,不影响企业原有网络架构。提供开放的阻断API,可接入第三方检测产品,形成响应闭环中心。大数据分析和取证能力 基于攻击链还原安全事件,将海量安全告警归并成事件,提供详细的关键和关联信息,结
146、合威胁情报丰富上下文信息,形成攻击者画像,方便调查人员研判分析,定位溯源攻击。支持对4层流量日志和7层Payload信息存储,方便调查取证。图7 提升NDR与威胁情报联动效果图6 腾讯NDR网络威胁检测与响应产品结构图提升NDR与威胁情报联动效果网络威胁检测与响应威胁情报域名 文件信誉情报攻击者画像 溯源分析查询漏洞 业务情报通报预警情报推送情报 重保专项情报失陷威胁检测,阻断风险情报推送产品与威胁情报联合应用提升威胁感知感知攻击暴露面高级威胁行为及时报警全网信息收集精准定位失陷行为及时响应阻断提升与威胁情报联动效果腾讯NDR网络威胁检测与响应产品结构图流量探针交换机深度检测调查取证响应安全安
147、全恶意软件分析垃圾邮件过滤钓鱼邮件检测收件人画像发件人画像恶意文件分析信誉分析资产关联分析流量阻断数据泄露风险发现资产安全评估安全场景产品结构哈勃沙盒天幕旁路阻断引擎机器学习威胁检测全包存储全流量分析关联分析深度分析处置第三方设备威胁情报攻击者 受害者画像规则引擎恶意附件检测四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4142多种开箱即用的安全分析专题 基于腾讯安全的运营经验,提供了多个常见安全分析专题场景:密码安全、勒索病毒、组件安全、攻击IP分析、数据泄露、登录行为分析、邮件安全和域名解析,从多种角度的
148、安全分析视图和详细关键信息,供安全运营管理人员重点关注及分析,安全效果开箱即用。应用场景:充分发挥云端腾讯威胁情报、专家知识库的优势,快速发现最新的攻击手法和0day/1day漏洞利用,毫秒级响应海量攻击行为。覆盖云上、云下的多云混合云场景,通过多种检测技术,发现流量中的攻击行为和异常行为,如Web类攻击、僵木蠕毒、漏洞利用、敏感信息泄露、密码安全问题等,提供手动或自动的旁路阻断能力。提供阻断API,接入第三方检测产品,形成闭环响应中心,从而降低复杂度,减少管理开支和提高管理有效性。通过安全专题进行场景化呈现,运用病毒指纹识别、文件行为分析、威胁情报、资产分析等丰富的检测手段与可视化分析,覆盖
149、病毒入侵和扩散过程,为企业提供直观的一站式外部威胁检测防护管理平台。弥补内网流量防护的缺失,发现内网渗透行为,检测东西向的流量威胁,如域渗透行为等,通过对域内流量、日志、行为数据的即时分析,识别域内安全风险,快速发现恶意软件横向移动迹象,在攻击者突破网络单点进入内网展开下一步行动之前,提前感知快速响应,从而避免灾难事件发生。从流量中盘点活跃资产、活跃API,统计分析业务访问及安全事件情况,发现潜在和已经发生的数据泄露、敏感信息泄露等风险事件,审计API异常行为,帮助业务团队发现安全问题并协同处置。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶
150、价值THE FOURTH PART4344攻防演练、重保场景内网横移检测帮助业务发现问题云上/云下/混合云全网流量检测与响应勒索病毒、挖矿木马防护多种开箱即用的安全分析专题 基于腾讯安全的运营经验,提供了多个常见安全分析专题场景:密码安全、勒索病毒、组件安全、攻击IP分析、数据泄露、登录行为分析、邮件安全和域名解析,从多种角度的安全分析视图和详细关键信息,供安全运营管理人员重点关注及分析,安全效果开箱即用。应用场景:充分发挥云端腾讯威胁情报、专家知识库的优势,快速发现最新的攻击手法和0day/1day漏洞利用,毫秒级响应海量攻击行为。覆盖云上、云下的多云混合云场景,通过多种检测技术,发现流量中
151、的攻击行为和异常行为,如Web类攻击、僵木蠕毒、漏洞利用、敏感信息泄露、密码安全问题等,提供手动或自动的旁路阻断能力。提供阻断API,接入第三方检测产品,形成闭环响应中心,从而降低复杂度,减少管理开支和提高管理有效性。通过安全专题进行场景化呈现,运用病毒指纹识别、文件行为分析、威胁情报、资产分析等丰富的检测手段与可视化分析,覆盖病毒入侵和扩散过程,为企业提供直观的一站式外部威胁检测防护管理平台。弥补内网流量防护的缺失,发现内网渗透行为,检测东西向的流量威胁,如域渗透行为等,通过对域内流量、日志、行为数据的即时分析,识别域内安全风险,快速发现恶意软件横向移动迹象,在攻击者突破网络单点进入内网展开
152、下一步行动之前,提前感知快速响应,从而避免灾难事件发生。从流量中盘点活跃资产、活跃API,统计分析业务访问及安全事件情况,发现潜在和已经发生的数据泄露、敏感信息泄露等风险事件,审计API异常行为,帮助业务团队发现安全问题并协同处置。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4344攻防演练、重保场景内网横移检测帮助业务发现问题云上/云下/混合云全网流量检测与响应勒索病毒、挖矿木马防护 安全运营服务(MDR)以服务外包形式,为企业提供安全运营标准化服务,解决企业自建安全团队面临安全人员不足、技能缺失、无法对
153、安全事件提供7x24的监测、检测、分析和响应等问题,避免企业遭受高级威胁攻击,让企业可以在资源有限的情况下保障安全运营效果,减轻企业安全运营成本。安全运营服务(MDR)可及时发现安全风险并调整防御措施,全面持续的对安全事件进行监控、威胁检测并协助企业做威胁处置。安全运营服务(MDR)应具备以下特点:MDR构建最佳的安全运营效果04 强大的工具为服务支撑MDR的服务人员,需要使用高级威胁分析、威胁情报、溯源取证攻击等安全工具,结合人力专业知识,以快速的识别和处置威胁。01 云端能力提供服务支持MDR的服务人员,会借助威胁情报云端能力发现最新的安全威胁、使用云端共享的专家知识库,联合威胁情报研究人
154、员联合扩大可用于安全分析的数据范围。02 可广泛覆盖的服务范围MDR的服务团队,具备检测和响应任何类型攻击所需的专业知识,广泛的服务覆盖面,可持续监控企业安全环境,随时随地的对威胁做出响应。03 腾讯MDR服务,依托SOC+产品体系,充分将产品能力与安全专家经验结合,具备以下能力:效果可量化的服务内容MDR的服务内容,应有明确、清晰的服务清单,可评估服务交付质量,通过对应的服务交付物给客户呈现直观的服务交付效果。04强大的安全工具腾讯MDR服务,围绕SOC+产品设计标准化安全运营服务包,通过MDR安全运营服务充分发挥SOC+产品的安全效果,落地安全运营技术标准。云端能力赋能交钥匙方式的标准化的
155、服务包腾讯MDR服务,充分利用腾讯威胁情报云优势,超越单个服务对象,结合全网威胁情报能力和云端共建的专家知识库,对被服务客群和行业进行全面的远程+现场服务。完善的服务生态腾讯MDR服务,通过引入ASP(腾讯授权服务合作伙伴)、CSP合作伙伴(腾讯认证服务合作伙伴),建立起覆盖全国范围的服务支撑体系和人员储备,帮助企业主动发现威胁、调查可疑活动、对安全事件做出响应。针对企业不同时期、不同场景的安全运营需求,以服务效果和交付质量为结果导向和验收标准,提供交付、运营、售后标准化的安全运营标准服务包,各类标准化交付包有完整的服务工作说明书(SOW)和服务交付基线(SLA)。四、SOC+安全运营体系四大
156、进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4546 安全运营服务(MDR)以服务外包形式,为企业提供安全运营标准化服务,解决企业自建安全团队面临安全人员不足、技能缺失、无法对安全事件提供7x24的监测、检测、分析和响应等问题,避免企业遭受高级威胁攻击,让企业可以在资源有限的情况下保障安全运营效果,减轻企业安全运营成本。安全运营服务(MDR)可及时发现安全风险并调整防御措施,全面持续的对安全事件进行监控、威胁检测并协助企业做威胁处置。安全运营服务(MDR)应具备以下特点:MDR构建最佳的安全运营效果04 强大的工具为服务支撑MDR的服
157、务人员,需要使用高级威胁分析、威胁情报、溯源取证攻击等安全工具,结合人力专业知识,以快速的识别和处置威胁。01 云端能力提供服务支持MDR的服务人员,会借助威胁情报云端能力发现最新的安全威胁、使用云端共享的专家知识库,联合威胁情报研究人员联合扩大可用于安全分析的数据范围。02 可广泛覆盖的服务范围MDR的服务团队,具备检测和响应任何类型攻击所需的专业知识,广泛的服务覆盖面,可持续监控企业安全环境,随时随地的对威胁做出响应。03 腾讯MDR服务,依托SOC+产品体系,充分将产品能力与安全专家经验结合,具备以下能力:效果可量化的服务内容MDR的服务内容,应有明确、清晰的服务清单,可评估服务交付质量
158、,通过对应的服务交付物给客户呈现直观的服务交付效果。04强大的安全工具腾讯MDR服务,围绕SOC+产品设计标准化安全运营服务包,通过MDR安全运营服务充分发挥SOC+产品的安全效果,落地安全运营技术标准。云端能力赋能交钥匙方式的标准化的服务包腾讯MDR服务,充分利用腾讯威胁情报云优势,超越单个服务对象,结合全网威胁情报能力和云端共建的专家知识库,对被服务客群和行业进行全面的远程+现场服务。完善的服务生态腾讯MDR服务,通过引入ASP(腾讯授权服务合作伙伴)、CSP合作伙伴(腾讯认证服务合作伙伴),建立起覆盖全国范围的服务支撑体系和人员储备,帮助企业主动发现威胁、调查可疑活动、对安全事件做出响应
159、。针对企业不同时期、不同场景的安全运营需求,以服务效果和交付质量为结果导向和验收标准,提供交付、运营、售后标准化的安全运营标准服务包,各类标准化交付包有完整的服务工作说明书(SOW)和服务交付基线(SLA)。四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4546 为保障安全运营服务(MDR)的服务质量和交付效果,建立一、二、三线的服务支撑体系,提供规范的服务流程,实现SOC+产品标准化安全运营服务一站式服务。腾讯安全运营服务(MDR)标准化服务包可以作为订阅式的服务,提供以下服务内容:图9 SOC+产品配套标
160、准化服务落地安全运营效果图图8 SOC+产品配套标准化服务交付模式示意图SOC+产品配套标准化服务交付模式示意图工作流程调研、确认方案设计策略配置交付安全运营报告交付验收产品配套标准化服务交付模式针对技术问题进行分析研究制定安全运营标准化服务交付标准和基线对交付和验收报告进行复核三线技术专家针对产品实施需求进行沟通确认,输出实施交付和测试方案;现场进行设备联调和标准化安全运营服务交付输出交付和验收报告一线驻场交付全程把控项目进度和项目质量与客户沟通交付情况,技术支撑,及时解决问题组织项目交付测试、项目汇报、项目验收二线项目经理功能组件介绍产品使用培训日常运维培训培训赋能产品标准化安全运营服务一
161、站式服务 提供重保、攻防演练期间安全分析、告警处置、攻击溯源,每日输出安全运营报告以及向监管单位、行业主管单位上报安全风险;确保重保、攻防演练期间及时发现和处置安全事件,实现客户关键资产零失陷、零失守,取得排名靠前的攻防演练成绩。重保及攻防演练期间值守服务 基于威胁检测和资产脆弱性的安全风险评估框架,及时预测、发现安全威胁,将安全威胁以安全风险分析报告的形式直观的呈现给客户,针对发现的安全威胁给出具体的处置建议并协助客户闭环处置,对已知威胁和未知威胁的进行有效的管理。提供日常运营期间安全日志对接、安全事件分级分类、场景化威胁建模、自动化联动处置等安全策略持续优化,根据客户实际情况建立安全运营评
162、价体系,通过安全运营报告量化呈现安全运营效果改进安全运营指标(如:MTTR、MTTD),从而提升客户安全运营成熟度。日常运营安全策略优化服务安全威胁分析与处置服务四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4748SOC+产品配套标准化服务安全运营效果图保障重要资产不被攻破取得攻防演练行业名次改进安全运营指标提升安全运营成熟度全面进行安全分析排查和评估对已知威胁和未知威胁有效管理产品配套标准化服务落地安全运营效果 为保障安全运营服务(MDR)的服务质量和交付效果,建立一、二、三线的服务支撑体系,提供规范的服
163、务流程,实现SOC+产品标准化安全运营服务一站式服务。腾讯安全运营服务(MDR)标准化服务包可以作为订阅式的服务,提供以下服务内容:图9 SOC+产品配套标准化服务落地安全运营效果图图8 SOC+产品配套标准化服务交付模式示意图SOC+产品配套标准化服务交付模式示意图工作流程调研、确认方案设计策略配置交付安全运营报告交付验收产品配套标准化服务交付模式针对技术问题进行分析研究制定安全运营标准化服务交付标准和基线对交付和验收报告进行复核三线技术专家针对产品实施需求进行沟通确认,输出实施交付和测试方案;现场进行设备联调和标准化安全运营服务交付输出交付和验收报告一线驻场交付全程把控项目进度和项目质量与
164、客户沟通交付情况,技术支撑,及时解决问题组织项目交付测试、项目汇报、项目验收二线项目经理功能组件介绍产品使用培训日常运维培训培训赋能产品标准化安全运营服务一站式服务 提供重保、攻防演练期间安全分析、告警处置、攻击溯源,每日输出安全运营报告以及向监管单位、行业主管单位上报安全风险;确保重保、攻防演练期间及时发现和处置安全事件,实现客户关键资产零失陷、零失守,取得排名靠前的攻防演练成绩。重保及攻防演练期间值守服务 基于威胁检测和资产脆弱性的安全风险评估框架,及时预测、发现安全威胁,将安全威胁以安全风险分析报告的形式直观的呈现给客户,针对发现的安全威胁给出具体的处置建议并协助客户闭环处置,对已知威胁
165、和未知威胁的进行有效的管理。提供日常运营期间安全日志对接、安全事件分级分类、场景化威胁建模、自动化联动处置等安全策略持续优化,根据客户实际情况建立安全运营评价体系,通过安全运营报告量化呈现安全运营效果改进安全运营指标(如:MTTR、MTTD),从而提升客户安全运营成熟度。日常运营安全策略优化服务安全威胁分析与处置服务四、SOC+安全运营体系四大进阶价值THE FOURTH PART四、SOC+安全运营体系四大进阶价值THE FOURTH PART4748SOC+产品配套标准化服务安全运营效果图保障重要资产不被攻破取得攻防演练行业名次改进安全运营指标提升安全运营成熟度全面进行安全分析排查和评估对
166、已知威胁和未知威胁有效管理产品配套标准化服务落地安全运营效果五、SOC标准加快应用落地THE FIFTH PART五、SOC标准加快应用落地THE FIFTH PART5049 标准化工作在安全运营中心的发展过程中起到保障、支撑和技术牵引的作用。高质量的技术标准能够帮助安全厂商指引技术研发路线、提升产品功性能指标、优化产业协作效率,帮助用户建立安全运营流程制度、提高运营能力、指导产品采购选型等。安全运营体系涉及的技术、产品、协作非常广泛,目前业界已对整体的安全运营流程机制、产品技术能力、数据格式等进行了规范和定义。在态势感知方面:2020年11月,由公安部第三研究所牵头编制的 网络安全态势感知
167、技术标准化白皮书(2020版)正式发布,白皮书对网络安全态势感知技术的发展历程、标准化需求与现状等进行了梳理,研究给出了网络安全态势感知的技术框架和标准架构,提出了网络安全态势感知标准化工作的建议。2022年6月,全国信息安全标准化技术委员会归口,由公安部第三研究所牵头、腾讯安全、天融信、绿盟等厂商参与的 信息安全技术 网络安全态势感知通用技术要求 国家标准向社会正式公开征集意见。该标准是我国态势感知领域的首个国家标准,面向态势感知类安全产品,规定了网络安全态势感知总体技术框架中核心组件的通用技术要求。2020年,中国信息通信研究院牵头推进SOC行业标准 面向云计算的安全运营中心能力 的研制工
168、作。该标准通过从SOC平台能力、安全运营人员要求、安全运营建设(运营流程、考核)等维度,对安全运营中心总体要求进行规范。截止2022年9月,国内共有16家企业通过了依据该标准的安全运营中心能力评估。SOC相关整体标准01重点领域标准制定情况02SOC标准加快应用落地THE FIFTH PART图10 面向云计算的安全运营中心能力 标准框架图11 网络安全态势感知通用技术要求 标准总体技术框架人员能力建设事前预防事中响应事后溯源平台能力建设通用模块云资产管理安全策略管控安全风险评估漏洞治理安全时间分析和告警安全编排与自动化响应安全运营知识库实时监控和可视化展示运营建设运营考核管理运营流程管理网络
169、安全态势感知的核心组件资源管理态势展示态势展示监测预警影响网络安全态势感知的要素策略管理前端数据源整体态势展示数据交换接口数据分析接口联动处置接口态势报告监测告警安全预警专题态势展示数据采集数据存储数据预处理网络攻击分析资产风险分析应急处置安全决策数据共享异常行为分析安全事件分析数据处理规划管理数据分析模型管理资产管理安全事件管理威胁信息管理态势展示五、SOC标准加快应用落地THE FIFTH PART五、SOC标准加快应用落地THE FIFTH PART5049 标准化工作在安全运营中心的发展过程中起到保障、支撑和技术牵引的作用。高质量的技术标准能够帮助安全厂商指引技术研发路线、提升产品功性
170、能指标、优化产业协作效率,帮助用户建立安全运营流程制度、提高运营能力、指导产品采购选型等。安全运营体系涉及的技术、产品、协作非常广泛,目前业界已对整体的安全运营流程机制、产品技术能力、数据格式等进行了规范和定义。在态势感知方面:2020年11月,由公安部第三研究所牵头编制的 网络安全态势感知技术标准化白皮书(2020版)正式发布,白皮书对网络安全态势感知技术的发展历程、标准化需求与现状等进行了梳理,研究给出了网络安全态势感知的技术框架和标准架构,提出了网络安全态势感知标准化工作的建议。2022年6月,全国信息安全标准化技术委员会归口,由公安部第三研究所牵头、腾讯安全、天融信、绿盟等厂商参与的
171、信息安全技术 网络安全态势感知通用技术要求 国家标准向社会正式公开征集意见。该标准是我国态势感知领域的首个国家标准,面向态势感知类安全产品,规定了网络安全态势感知总体技术框架中核心组件的通用技术要求。2020年,中国信息通信研究院牵头推进SOC行业标准 面向云计算的安全运营中心能力 的研制工作。该标准通过从SOC平台能力、安全运营人员要求、安全运营建设(运营流程、考核)等维度,对安全运营中心总体要求进行规范。截止2022年9月,国内共有16家企业通过了依据该标准的安全运营中心能力评估。SOC相关整体标准01重点领域标准制定情况02SOC标准加快应用落地THE FIFTH PART图10 面向云
172、计算的安全运营中心能力 标准框架图11 网络安全态势感知通用技术要求 标准总体技术框架人员能力建设事前预防事中响应事后溯源平台能力建设通用模块云资产管理安全策略管控安全风险评估漏洞治理安全时间分析和告警安全编排与自动化响应安全运营知识库实时监控和可视化展示运营建设运营考核管理运营流程管理网络安全态势感知的核心组件资源管理态势展示态势展示监测预警影响网络安全态势感知的要素策略管理前端数据源整体态势展示数据交换接口数据分析接口联动处置接口态势报告监测告警安全预警专题态势展示数据采集数据存储数据预处理网络攻击分析资产风险分析应急处置安全决策数据共享异常行为分析安全事件分析数据处理规划管理数据分析模型
173、管理资产管理安全事件管理威胁信息管理态势展示SOC标准演进趋势03 随着客户和市场对SOC体系的广泛应用以及该技术架构的不断成熟,SOC“平台型”厂商将发挥更大的行业牵引作用。SOC平台将集成更多安全产品和能力,并通过标准化的接口将能力开放和共享,为客户、合作伙伴提供更加完整和友好的体验与对接效率。标准化工作也将围绕SOC架构体系、平台技术接口和互操作性、数据规范,以及各模块产品功性能要求等方向深入探索。通过标准化工作不断驱动技术发展、产业协同和客户应用的不断提升和能力完善。五、SOC标准加快应用落地THE FIFTH PART五、SOC标准加快应用落地THE FIFTH PART5251 在
174、威胁情报方面:数据格式标准,威胁情报能力在SOC体系对高级威胁分析发现、提升安全事件响应效率等具有关键作用。随着安全产业链和分工迅速发展、安全影响全球化日益显著,安全运营工作对威胁情报的交换共享成为基本需求,需要保证威胁情报数据具有互操作性。因此国内外多个组织开展了相关数据格式的标准化工作,例如国外的结构化威胁信息表达式(STIX)和情报信息的可信自动化交换(TAXII)标准体系,国内于2018 年国家发布的 GB/T 366432018 信息安全技术 网络安全威胁信息格式规范 国家标准。标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述,
175、并将这些组件划分为对象、方法和事件三个域,最终构建出一个完整的网络安全威胁信息表达模型。SOC标准演进趋势03 随着客户和市场对SOC体系的广泛应用以及该技术架构的不断成熟,SOC“平台型”厂商将发挥更大的行业牵引作用。SOC平台将集成更多安全产品和能力,并通过标准化的接口将能力开放和共享,为客户、合作伙伴提供更加完整和友好的体验与对接效率。标准化工作也将围绕SOC架构体系、平台技术接口和互操作性、数据规范,以及各模块产品功性能要求等方向深入探索。通过标准化工作不断驱动技术发展、产业协同和客户应用的不断提升和能力完善。五、SOC标准加快应用落地THE FIFTH PART五、SOC标准加快应用
176、落地THE FIFTH PART5251 在威胁情报方面:数据格式标准,威胁情报能力在SOC体系对高级威胁分析发现、提升安全事件响应效率等具有关键作用。随着安全产业链和分工迅速发展、安全影响全球化日益显著,安全运营工作对威胁情报的交换共享成为基本需求,需要保证威胁情报数据具有互操作性。因此国内外多个组织开展了相关数据格式的标准化工作,例如国外的结构化威胁信息表达式(STIX)和情报信息的可信自动化交换(TAXII)标准体系,国内于2018 年国家发布的 GB/T 366432018 信息安全技术 网络安全威胁信息格式规范 国家标准。标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击
177、目标、攻击方法、应对措施等八个组件进行描述,并将这些组件划分为对象、方法和事件三个域,最终构建出一个完整的网络安全威胁信息表达模型。基于SOC的安全运营模式仍在不断发展演变中,企业关心如何评估自身安全运营的成熟度。当前,SOC安全运营模式仍处于广泛应用阶段,许多企业不确定自身正在施行的安全运营模式是否高效、安全、可靠。国内外关于SOC的建设也缺少评判依据,需要建立成熟度模型来判断其发展程度。因此,大量企业都迫切希望能够有更加科学的方法来评估自身SOC安全运营模式的成熟度,帮助企业更清楚地定位自身在后疫情时代安全领域的发展水平,以及持续发展和优化的方向。若需要深刻理解和评判企业SOC安全运营模式
178、成熟度,不仅需要安全的视角,也需要业务的视角,来共同解构SOC。为此,我们认为SOC成熟度模型应当有5个阶段:模型基本情况01SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5453 综上分析,针对企业对于SOC安全运营模式成熟度评估的需求,我们建立了一套评估SOC的成熟度的模型:模型分为6个领域,分别是:战略规划、业务支撑、合规管理、团队配备、技术保障、运营维护。每个领域,从0到5分进行打分,进行整体量化加权。L1初始阶段企业部署了基本的安全设备。L2基础阶段满足安全的规划建设与维护。L3运行阶段以安
179、全的能力建设和标准化流程建设为主。L4体系阶段实现安全体系化建设和运营。L5成熟阶段具备安全运营自 动 化、智 能化,实现自适应的安全体系。级别状态SOC成熟度目标L1初始阶段在初始建设阶段,安全建设以预防为主,具有防火墙、防病毒系统运维能力。但是资产不清晰、缺少漏洞管理机制,对整体安全威胁不可见,没有事件响应处置流程,同时缺乏顶层设计和运维团队,没有和业务进行融合。L2基础阶段安全建设以合规为主,具备安全监控人员,有资产管理动作及漏洞管理认知,对安全威胁有一定可见性,基本满足安全合规要求,但不具备与威胁事件深入分析的能力,没有建立成熟的事件响应流程和机制,同时缺乏顶层设计,没有和业务进行融合
180、。L3运行阶段安全运营团队各岗位职责明确,资产管理及漏洞管理已形成常态化流程与机制,具备威胁监测、分析及事件处置能力,对整体安全威胁态势可见,有成熟的事件响应流程,具备初步的量化管理能力。但缺乏顶层设计,没有和业务进行深度融合。L4体系阶段具有安全事件响应中心或安全运营中心等安全运营常态组织,运营团队各岗位之间紧密配合,资产、漏洞等基础工作扎实有效,能够高效地开展监测、响应、处置、调查取证分析工作,能够积极主动挖掘威胁情报,能够应对高级别的安全攻击(APT等),具有完善人员培养和量化考核机制,安全运营流程完善,部门间协同效率高。L5成熟阶段具备顶层的安全战略规划和设计,在公司内部达成共识。除了
181、“体系阶段”安全能力外,能够有机协同安全团队和业务部门自动化、智能化和自适应应对高级威胁,最大化减少人工参与、提升效率。还具备网络取证分析和威胁情报收集能力,能够发现未知威胁,能够使用自动化工具或手段开展7x24小时安全监测、事件响应处置工作,能够应对高级安全威胁(APT)。安全运营工作有全面的可量化指标,高效有序。基于SOC的安全运营模式仍在不断发展演变中,企业关心如何评估自身安全运营的成熟度。当前,SOC安全运营模式仍处于广泛应用阶段,许多企业不确定自身正在施行的安全运营模式是否高效、安全、可靠。国内外关于SOC的建设也缺少评判依据,需要建立成熟度模型来判断其发展程度。因此,大量企业都迫切
182、希望能够有更加科学的方法来评估自身SOC安全运营模式的成熟度,帮助企业更清楚地定位自身在后疫情时代安全领域的发展水平,以及持续发展和优化的方向。若需要深刻理解和评判企业SOC安全运营模式成熟度,不仅需要安全的视角,也需要业务的视角,来共同解构SOC。为此,我们认为SOC成熟度模型应当有5个阶段:模型基本情况01SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5453 综上分析,针对企业对于SOC安全运营模式成熟度评估的需求,我们建立了一套评估SOC的成熟度的模型:模型分为6个领域,分别是:战略规划、业务
183、支撑、合规管理、团队配备、技术保障、运营维护。每个领域,从0到5分进行打分,进行整体量化加权。L1初始阶段企业部署了基本的安全设备。L2基础阶段满足安全的规划建设与维护。L3运行阶段以安全的能力建设和标准化流程建设为主。L4体系阶段实现安全体系化建设和运营。L5成熟阶段具备安全运营自 动 化、智 能化,实现自适应的安全体系。级别状态SOC成熟度目标L1初始阶段在初始建设阶段,安全建设以预防为主,具有防火墙、防病毒系统运维能力。但是资产不清晰、缺少漏洞管理机制,对整体安全威胁不可见,没有事件响应处置流程,同时缺乏顶层设计和运维团队,没有和业务进行融合。L2基础阶段安全建设以合规为主,具备安全监控
184、人员,有资产管理动作及漏洞管理认知,对安全威胁有一定可见性,基本满足安全合规要求,但不具备与威胁事件深入分析的能力,没有建立成熟的事件响应流程和机制,同时缺乏顶层设计,没有和业务进行融合。L3运行阶段安全运营团队各岗位职责明确,资产管理及漏洞管理已形成常态化流程与机制,具备威胁监测、分析及事件处置能力,对整体安全威胁态势可见,有成熟的事件响应流程,具备初步的量化管理能力。但缺乏顶层设计,没有和业务进行深度融合。L4体系阶段具有安全事件响应中心或安全运营中心等安全运营常态组织,运营团队各岗位之间紧密配合,资产、漏洞等基础工作扎实有效,能够高效地开展监测、响应、处置、调查取证分析工作,能够积极主动
185、挖掘威胁情报,能够应对高级别的安全攻击(APT等),具有完善人员培养和量化考核机制,安全运营流程完善,部门间协同效率高。L5成熟阶段具备顶层的安全战略规划和设计,在公司内部达成共识。除了“体系阶段”安全能力外,能够有机协同安全团队和业务部门自动化、智能化和自适应应对高级威胁,最大化减少人工参与、提升效率。还具备网络取证分析和威胁情报收集能力,能够发现未知威胁,能够使用自动化工具或手段开展7x24小时安全监测、事件响应处置工作,能够应对高级安全威胁(APT)。安全运营工作有全面的可量化指标,高效有序。从SOC的建设上来说,一般是技术先行,管理再跟上,进而扩展到IT及业务的风险管理体系,即由安全技
186、术体系、安全管理体系、安全运营体系组成。其中,技术体系、管理体系及运营体系虽然存在着一定的关系,但绝对不是技术体系全部建设完成,才开始进行安全管理体系及安全运营体系的建设,三个体系是从安全运营中心建设之初就同时存在并且有机协调运行的。公司高层自上而下,将SOC安全运营体系作为公司发展的重要组成部分,制定相关的公司发展路线,设计相关的公司架构,并有效地将安全运营对于公司的重要性和定位传达给公司成员。公司业务及SOC安全运营体系相关的方针与底层支持紧密配合,使得公司的所有业务能够在SOC安全运营保障下顺畅持续进行,且员工理解SOC安全运营的理念、重要性与相关的操作方法和规章制度。战略规划业务支撑安
187、全合规,尤其是满足等保、网络安全法或相关行业政策规范要求是企业开展安全能力建设的第一驱动力。公司建立与SOC安全运营体系相关的一整套规章制度,以确保混合办公安全的执行。公司配备SOC安全运营体系所需的专门技术开发人员、运营维护与接口人,从人力上确保有专业团队实施安全运营的执行工作。合规管理团队配置公司通过与SOC安全运营体系相关的多种技术工具,协同实现技术层面对安全运营的保障、报警、预警与迭代优化,同时确保安全运营工作的系统化、持续化。公司对SOC安全运营体系相关的体系进行实时持续的运维,以及对SOC安全运营相关的数据进行统计、监控、分析、并指导公司的在安全领域决策。技术保障运营维护20%20
188、%15%15%15%15%战略规划业务支撑合规管理团队配置技术保障运营维护战略规划基础阶段运行阶段体系阶段成熟阶段初始阶段战略规划战略规划战略规划战略规划战略规划六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5655 从SOC的建设上来说,一般是技术先行,管理再跟上,进而扩展到IT及业务的风险管理体系,即由安全技术体系、安全管理体系、安全运营体系组成。其中,技术体系、管理体系及运营体系虽然存在着一定的关系,但绝对不是技术体系全部建设完成,才开始进行安全管理体系及安全运营体系的建设,三个体系是从安全运营中心建设之初就同时存在并且有机协调运行的。公
189、司高层自上而下,将SOC安全运营体系作为公司发展的重要组成部分,制定相关的公司发展路线,设计相关的公司架构,并有效地将安全运营对于公司的重要性和定位传达给公司成员。公司业务及SOC安全运营体系相关的方针与底层支持紧密配合,使得公司的所有业务能够在SOC安全运营保障下顺畅持续进行,且员工理解SOC安全运营的理念、重要性与相关的操作方法和规章制度。战略规划业务支撑安全合规,尤其是满足等保、网络安全法或相关行业政策规范要求是企业开展安全能力建设的第一驱动力。公司建立与SOC安全运营体系相关的一整套规章制度,以确保混合办公安全的执行。公司配备SOC安全运营体系所需的专门技术开发人员、运营维护与接口人,
190、从人力上确保有专业团队实施安全运营的执行工作。合规管理团队配置公司通过与SOC安全运营体系相关的多种技术工具,协同实现技术层面对安全运营的保障、报警、预警与迭代优化,同时确保安全运营工作的系统化、持续化。公司对SOC安全运营体系相关的体系进行实时持续的运维,以及对SOC安全运营相关的数据进行统计、监控、分析、并指导公司的在安全领域决策。技术保障运营维护20%20%15%15%15%15%战略规划业务支撑合规管理团队配置技术保障运营维护战略规划基础阶段运行阶段体系阶段成熟阶段初始阶段战略规划战略规划战略规划战略规划战略规划六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE
191、 SIXTH PART5655 该企业有明确的SOC发展目标,公司从战略层面制定架构体现了对整个工作的重视程度,但是具体的行动路径与各阶段子目标尚不明确。因此得分为2分。在战略规划方面 部分核心业务完成与SOC安全体系相磨合打通,但尚未覆盖所有业务部门。因此得分为3分。在业务支撑方面 当然,SOC安全运营体系的建设也是循序渐进、按需建设的,安全运营中心的成熟度也是一步步进行建设的,并不是一蹴而就到达成熟阶段的。每个阶段的安全运营中心都应该具备自身的目标,有能有的放矢。量化加权得分后,我们可以对企业SOC安全运营体系进行系统评价:我们以一家金融机构A为例,运用SOC安全成熟度模型进行评估。金融机
192、构A目前有2000名员工,8个业务部门和3个职能部门,企业对安全工作较为重视。2022年,金融机构A开始打造SOC安全运营体系,并将SOC安全运营体系工作上升到公司战略层面,公司升级改造了SOC安全运营体系,实现TIX、SOC联动与打通,初步探索了NDR的落地使用,并配备了相应的运维保障人员。公司总部先部署,下属单位陆续部署和计划部署。经过量化评估后,我们可以在以下6个方面给予这家企业进行打分,具体如下:SOC成熟度模型实践02得分序号234512-2.993-3.994-4.84.8-51-1.99基础阶段:满足安全和规划建设与维护运行阶段:以安全能力建设和标准化流程为主体系阶段:实现安全体
193、系化建设和运营成熟阶段:具备完善的安全运营能力及技术和管理探索初始阶段:企业部署了基本的安全设备描述备注六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5857SOC成熟度安全技术体系安全运营体系安全管理体系 该企业有明确的SOC发展目标,公司从战略层面制定架构体现了对整个工作的重视程度,但是具体的行动路径与各阶段子目标尚不明确。因此得分为2分。在战略规划方面 部分核心业务完成与SOC安全体系相磨合打通,但尚未覆盖所有业务部门。因此得分为3分。在业务支撑方面 当然,SOC安全运营体系的建设也是循序渐进、按需建设的,安全运营中心的成熟度也是一步步进
194、行建设的,并不是一蹴而就到达成熟阶段的。每个阶段的安全运营中心都应该具备自身的目标,有能有的放矢。量化加权得分后,我们可以对企业SOC安全运营体系进行系统评价:我们以一家金融机构A为例,运用SOC安全成熟度模型进行评估。金融机构A目前有2000名员工,8个业务部门和3个职能部门,企业对安全工作较为重视。2022年,金融机构A开始打造SOC安全运营体系,并将SOC安全运营体系工作上升到公司战略层面,公司升级改造了SOC安全运营体系,实现TIX、SOC联动与打通,初步探索了NDR的落地使用,并配备了相应的运维保障人员。公司总部先部署,下属单位陆续部署和计划部署。经过量化评估后,我们可以在以下6个方
195、面给予这家企业进行打分,具体如下:SOC成熟度模型实践02得分序号234512-2.993-3.994-4.84.8-51-1.99基础阶段:满足安全和规划建设与维护运行阶段:以安全能力建设和标准化流程为主体系阶段:实现安全体系化建设和运营成熟阶段:具备完善的安全运营能力及技术和管理探索初始阶段:企业部署了基本的安全设备描述备注六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5857SOC成熟度安全技术体系安全运营体系安全管理体系 在SOC安全体系中,搭建了SOC、TIX的融合应用,但NDR覆盖面不足,且MDR没有涉及,因此得分为3分。在技术保障
196、方面 有专门的运维团队,但是各数据源相互尚未打通,运维支持但并未覆盖整个公司SOC安全体系。因此得分为3分。在运营维护方面 公司在开始构建SOC体系指出,将合规放在第一位,因此得分为4分。在合规管理方面 有SOC安全相关负责人,但尚未在核心业务部门和职能部门设立对接人,团队成员目前尚未固定,因此得分为3分。在团队配置方面 具体来看:该金融机构构建了SOC安全体系的战略架构,同时在TIX、SOC、NDR等业务模块均有布局;有一定的安全技术和安全运维人员,基本上打造了安全管理、安全技术、安全运维的体系结构。这些能够引导企业从方向上和管理上,走在SOC的正确发展道路。但是,该金融机构在管理细则、技术
197、工具和安全人员方面依然薄弱,部分能力还处于尚未启动阶段,尤其是SOC里的MDR部分没有布局和落地,需要进一步增强。同时,从安全技术人员方面需要加快补齐,这样能快速地提升技术和运维能力。同时,需要注意的是SOC安全体系不是与业务割裂的,而是需要与该金融机构的业务进行深度融合与绑定,因此需要以业务契合度作为SOC安全体系成熟度的重要组成部分进行加快覆盖,从而真正发挥SOC安全体系的能力和效果。计算整体得分:该企业的整体得分=2(战略规划)*20%+3(业务支撑得分)*20%+4(合规管理得分)*15%+3(团队配置得分)*15%+3(技术运维得分)*15%+3(运维保障得分)*15%=2.95六、
198、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART6059结论与分析:该企业的整体SOC成熟度评分为2.95,属于基础阶段。在SOC安全体系中,搭建了SOC、TIX的融合应用,但NDR覆盖面不足,且MDR没有涉及,因此得分为3分。在技术保障方面 有专门的运维团队,但是各数据源相互尚未打通,运维支持但并未覆盖整个公司SOC安全体系。因此得分为3分。在运营维护方面 公司在开始构建SOC体系指出,将合规放在第一位,因此得分为4分。在合规管理方面 有SOC安全相关负责人,但尚未在核心业务部门和职能部门设立对接人,团队成员目前尚未固定,因此得分为3分。在团队配置
199、方面 具体来看:该金融机构构建了SOC安全体系的战略架构,同时在TIX、SOC、NDR等业务模块均有布局;有一定的安全技术和安全运维人员,基本上打造了安全管理、安全技术、安全运维的体系结构。这些能够引导企业从方向上和管理上,走在SOC的正确发展道路。但是,该金融机构在管理细则、技术工具和安全人员方面依然薄弱,部分能力还处于尚未启动阶段,尤其是SOC里的MDR部分没有布局和落地,需要进一步增强。同时,从安全技术人员方面需要加快补齐,这样能快速地提升技术和运维能力。同时,需要注意的是SOC安全体系不是与业务割裂的,而是需要与该金融机构的业务进行深度融合与绑定,因此需要以业务契合度作为SOC安全体系
200、成熟度的重要组成部分进行加快覆盖,从而真正发挥SOC安全体系的能力和效果。计算整体得分:该企业的整体得分=2(战略规划)*20%+3(业务支撑得分)*20%+4(合规管理得分)*15%+3(团队配置得分)*15%+3(技术运维得分)*15%+3(运维保障得分)*15%=2.95六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART6059结论与分析:该企业的整体SOC成熟度评分为2.95,属于基础阶段。七、未来展望THE SEVENTH PART七、未来展望THE SEVENTH PART6162 随着网络攻击的手段、复杂性和技术能力在快速丰富和迭代,
201、安全运营工作思路势必将逐步走向强调“实战化”、“体系化”、“平台化”,具备“原子力”、“产品力”和“生态力”的安全运营。安全运营体系呈现以下发展趋势:未 来 展 望THE SEVENTH PART 贴近实战构建“防得住”的安全运营体系 为应对开源代码、业务上云、深层漏洞、复杂供应链、社交媒体引发的网络安全威胁,企业需要根据实战化应用场景找漏洞,补短板,提高响应能力,最终目标是提升自身的安全防护水平。目前网络安全实战化已成为业内共识,实战化水平成为检验网络安全能力的重要标准。企业对安全运营提出更高要求,力争做到“防微杜渐、有备无患”,同时采取比传统安全监控、检测和响应更加先进的实战方法和经验,来
202、管理安全风险,打造“防得住”的安全运营体系。01 人机汇智发挥专家经验与人工智能双重融合优势 在安全大数据的基础和驱动下,安全运营走向智能化是必由之路。在原有安全能力的基础上,借助机器学习、深度学习等人工智能技术,提升已知和未知威胁的监测、分析、研判和响应能力,显著提升安全运营效率。智能化将能够帮助企业有效预测潜在的安全风险和威胁,在复杂系统环境中,尤其是需要快速适应、智能化对抗时,以主动学习为核心的自动化技术将带来更高的价值,例如通过人工智能手段对网络威胁进行定期检查,协助企业准确分析、关联相关数据和业务,在安全框架内做好安全防御等,人工智能将对专业人员进行智力补充,实现人机汇智。02 多维
203、协同实现云端赋能-本地联动-产业链协同闭环 介于很多企事业单位已部署了大量安全防护产品和设备,但多数设备是以异构式堆叠为主,无法深度协同,而且每天将产生海量告警,安全运营迫切需要走向自动化。通过统一的安全策略、运营平台调用各产品接口,实现安全协同IPDRR(识别/保护/检测/响应/恢复),以打破安全孤独和信息孤岛效应。同时在安全人员短缺的现实面前,需要更大程度实现自动化调查分析和安全编排响应,充分利用数据与知识共享、智能分析和辅助决策等技术,实现事件的自动调查分析、自动响应、处理与通报等功能,从而最大化发挥安全产品与安全人才的能力。03 生态融合提升综合安全效能的必然选择 随着SOC+等新理念
204、的提出和落地,产业生态将不断开放,各安全厂商的合作不断加强,在降低复杂度、减少管理开支和提高有效性的共同推动下,安全技术和能力需要进一步加快协同与融合。“生态类”厂商和精于细分方向的“垂直类”厂商将在各自擅长的领域不断深化能力并积极开展协同。另外随着SaaS类的安全服务不断被客户所接受,来自不同厂商的各种安全能力也将深度协同,安全能力的整合将有效降低总体成本,提高长期运营效率,进而为客户带来一致和完善的安全体验,提高整体安全系数。04七、未来展望THE SEVENTH PART七、未来展望THE SEVENTH PART6162 随着网络攻击的手段、复杂性和技术能力在快速丰富和迭代,安全运营工
205、作思路势必将逐步走向强调“实战化”、“体系化”、“平台化”,具备“原子力”、“产品力”和“生态力”的安全运营。安全运营体系呈现以下发展趋势:未 来 展 望THE SEVENTH PART 贴近实战构建“防得住”的安全运营体系 为应对开源代码、业务上云、深层漏洞、复杂供应链、社交媒体引发的网络安全威胁,企业需要根据实战化应用场景找漏洞,补短板,提高响应能力,最终目标是提升自身的安全防护水平。目前网络安全实战化已成为业内共识,实战化水平成为检验网络安全能力的重要标准。企业对安全运营提出更高要求,力争做到“防微杜渐、有备无患”,同时采取比传统安全监控、检测和响应更加先进的实战方法和经验,来管理安全风
206、险,打造“防得住”的安全运营体系。01 人机汇智发挥专家经验与人工智能双重融合优势 在安全大数据的基础和驱动下,安全运营走向智能化是必由之路。在原有安全能力的基础上,借助机器学习、深度学习等人工智能技术,提升已知和未知威胁的监测、分析、研判和响应能力,显著提升安全运营效率。智能化将能够帮助企业有效预测潜在的安全风险和威胁,在复杂系统环境中,尤其是需要快速适应、智能化对抗时,以主动学习为核心的自动化技术将带来更高的价值,例如通过人工智能手段对网络威胁进行定期检查,协助企业准确分析、关联相关数据和业务,在安全框架内做好安全防御等,人工智能将对专业人员进行智力补充,实现人机汇智。02 多维协同实现云
207、端赋能-本地联动-产业链协同闭环 介于很多企事业单位已部署了大量安全防护产品和设备,但多数设备是以异构式堆叠为主,无法深度协同,而且每天将产生海量告警,安全运营迫切需要走向自动化。通过统一的安全策略、运营平台调用各产品接口,实现安全协同IPDRR(识别/保护/检测/响应/恢复),以打破安全孤独和信息孤岛效应。同时在安全人员短缺的现实面前,需要更大程度实现自动化调查分析和安全编排响应,充分利用数据与知识共享、智能分析和辅助决策等技术,实现事件的自动调查分析、自动响应、处理与通报等功能,从而最大化发挥安全产品与安全人才的能力。03 生态融合提升综合安全效能的必然选择 随着SOC+等新理念的提出和落
208、地,产业生态将不断开放,各安全厂商的合作不断加强,在降低复杂度、减少管理开支和提高有效性的共同推动下,安全技术和能力需要进一步加快协同与融合。“生态类”厂商和精于细分方向的“垂直类”厂商将在各自擅长的领域不断深化能力并积极开展协同。另外随着SaaS类的安全服务不断被客户所接受,来自不同厂商的各种安全能力也将深度协同,安全能力的整合将有效降低总体成本,提高长期运营效率,进而为客户带来一致和完善的安全体验,提高整体安全系数。040101 011010 10 0010 1 001010 0010101 01001 01010 10101010 101 00 101010 10101 未来,腾讯安全将
209、依托20余年多业务安全运营及黑灰产对抗经验,凭借行业顶尖安全专家、最完备安全大数据及AI技术积累,为企业构建安全战略,并提供紧贴客户业务需要的最佳实践方案,守护政府及企业的数据、系统、业务安全,为产业数字化升级保驾护航。四、未来展望THE FOURTH PART四、未来展望THE FOURTH PART63640101 011010 10 0010 1 001010 0010101 01001 01010 10101010 101 00 101010 10101 未来,腾讯安全将依托20余年多业务安全运营及黑灰产对抗经验,凭借行业顶尖安全专家、最完备安全大数据及AI技术积累,为企业构建安全战略
210、,并提供紧贴客户业务需要的最佳实践方案,守护政府及企业的数据、系统、业务安全,为产业数字化升级保驾护航。四、未来展望THE FOURTH PART四、未来展望THE FOURTH PART6364 某大型集团目前正在数字化转型过程中,IT架构逐步从本地IDC向私有云+公有云的混合多云架构过度。组织架构由集团总部和下属单位构成。当前集团总部和下属单位只完成了基本的安全产品部署,包括网络安全、应用安全、主机安全等安全产品。由于数字化转型中整个网络安全环境复杂,网络安全边界外延扩大,给信息系统、数据安全带来严峻的安全挑战。基础网络和信息系统防护体系不完善、主动防御能力欠缺、安全运营体系不健全,集团总
211、部和下属单位无有效协同。安全运营主要依靠人工执行和手动操作,安全运营人员难以在海量、分散的流量及日志中去挖掘有效的攻击信息,溯源攻击链及支撑安全事件的处理,无法有效应对高强度的攻防对抗。混合多云统一安全运营中心01腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART66651.项目背景面临的主要挑战为:无法直观的可视化呈现各子单位的安全能力建设情况及安全运营能力。客户已有多种安全防护系统,但安全数据割裂、安全管理不统一导致安全威胁检测、响应时效性不足。互联网暴露面较大,复杂的应用中存在逻辑业务漏洞、脆
212、弱性、影子资产等安全风险,极易被黑客定向攻击破、数据窃取从而造成严重安全事件。遭受的APT攻击,会在多云混合云环境中进行云上、云下攻击横移和入侵传播。分支机构和集团网络安全建设分裂,安全攻防与安全运营能力亟需提升。分支机构众多,私有云、公有云网络环境复杂,安全建设成熟度不一致。整个集团安全建设没有统一规划,无有效手段进行统一安全监测与安全事件处置。某大型集团目前正在数字化转型过程中,IT架构逐步从本地IDC向私有云+公有云的混合多云架构过度。组织架构由集团总部和下属单位构成。当前集团总部和下属单位只完成了基本的安全产品部署,包括网络安全、应用安全、主机安全等安全产品。由于数字化转型中整个网络安
213、全环境复杂,网络安全边界外延扩大,给信息系统、数据安全带来严峻的安全挑战。基础网络和信息系统防护体系不完善、主动防御能力欠缺、安全运营体系不健全,集团总部和下属单位无有效协同。安全运营主要依靠人工执行和手动操作,安全运营人员难以在海量、分散的流量及日志中去挖掘有效的攻击信息,溯源攻击链及支撑安全事件的处理,无法有效应对高强度的攻防对抗。混合多云统一安全运营中心01腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART66651.项目背景面临的主要挑战为:无法直观的可视化呈现各子单位的安全能力建设情况及安
214、全运营能力。客户已有多种安全防护系统,但安全数据割裂、安全管理不统一导致安全威胁检测、响应时效性不足。互联网暴露面较大,复杂的应用中存在逻辑业务漏洞、脆弱性、影子资产等安全风险,极易被黑客定向攻击破、数据窃取从而造成严重安全事件。遭受的APT攻击,会在多云混合云环境中进行云上、云下攻击横移和入侵传播。分支机构和集团网络安全建设分裂,安全攻防与安全运营能力亟需提升。分支机构众多,私有云、公有云网络环境复杂,安全建设成熟度不一致。整个集团安全建设没有统一规划,无有效手段进行统一安全监测与安全事件处置。68八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH P
215、ART67 为做好集团混合多云统一安全防护、统筹安全管理。要求解决方案供应商具备公有云、私有化、大型企业生产网的安全防护体系的规划、建设和攻防对抗经验。腾讯安全将腾讯企业20多年安全建设经验、以及在公有云、私有云上的最佳安全实践,集成进“SOC+安全运营体系”解决方案中。推出混合多云统一安全运营中心,以威胁情报和攻防对抗为原子能力,驱动安全运营朝“实战化”、“体系化”、“平台化”发展和演进。通过调研集团现有网络环境,制定贴合集团网络安全建设的三年战略规划,建设混合多云统一安全运营中心以提供集中的安全事件监测、漏洞威胁检测、告警快速发现、自动化安全事件调查、安全威胁及时响应处置、提供可视化安全运
216、营指标呈现的安全运营平台。采用多级级联架构将集团总部及下属单位数据打通,将集团内的安全日志和告警进行统一采集、处理、分析、响应处置,实现集团一体化安全运营。包括:2.解决方案对接集团内私有云、公有云上的安 全日志和应用系统日志,实现多源异构数据范式化处理和综合存储管理;对接集团内部资产管理、身份认证系统、工单系统等已建的IT管理系统,打通安全能力、提升安全运营效率构建网络安全态势感知能力,实现威胁可视、可控,安全运营指标量化呈现。配套安全运营服务,帮助集团落地安全运营效果,对其安全运营人员进行安全培训赋能,提升安全工作团队独立安全运营的能力。通过统一安全运营平台,覆盖综合态势感知,多租户视角需
217、求,采集、汇聚、实时监控、回溯分析用户网络流量及安全日志管理,建立全景全量安全数据分析计算平台,识别发现威胁行为的安全管理体系架构,实现了早发现、快响应的安全保障。01基于大数据分析技术和ATT&CK安全知识框架,建立符合集团网络环境的Use Case分析模型库,构建安全事件集中监测、检测、安全告警自动化调查分析和响应处置的能力;0203040506可是大屏呈现数十种设备日志安全可视、威胁检测、事件调查与响应统一安全运营中心SOC定制化安全运营指标大屏流量探针、IDS、IPS、WAF、防病毒特权系统、数据库审计、抗DDOS、DNSDHCP、VPN、负载均衡、上网行为管理AD域控、无线认证、邮件
218、网关、防火墙、LinuxWin-dows服务器、统一nginx、流量分析设备、DLP、IAM系统、终端审计等各种设备日志数据上传指令下发数据上传 指令下发数据上传指令下发影响网络安全态势感知的要素CMDB系统权限中心HR系统日志中台用户行为中心网络管理系统对接情报数据下发腾讯威胁情报中心(云端)xx 公有云xx 私有云XX IDC下属单位:安全运营中心68八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART67 为做好集团混合多云统一安全防护、统筹安全管理。要求解决方案供应商具备公有云、私有化、大型企业生产网的安全防护体系的规划、建设和攻防对抗经
219、验。腾讯安全将腾讯企业20多年安全建设经验、以及在公有云、私有云上的最佳安全实践,集成进“SOC+安全运营体系”解决方案中。推出混合多云统一安全运营中心,以威胁情报和攻防对抗为原子能力,驱动安全运营朝“实战化”、“体系化”、“平台化”发展和演进。通过调研集团现有网络环境,制定贴合集团网络安全建设的三年战略规划,建设混合多云统一安全运营中心以提供集中的安全事件监测、漏洞威胁检测、告警快速发现、自动化安全事件调查、安全威胁及时响应处置、提供可视化安全运营指标呈现的安全运营平台。采用多级级联架构将集团总部及下属单位数据打通,将集团内的安全日志和告警进行统一采集、处理、分析、响应处置,实现集团一体化安
220、全运营。包括:2.解决方案对接集团内私有云、公有云上的安 全日志和应用系统日志,实现多源异构数据范式化处理和综合存储管理;对接集团内部资产管理、身份认证系统、工单系统等已建的IT管理系统,打通安全能力、提升安全运营效率构建网络安全态势感知能力,实现威胁可视、可控,安全运营指标量化呈现。配套安全运营服务,帮助集团落地安全运营效果,对其安全运营人员进行安全培训赋能,提升安全工作团队独立安全运营的能力。通过统一安全运营平台,覆盖综合态势感知,多租户视角需求,采集、汇聚、实时监控、回溯分析用户网络流量及安全日志管理,建立全景全量安全数据分析计算平台,识别发现威胁行为的安全管理体系架构,实现了早发现、快
221、响应的安全保障。01基于大数据分析技术和ATT&CK安全知识框架,建立符合集团网络环境的Use Case分析模型库,构建安全事件集中监测、检测、安全告警自动化调查分析和响应处置的能力;0203040506可是大屏呈现数十种设备日志安全可视、威胁检测、事件调查与响应统一安全运营中心SOC定制化安全运营指标大屏流量探针、IDS、IPS、WAF、防病毒特权系统、数据库审计、抗DDOS、DNSDHCP、VPN、负载均衡、上网行为管理AD域控、无线认证、邮件网关、防火墙、LinuxWin-dows服务器、统一nginx、流量分析设备、DLP、IAM系统、终端审计等各种设备日志数据上传指令下发数据上传 指
222、令下发数据上传指令下发影响网络安全态势感知的要素CMDB系统权限中心HR系统日志中台用户行为中心网络管理系统对接情报数据下发腾讯威胁情报中心(云端)xx 公有云xx 私有云XX IDC下属单位:安全运营中心 通过混合多云统一安全运营中心的建设,与集团安全建设战略规划紧密结合,助力客户安全战略目标落地;实现与集团业务深度结合,帮助客户全面掌握集团安全态势,形成安全预警、分析、响应、处置全生命周期闭环;可视化呈现安全运营量化指标,促进总部和下属机构的安全运营成熟度,提升安全运营团队的安全运营能力。简化客户安全运维管理,帮助客户从每天处理超过百万的安全告警中解脱;依托智能准确的安全运营平台,使需要人
223、工分析的安全告警骤降到个位数;与客户业务深度结合,帮助客户全面掌握集团安全态势,形成安全预警、防御、检测、响应全生命周期闭环。3.方案价值预测通过内部威胁预测、外部威胁情报等手段,进行平台暴露面分析,监控外部威胁,实现攻击预测、提前预防的目标;防御面对持续攻击,降低受攻击面,实现“攻击减速”的目标;检测针对集团业务系统,通过云端威胁情报中心进行7*24小时在线检测和响应,减少威胁停留时间,及时发现并控制事件,防止事件升级;响应深度威胁分析,联动响应与处置,并结合安全运营标准化服务对安全事件进行实时监测,对发生的重大安全事件进行回溯分析,实现及时处置、止损、追踪溯源的目标。01020304 某大
224、型企业的数字资产在企业商业活动起着关键作用。为了保护数字资产,企业在主备两个数据中心部署了大量的安全防护产品,但仍然不时出现入侵成功的事件。现有安全防护体系无法应对高级可持续性(APT)攻击,需要针对高级威胁攻击检测场景做全面覆盖,实现大流量集中实时的高级威胁检测分析。面临的挑战如下:高级威胁(APT)检测与响应系统021.项目背景互联网暴露面大遭受攻击量大且频繁,攻击阻断成功率低,失守风险大缺乏联动和应急响应机制,攻击阻断效率低无法应对0day/1-day攻击,漏洞修复难攻击方式多样且检测难度大缺乏社工钓鱼、恶意文件、隐蔽信道等未知威胁检测能力。八、腾讯SOC+实践THE EIGHTH PA
225、RT八、腾讯SOC+实践THE EIGHTH PART7069 通过混合多云统一安全运营中心的建设,与集团安全建设战略规划紧密结合,助力客户安全战略目标落地;实现与集团业务深度结合,帮助客户全面掌握集团安全态势,形成安全预警、分析、响应、处置全生命周期闭环;可视化呈现安全运营量化指标,促进总部和下属机构的安全运营成熟度,提升安全运营团队的安全运营能力。简化客户安全运维管理,帮助客户从每天处理超过百万的安全告警中解脱;依托智能准确的安全运营平台,使需要人工分析的安全告警骤降到个位数;与客户业务深度结合,帮助客户全面掌握集团安全态势,形成安全预警、防御、检测、响应全生命周期闭环。3.方案价值预测通
226、过内部威胁预测、外部威胁情报等手段,进行平台暴露面分析,监控外部威胁,实现攻击预测、提前预防的目标;防御面对持续攻击,降低受攻击面,实现“攻击减速”的目标;检测针对集团业务系统,通过云端威胁情报中心进行7*24小时在线检测和响应,减少威胁停留时间,及时发现并控制事件,防止事件升级;响应深度威胁分析,联动响应与处置,并结合安全运营标准化服务对安全事件进行实时监测,对发生的重大安全事件进行回溯分析,实现及时处置、止损、追踪溯源的目标。01020304 某大型企业的数字资产在企业商业活动起着关键作用。为了保护数字资产,企业在主备两个数据中心部署了大量的安全防护产品,但仍然不时出现入侵成功的事件。现有
227、安全防护体系无法应对高级可持续性(APT)攻击,需要针对高级威胁攻击检测场景做全面覆盖,实现大流量集中实时的高级威胁检测分析。面临的挑战如下:高级威胁(APT)检测与响应系统021.项目背景互联网暴露面大遭受攻击量大且频繁,攻击阻断成功率低,失守风险大缺乏联动和应急响应机制,攻击阻断效率低无法应对0day/1-day攻击,漏洞修复难攻击方式多样且检测难度大缺乏社工钓鱼、恶意文件、隐蔽信道等未知威胁检测能力。八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7069 在企业两个主备机房,通过TAP交换机将各个安全区域的流量汇聚,NDR网络威胁检测
228、与响应系统采用集群化部署对汇聚后的流量进行分析,实现超大流量集中实施安全分析。NDR网络威胁检测与响应系统配置上下级级联,实现统一平台管理全网安全事件,并开启全包存储功能,实现用户级溯源分析需求。2.解决方案 腾讯NDR通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、溯源和阻断。如图示,提供检测、分析、取证和响应能力闭环:通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、
229、溯源和阻断。腾讯NDR网络威胁检测与响应系统,在日常运营过程中,作为唯一全网流量检测设备,通过独有的AI引擎、安全专题、威胁情报能力对比客户已部署的WAF、终端安全、防火墙、蜜罐类产品提供了高级威胁检测能力,具体实现效果:3.方案价值威胁情报溯源分析实时阻断APT检测文件沙箱分析安全专题异常行为发现Oday发现01深度检测Web攻击 漏洞攻击:主机/服务/应用漏洞钓鱼邮件攻击 横向渗透:越权访问、暴力破解病毒木马 勒索病毒:文件加密行为、横向传播行为APT攻击:0Day漏洞、隐秘信道02威胁情报IOC情报精准失陷检测 云端情报辅助分析情报补充攻击者画像 情报提升分析效率03溯源分析流量日志检索
230、 深度沙箱分析告警会话还原,原始报文存储 威胁情报溯源查询04响应阻断旁路无侵入式阻断 大流量实时阻断率99.99%提供阻断API供第三方调用 联动情报自动化阻断05安全专题密码安全:弱密码、空密码、明文密码 数据泄漏:API接口泄密、数据库拖库勒索病毒:勒素病毒检测、SMB行为分析 登录行为分析:暴力破解组件安全:攻击视角、资产视角 邮件安全:伪造、钓鱼、恶意邮件攻击IP分析:告警监控、Web访问监控 域名解析:DNS解析、动态域名流量分析集中大流量分析,全网全态势实时掌握流量按需抓包存储,有效对安全事件溯源分析多级级联部署方案,节约专线带宽资源云端威胁情报与本地产品联动赋能检测分析,提升告
231、警准确度、分析研判效率八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7271项目需求分析项目方案项目成果1、A机房和B机房50Gb大流量高级威胁分析。2、机房间专线带宽有限,无法传输大数据。3、安全与网络部门共用一套方案(分析)。4、系统检测到的安全告警要确保准确。1、集中大流量分析,全网安全态势实时掌握。2、多级级联部署方案,节约专线带宽资源。3、流量按需抓包存储,便于事件溯源。4、腾讯自研情报和规则,确保安全告警准确。1、两个机房部署两套独立的腾讯御界系统。2、每个机房采用集群化部署,实现大流量集中实时安全分析需求。3、两套腾讯御界系统
232、配置上下级级联,实现统一平台查询全网安全事件。4、腾讯御界按需开启全包存储功能,实现用户溯源级网络质量分析需求。在企业两个主备机房,通过TAP交换机将各个安全区域的流量汇聚,NDR网络威胁检测与响应系统采用集群化部署对汇聚后的流量进行分析,实现超大流量集中实施安全分析。NDR网络威胁检测与响应系统配置上下级级联,实现统一平台管理全网安全事件,并开启全包存储功能,实现用户级溯源分析需求。2.解决方案 腾讯NDR通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、溯源和阻断。如图示,提供检
233、测、分析、取证和响应能力闭环:通过结合专家规则、哈勃沙箱、威胁情报、AI算法和腾讯天幕旁路阻断器等技术,对流量进行协议解析、文件还原和全量信息存储,发现恶意攻击和潜在威胁,对攻击事件进行分析、溯源和阻断。腾讯NDR网络威胁检测与响应系统,在日常运营过程中,作为唯一全网流量检测设备,通过独有的AI引擎、安全专题、威胁情报能力对比客户已部署的WAF、终端安全、防火墙、蜜罐类产品提供了高级威胁检测能力,具体实现效果:3.方案价值威胁情报溯源分析实时阻断APT检测文件沙箱分析安全专题异常行为发现Oday发现01深度检测Web攻击 漏洞攻击:主机/服务/应用漏洞钓鱼邮件攻击 横向渗透:越权访问、暴力破解
234、病毒木马 勒索病毒:文件加密行为、横向传播行为APT攻击:0Day漏洞、隐秘信道02威胁情报IOC情报精准失陷检测 云端情报辅助分析情报补充攻击者画像 情报提升分析效率03溯源分析流量日志检索 深度沙箱分析告警会话还原,原始报文存储 威胁情报溯源查询04响应阻断旁路无侵入式阻断 大流量实时阻断率99.99%提供阻断API供第三方调用 联动情报自动化阻断05安全专题密码安全:弱密码、空密码、明文密码 数据泄漏:API接口泄密、数据库拖库勒索病毒:勒素病毒检测、SMB行为分析 登录行为分析:暴力破解组件安全:攻击视角、资产视角 邮件安全:伪造、钓鱼、恶意邮件攻击IP分析:告警监控、Web访问监控
235、域名解析:DNS解析、动态域名流量分析集中大流量分析,全网全态势实时掌握流量按需抓包存储,有效对安全事件溯源分析多级级联部署方案,节约专线带宽资源云端威胁情报与本地产品联动赋能检测分析,提升告警准确度、分析研判效率八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7271项目需求分析项目方案项目成果1、A机房和B机房50Gb大流量高级威胁分析。2、机房间专线带宽有限,无法传输大数据。3、安全与网络部门共用一套方案(分析)。4、系统检测到的安全告警要确保准确。1、集中大流量分析,全网安全态势实时掌握。2、多级级联部署方案,节约专线带宽资源。3、流
236、量按需抓包存储,便于事件溯源。4、腾讯自研情报和规则,确保安全告警准确。1、两个机房部署两套独立的腾讯御界系统。2、每个机房采用集群化部署,实现大流量集中实时安全分析需求。3、两套腾讯御界系统配置上下级级联,实现统一平台查询全网安全事件。4、腾讯御界按需开启全包存储功能,实现用户溯源级网络质量分析需求。某金融公司是建立以研究为基础,投资银行、股票、财富管理和投资管理全方位发展的业务结构,致力于为客户提供高质量金融增值服务,由于业务架构面向互联网侧的提供的业务服务范围较广,导致整体的资产暴露风险加剧,企业存在较多的安全盲点,容易成为攻击者的入侵口。因此期望以情报为核心,构建主动的安全防御体系,已
237、实现安全防护的关口前置。基于情报与攻击面管理的主动防御体系031.项目背景 在公司的集团总部,利用攻击面情报能力,面向集团的“互联网信息系统”进行全量的清查和摸排工作,建立起集团的互联网信息系统资产档案;形成集团重要互联网信息系统资产的常态化检查机制,同时利用云端情报赋能本地安全产品的机制,满足“重要信息系统”资产安全风险日常监控、专项安全检查、安全事件应急处置等场景要求,实时动态的“收敛暴露面”和“阻断风险事件”。2.解决方案借助腾讯强大的情报能力,协助用户摸清家底和动态监控、阻断资产风险:3.方案价值先进的攻击面情报引擎和算法能力,协助客户高效梳理影子资产。强大的基础情报能力,联动本地安全
238、产品,实现精准识别资产威胁,实时阻断业务风险。独创的情报云端安全能力协同。为用户构建主动的安全防护体系,覆盖事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)。八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7473 某金融公司是建立以研究为基础,投资银行、股票、财富管理和投资管理全方位发展的业务结构,致力于为客户提供高质量金融增值服务,由于业务架构面向互联网侧的提供的业务服务范围较广,导致整体的资产暴露风险加剧,企业存在较多的安全盲点,容易成为攻击者的入侵口。因此期望以情报为核心,构建主动的安全防御体系,已实现安全防护的关口
239、前置。基于情报与攻击面管理的主动防御体系031.项目背景 在公司的集团总部,利用攻击面情报能力,面向集团的“互联网信息系统”进行全量的清查和摸排工作,建立起集团的互联网信息系统资产档案;形成集团重要互联网信息系统资产的常态化检查机制,同时利用云端情报赋能本地安全产品的机制,满足“重要信息系统”资产安全风险日常监控、专项安全检查、安全事件应急处置等场景要求,实时动态的“收敛暴露面”和“阻断风险事件”。2.解决方案借助腾讯强大的情报能力,协助用户摸清家底和动态监控、阻断资产风险:3.方案价值先进的攻击面情报引擎和算法能力,协助客户高效梳理影子资产。强大的基础情报能力,联动本地安全产品,实现精准识别
240、资产威胁,实时阻断业务风险。独创的情报云端安全能力协同。为用户构建主动的安全防护体系,覆盖事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)。八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7473 某集团是一家世界5500强公司,随着业务的快速扩张,面向互联网侧开放的业务也逐步增多,这样就导致用户的互联网暴露面也逐步加大,在重大攻防演练期间,整个集团的日均攻击量1亿+(主要针对集团的扫描、公众号小程序、APP和网站),并且在某一天晚上,集团暴露在互联网侧的一个公众号,被攻击队找到漏洞,直接打进集团内部。因此用户期望构建一个情
241、报驱动、面向实战的重保/攻防演练防护体系。重保/攻防演练防护体系041.项目背景 在集团内部,建立一个情报驱动、面向实战的重保/攻防演练防护体系。在预测和防护阶段,利用攻击面情报能力,面向集团的“互联网业务系统”进行全面的摸底排查,建立起集团重要互联网业务系统资产的常态化检查机制,主动洞察清楚影子资产,扫除安全盲点,同时利用云端情报赋能本地安全产品的机制,满足集团“重要业务系统”实时监控和动态的防护。在检测和响应阶段,部署NDR网络检测和防御系统,构建高级威胁检测和响应能力,包括:部署沙箱集群、分析平台集群,运用AI模型、全流量分析、文件动态分析、腾讯反病毒引擎、规则引擎等,帮助企业发现高级威
242、胁攻击事件。联动云端威胁情报云,实时获取第一手情报和专家知识,快速知晓最新攻击手法,响应最新漏洞。部署“雷达+导弹”形成网络安全事件闭环:通过部署NDR网络威胁检测与响应系统,对全网风险评估,覆盖攻防演练常见的攻击手段和异常检测,并快速做拦截,闭环安全事件。结合威胁情报云端能力,达到一点检测,全网联动效果,实时感知最新漏洞和威胁。对私有云访问互联网的全流量检测,覆盖47层网络攻击,专项提升对扫描探测、Webshell、SQL注入、横向移动的检测效果,支持私有云租户级威胁定位,并且具备攻击溯源的能力,可以还原整个攻击过程,形成调查报告。基于AI检测模型、全流量分析、文件动态分析,NDR网络威胁检
243、测与响应系统具备帮助企业发现0day漏洞及变种攻击手法的能力。旁路部署,不影响业务架构。提供开放API,可供第三方产品调用阻断能力。2.解决方案八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7675 某集团是一家世界5500强公司,随着业务的快速扩张,面向互联网侧开放的业务也逐步增多,这样就导致用户的互联网暴露面也逐步加大,在重大攻防演练期间,整个集团的日均攻击量1亿+(主要针对集团的扫描、公众号小程序、APP和网站),并且在某一天晚上,集团暴露在互联网侧的一个公众号,被攻击队找到漏洞,直接打进集团内部。因此用户期望构建一个情报驱动、面向实
244、战的重保/攻防演练防护体系。重保/攻防演练防护体系041.项目背景 在集团内部,建立一个情报驱动、面向实战的重保/攻防演练防护体系。在预测和防护阶段,利用攻击面情报能力,面向集团的“互联网业务系统”进行全面的摸底排查,建立起集团重要互联网业务系统资产的常态化检查机制,主动洞察清楚影子资产,扫除安全盲点,同时利用云端情报赋能本地安全产品的机制,满足集团“重要业务系统”实时监控和动态的防护。在检测和响应阶段,部署NDR网络检测和防御系统,构建高级威胁检测和响应能力,包括:部署沙箱集群、分析平台集群,运用AI模型、全流量分析、文件动态分析、腾讯反病毒引擎、规则引擎等,帮助企业发现高级威胁攻击事件。联
245、动云端威胁情报云,实时获取第一手情报和专家知识,快速知晓最新攻击手法,响应最新漏洞。部署“雷达+导弹”形成网络安全事件闭环:通过部署NDR网络威胁检测与响应系统,对全网风险评估,覆盖攻防演练常见的攻击手段和异常检测,并快速做拦截,闭环安全事件。结合威胁情报云端能力,达到一点检测,全网联动效果,实时感知最新漏洞和威胁。对私有云访问互联网的全流量检测,覆盖47层网络攻击,专项提升对扫描探测、Webshell、SQL注入、横向移动的检测效果,支持私有云租户级威胁定位,并且具备攻击溯源的能力,可以还原整个攻击过程,形成调查报告。基于AI检测模型、全流量分析、文件动态分析,NDR网络威胁检测与响应系统具
246、备帮助企业发现0day漏洞及变种攻击手法的能力。旁路部署,不影响业务架构。提供开放API,可供第三方产品调用阻断能力。2.解决方案八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7675 方案覆盖预测、防御、检测和响应等实战对抗全流程。在事前预测和防御阶段,借助腾讯强大的情报能力,协助用户摸清家底和动态监控、阻断资产风险:在检测和响应阶段,借助NDR网络威胁检测与响应系统,在重保/攻防演练场景下漏洞攻击检出率、攻防实战检出率90%以上:3.方案价值以外部攻击者的视角对企业业务的攻击面进行持续性检测、分析和研判,从而主动洞察企业的资产暴露面的安
247、全威胁独创的情报云端安全能力协同。为用户构建主动的安全防护体系,覆盖事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)结合最前沿的情报数据和运营技术能力,为用户的日常运营提供丰富的情报标签和上下文信息,协助用户高效地进行威胁的研判分析和溯源处置。0day检测独报能力强:针对重保/攻防演练期间爆发的0day攻击,产生对应告警,其他安全检测设备均无检出。发现未知威胁并及时处置:发现钓鱼邮件及恶意文件,帮助企业定位影响范围,并主动拦截恶意外连地址;AI模型检测发现隐秘隧道传输行为,及时告警并切断恶意通信。规则及时更新响应快:重保/攻防演练期间,每日更新规则库,及时响应高危漏洞和0da
248、y风险;发布百万条专项IOC威胁情报,联动产品快速精准检测和定位威胁。阻断秒级生效防护强:日均抵挡上亿次攻击无遗漏过,多种阻断方式灵活适配阻断规则,自定义阻断策略可自动化联动处置。八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7877 方案覆盖预测、防御、检测和响应等实战对抗全流程。在事前预测和防御阶段,借助腾讯强大的情报能力,协助用户摸清家底和动态监控、阻断资产风险:在检测和响应阶段,借助NDR网络威胁检测与响应系统,在重保/攻防演练场景下漏洞攻击检出率、攻防实战检出率90%以上:3.方案价值以外部攻击者的视角对企业业务的攻击面进行持续性
249、检测、分析和研判,从而主动洞察企业的资产暴露面的安全威胁独创的情报云端安全能力协同。为用户构建主动的安全防护体系,覆盖事前(攻击面情报测绘),事中(情报赋能检测)、事后(情报支撑响应)结合最前沿的情报数据和运营技术能力,为用户的日常运营提供丰富的情报标签和上下文信息,协助用户高效地进行威胁的研判分析和溯源处置。0day检测独报能力强:针对重保/攻防演练期间爆发的0day攻击,产生对应告警,其他安全检测设备均无检出。发现未知威胁并及时处置:发现钓鱼邮件及恶意文件,帮助企业定位影响范围,并主动拦截恶意外连地址;AI模型检测发现隐秘隧道传输行为,及时告警并切断恶意通信。规则及时更新响应快:重保/攻防
250、演练期间,每日更新规则库,及时响应高危漏洞和0day风险;发布百万条专项IOC威胁情报,联动产品快速精准检测和定位威胁。阻断秒级生效防护强:日均抵挡上亿次攻击无遗漏过,多种阻断方式灵活适配阻断规则,自定义阻断策略可自动化联动处置。八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART7877 随着疫情的蔓延,某金融公司移动办公成为常态。网络安全边界外延扩大,整个网络安全环境变得复杂。随之外部高级威胁和社工攻击频繁发生,内部风险和威胁却无法发现和闭环。急需建设移动办公场景下的内部风险感知能力。具体问题体现在:内部违规与用户行为异常检测项目051.项目
251、背景 复杂的攻击手法、网络边界模糊,让传统的安全防护措施失效。基于SOC安全运营平台的大数据能力和AI能力,采集安全告警日志、用户日志、访问日志和行为日志,构建内部威胁管理系统:2.解决方案内部账号多、人员杂,百万级账号和用户涉及总/子公司、合作伙伴、已退休人员等用户难以标识,邮箱、鉴权、访问使用不同的账号体系,有在野账号无归属用户风险感知难下手,日志量、用户量大,规则阈值难确定,风险告警量大,难以保障运营效果010203基于规则、画像和AI三大引擎,从场景上覆盖已知威胁,聚焦行为风险利用风险量化算法,为用户和实体进行风险量化通过风险时间线展示风险内容和风险发生时间由安全分析人员确认风险,持续
252、策略优化八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8079 随着疫情的蔓延,某金融公司移动办公成为常态。网络安全边界外延扩大,整个网络安全环境变得复杂。随之外部高级威胁和社工攻击频繁发生,内部风险和威胁却无法发现和闭环。急需建设移动办公场景下的内部风险感知能力。具体问题体现在:内部违规与用户行为异常检测项目051.项目背景 复杂的攻击手法、网络边界模糊,让传统的安全防护措施失效。基于SOC安全运营平台的大数据能力和AI能力,采集安全告警日志、用户日志、访问日志和行为日志,构建内部威胁管理系统:2.解决方案内部账号多、人员杂,百万级账号和
253、用户涉及总/子公司、合作伙伴、已退休人员等用户难以标识,邮箱、鉴权、访问使用不同的账号体系,有在野账号无归属用户风险感知难下手,日志量、用户量大,规则阈值难确定,风险告警量大,难以保障运营效果010203基于规则、画像和AI三大引擎,从场景上覆盖已知威胁,聚焦行为风险利用风险量化算法,为用户和实体进行风险量化通过风险时间线展示风险内容和风险发生时间由安全分析人员确认风险,持续策略优化八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8079 通过内部威胁管理系统,发现内网威胁和违规的风险。帮客户做了内部威胁数据洞察,客户更清楚自己的环境风险。输
254、出具体的违规行为,及关联到的组织,更好的帮助安全团队做安全管理。对客户关注的内部数据泄露的风险,做了针对性的场景补充。覆盖以下六大场景:3.方案价值远程接入当员工不受物理位置约束(不需要刷门禁卡)就能进入内网,企业将不知道具体是谁在用这个账号。包括:新设备登录 异常时间登录登录地点偏离习惯 访问频率异常内网渗透威胁可能长期潜伏,并以内部资产为跳板,不断扩大权限。包括:伪造kerberos票证 域策略异常修改非常用的认证方式 用户组策略更改内部破坏内部人员恶意进行数据删除、配置、更改、传播恶意文件等操作。包括:更改系统配置 对内发送钓鱼邮件内部恶意文件传递 敏感数据删除内部违规内部人员有意或无意
255、的进行违规操作,例如账号共享、私搭隧道。包括:账号凭据违规共享 堡垒机绕过登录私搭网络隧道 安装违规软件数据收集内部人员利用职务便利,进行隐蔽的数据收集,例如客户数据、知识产权等。包括:敏感系统频繁查询 跨系统大量查询内部数据爬 数据文件大量下载数据泄露内部人员将敏感数据进行外发以谋取利益。包括:数据大量外发 数据低频外发离职人员导出 数据违规共享八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8281 通过内部威胁管理系统,发现内网威胁和违规的风险。帮客户做了内部威胁数据洞察,客户更清楚自己的环境风险。输出具体的违规行为,及关联到的组织,更
256、好的帮助安全团队做安全管理。对客户关注的内部数据泄露的风险,做了针对性的场景补充。覆盖以下六大场景:3.方案价值远程接入当员工不受物理位置约束(不需要刷门禁卡)就能进入内网,企业将不知道具体是谁在用这个账号。包括:新设备登录 异常时间登录登录地点偏离习惯 访问频率异常内网渗透威胁可能长期潜伏,并以内部资产为跳板,不断扩大权限。包括:伪造kerberos票证 域策略异常修改非常用的认证方式 用户组策略更改内部破坏内部人员恶意进行数据删除、配置、更改、传播恶意文件等操作。包括:更改系统配置 对内发送钓鱼邮件内部恶意文件传递 敏感数据删除内部违规内部人员有意或无意的进行违规操作,例如账号共享、私搭隧
257、道。包括:账号凭据违规共享 堡垒机绕过登录私搭网络隧道 安装违规软件数据收集内部人员利用职务便利,进行隐蔽的数据收集,例如客户数据、知识产权等。包括:敏感系统频繁查询 跨系统大量查询内部数据爬 数据文件大量下载数据泄露内部人员将敏感数据进行外发以谋取利益。包括:数据大量外发 数据低频外发离职人员导出 数据违规共享八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8281 随着网络安全事件层出不穷,网络安全风险激增,以及网络安全法规趋严,越来越多企业计划加大安全人员的招聘以弥补当前安全投入不足引发的安全风险。安全风险激增和网络安全人才短缺的矛盾越
258、来越尖锐。企业在安全建设不足、安全人力招聘困难的情况下存在以下安全问题:安全服务托管MSSP平台061.项目背景缺乏全天候的网络安全检测01对安全威胁的响应速度慢02网络安全技能欠缺,专业能力不足03安全运营成本较高,无法组建完善的安全团队04 为了应对安全效果和人才短缺的矛盾,很多企业转向依托专业安全运营服务团队,寻求安全托管服务。为了支持安全运营服务团队提供集中安全托管服务,满足被服务企业的统一安全运营管理的需求,腾讯安全为某安全运营服务团队搭建MSSP平台,将安全运营服务MDR标准化落地,实现以租户形式为接入MSSP平台的企业提供安全托管服务,实现以下安全效果:2.解决方案使用腾讯公有云
259、PaaS资源搭建MSSP平台,实现SaaS化交付MSSP平台,MSSP平台可灵活的部署、扩容基于安全工单和自动化响应在MSSP平台内对告警进行处置和流转,例如:并通过通知策略,通知租户高危告警事件MSSP平台接入租户数据,包括日志、告警,进行全局统一管理MSSP平台提供全局视角和租户视角查看告警、日志和处置的工单,并具备灵活的扩展性,满足安全能力持续迭代八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8483 随着网络安全事件层出不穷,网络安全风险激增,以及网络安全法规趋严,越来越多企业计划加大安全人员的招聘以弥补当前安全投入不足引发的安全风
260、险。安全风险激增和网络安全人才短缺的矛盾越来越尖锐。企业在安全建设不足、安全人力招聘困难的情况下存在以下安全问题:安全服务托管MSSP平台061.项目背景缺乏全天候的网络安全检测01对安全威胁的响应速度慢02网络安全技能欠缺,专业能力不足03安全运营成本较高,无法组建完善的安全团队04 为了应对安全效果和人才短缺的矛盾,很多企业转向依托专业安全运营服务团队,寻求安全托管服务。为了支持安全运营服务团队提供集中安全托管服务,满足被服务企业的统一安全运营管理的需求,腾讯安全为某安全运营服务团队搭建MSSP平台,将安全运营服务MDR标准化落地,实现以租户形式为接入MSSP平台的企业提供安全托管服务,实
261、现以下安全效果:2.解决方案使用腾讯公有云PaaS资源搭建MSSP平台,实现SaaS化交付MSSP平台,MSSP平台可灵活的部署、扩容基于安全工单和自动化响应在MSSP平台内对告警进行处置和流转,例如:并通过通知策略,通知租户高危告警事件MSSP平台接入租户数据,包括日志、告警,进行全局统一管理MSSP平台提供全局视角和租户视角查看告警、日志和处置的工单,并具备灵活的扩展性,满足安全能力持续迭代八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8483 帮助安全运营服务团队以服务化、轻资产的模式为搭建MSSP平台的企业提供安全运营服务。云端安服专家以租户形式为接入MSSP平台的企业进行持续的安全监测及处置;定期进行安全评估并生成安全运营报告,评估安全风险及给出修复意见。方案价值如下:提供专业的全流程安全工具,包括高级威胁分析、威胁情报、溯源取证攻击等结合人力专业知识,以快速的识别和处置威胁。强大的工具支撑借助腾讯威胁情报云端能力,支撑预测、防御、检测和响应打造安全生命周期的能力闭环。云端能力威胁情报支持有明确、清晰的服务清单,可评估服务交付质量,以及可直观呈现的服务交付效果。效果可量化的服务内容3.方案价值八、腾讯SOC+实践THE EIGHTH PART八、腾讯SOC+实践THE EIGHTH PART8685