1、安全运营服务：企业安全运营托管服务肖康2022.06.10网络安全服务总监德勤企业咨询有限公司肖康2021年上半年我国互联网网络安全监测数据分析报告-国家计算机网络应急技术处理协调中心恶意程序捕获样本2307万，日均传播次数582万次受攻击IP地址近3048万，占IP地址总数7.8%感染主机446万台，同比增长 46.8%规模在 100 台主机以上的僵尸网络数量 2,307 个，10 万台以上的68 个安全漏洞通用型安全漏 洞 13,083 个，同比增长 18.2%高危漏洞收录数量为 3,719 个，占 28.4%“零日”漏洞收录数 量为 7,107 个，同比大幅增长 55.1%CNVD 验证

2、和处置涉及政府机构、重要 信息系统等网络安全漏洞事件近 1.8 万起云端威胁作为控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的 51.7%作为攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的 79.3%作为木马和僵尸网络恶意程序控制端控制的 IP 地址数量占境内全部数量的 65.1%承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的 89.5%网站安全针对我国境内网站仿冒页面约 1.3 万余个8,289 个 IP 地址对我国境内约 1.4 万个网站植入后门外部网络安全事件频发，新型安全漏洞和恶意层序层出不穷增加了企业应对安全事件的难度6月1日网

3、络安全法4月26日 移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）7月10日 网络安全审查办法（修订草案征求意见稿）9月1日 数据安全法 关键信息基础设施安全保护条例 网络产品安全漏洞管理规定9月30日 工业和信息化领域数据安全管理办法（试行）（征求意见稿）10月1日 汽车数据安全管理若干规定（试行）10月26日数据出境安全评估办法（征求意见稿）11月1日 个人信息保护法2002020215月1日 信息安全技术 个人信息安全规范5月21日银行业金融机构数据治理指引6月27日网络安全等级保护条例9月17日信息安全技术 金融信息服务安全规范10月1日数据管理能力成熟

4、度评估模型4月19日互联网个人信息安全保护指南5月10日信息安全技术 网络安全等级保护要求6月1日 移动互联网应用基本业务功能必要信息规范6月13日个人信息出境安全评估办法征求意见稿）1月20日移动互联网应用收集个人信息基本规范3月1日 数据安全能力成熟度模型3月6日 信息安全技术 个人信息安全规范4月13日网络安全审查办法10月1日 新版信息安全技术 个人信息安全规范国家对网络安全的监管愈发严格，加大了企业安全合规方面的成本投入网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网

5、络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。来自企业内部的挑战除了以上外部因素之外，企业内部在安全运营方面也面临诸多挑战：丰富的业务场景增加了企业的威胁暴露面数字化、云计算、大数据、IOT等技术，极大地丰富了企业的业务场景（系统变更、服务升级）、增加了企业的威胁暴露面，使得企业对

6、整体威胁的发现、感知、响应和处置变的越发困难。安全数据分散，难以监测整体安全态势安全体系建设和安全运营是一个阶段性、周期性的过程。大部分企业内部资产管理更新不及时、系统日志格式不统一、数据管理混乱。传统的安全检测技术，已无法应对高级威胁攻防过程已从单兵作战演进到多兵种联合作战。传统基于黑白名单的检测手段已经无法应对快速变化的变种威胁。安全告警很难得到及时响应面对着海量的告警数据，企业内部缺乏有效的归纳、梳理和分析，因此安全告警很难得到及时、有效的响应处置。缺乏足够的安全预警手段预警手段（如，面对0day漏洞）的匮乏导致在威胁发生的第一时间不能够及时通知到相关责任人。专职安全运营人员配置不足很多

7、客户在安全运营的人员方面配置不足，一般是一人多责，对于威胁的监控和处置不够及时。安全预算有限受COVID-19影响，很多企业在主营业务上已是勉强度日，很难在安全上有大笔投入。什么是安全运营托管服务（MSS）MSS：Managed Security Service，安全托管服务，指企业由于降本增效或专注业务发展等需要，将部分繁重、重复安全运营工作托付给专业的服务商，由专业安全运营团队开展持续分析及运营服务。MSSP：Managed Security Service Provider，通常指为客户提供安全运营管理服务的供应商。MSS的服务内容MSS的优势技术支持灵活方案降低成本取证支持全天候监控安

8、全成熟度合规支持MSSP的团队成员经验丰富，包含安全多个领域的专业人士，填补了组织内部安全团队的空缺职位和技能，帮助企业搭建安全框架。企业在护网或重保期间，可以扩展MSSP服务范围，如增派安全工程师、增加安全工具和设备，避免因临时需求而产生一次性投资压力过大、效益过低的问题。MSSP有经验丰富的专业团队，能为企业提供全方位的技术支持，让企业免去招聘和管理的难题。同时，许多网络安全解决方案支持多租户和高可扩展性。这使 MSSP能够使用相同的解决方案来支持多个客户，从而在其客户群中分摊庞大的网络安全基础设施的成本。在潜在事件发生后，为相关机构证明企业的合规性。MSSP 提供 7x24小时的安全监控

9、，有效提升安全响应速度和漏洞的平均修复时间，改善企业的安全能力。此外，MSSP会跟进最新的威胁情报，了解最前沿的安全漏洞和技术，能防患于未然。许多组织，尤其是中小型企业，没有达到他们所需的网络安全成熟度。借助MSS，中小型企业可以快速部署成熟的网络安全解决方案。MSSP可以帮助客户满足国家法律法规（如个保法、等保2.0等）中的部分要求。全天候安全监控和响应服务稳定、专业的技术支持提高安全成熟度灵活的服务方案降低企业内部成本取证支持合规支持MSS的服务架构IT InfrastructureIT Infrastructure(Systems,Network,Security)(Systems,Ne

10、twork,Security)Cloud IaaS,Cloud IaaS,PaaS,PaaS,Business ApplicationsBusiness ApplicationsSecurity Infra/AppsSecurity Infra/Apps(IAM,WAF,Firewall,GRC,etc.)(IAM,WAF,Firewall,GRC,etc.)End-usersEnd-usersUser Behavior User Behavior AnalyticsAnalyticsLogsSIEM Logs,Event and Flow Collectors/Processors SIEM

11、 Logs,Event and Flow Collectors/Processors Events,Logs,FlowEvents,LogsEvents,LogsEvents,LogsVisualization and Reporting PlatformVisualization and Reporting PlatformInfrastructureInfrastructureSIEM Analytics EngineSIEM Analytics Engine(Correlation,Analytics,Visualization)(Correlation,Analytics,Visual

12、ization)Security Security Orchestration and Automation Orchestration and Automation Response (SOAR)PlatformResponse (SOAR)PlatformCyber Threat Intelligence Cyber Threat Intelligence Threat HuntingThreat HuntingVulnerability Vulnerability ManagementManagementMSS的服务架构行动触发触发背景资料日志资源威胁情报SOC监测监测技术技术警报指派分析师 事件分类 映射到警报矩阵 资产信息 边缘活动分流分流收集信息分析威胁威胁分类专有的研究资源开放的研究资源活动与模式分析风险与影响分析推荐的缓解技术L1L1/2调查L2L3关闭工单过程中升级L2是是否否 事件响应 现场事故调查执行遏制和修复行动发布事故报告修复和遏制提供遏制和恢复的指导对客户的响应行动提供支持事后支持更新操作手册调整内容关闭工单L2L3IR team应急响应SOC服务团队服务团队事件管理直到事件结束升级确定点升级确定点