1、安恒信息官方微信2022中国信息通信研究院安恒信息 安全托管运营服务（MSS）发展态势白皮书目录MSS服务发展背景01网络安全成为政企数字化转型的关键命题实战化安全需求要求安全能力持续有效安全威胁加剧倒逼安全能力迭代提升网络安全人才缺口促进转向服务外包模式疫情常态化催生“零接触”安全服务模式0101020202MSS服务概述MSS服务概述MSS服务适用场景MSS服务发展态势MSS服务价值0304050603MSS服务实践MSS服务体系MSS服务内容MSS服务关键技术070912行业应用案例15教育行业案例数字化转型企业案例监管部门案例15171807总结与展望2001安全托管运营服务（MSS）

2、发展态势洞察白皮书02西 湖 论 剑 1 0 周 年 系 列 白 皮 书MSS服务发展背景11网络安全成为政企数字化转型的关键命题当前世界经济新旧动能转换加速，科技竞争日益激烈，各行各业正在全面推动数字化转型，企图打造科技创新引领能力，但随着移动计算、云计算、物联网、工业互联网等新兴技术的广泛应用，网络安全边界日趋模糊，传统边界防御措施面临失效挑战。全球范围内，拒绝服务、数据窃取、钓鱼攻击、网络勒索等网络安全重大事件频发，网络攻击已经成为影响政企数字化发展的最大障碍。据美国著名投资咨询机构 Cybersecurity Ventures 预测，2021年全球因网络犯罪导致的损失达6万亿美元，几乎

3、达到世界经济的10%。国务院发布的中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要进一步强调“加强网络安全基础设施建设，强化跨领域网络安全、信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。这势必强调政企单位的安全建设思路需要从传统产品模式向解决方案及安全运营模式的业务转型，特别是“关基”部门更要在安全合规的基础上进一步落实“三化六防”举措，常态化开展安全风险管控，构建主动、动态、自适应的弹性防御体系，防范和应对层出不穷的网络攻击和数据泄露事件。22实战化安全需求要求安全能力持续有效从近几年高强度的网络攻防实战演练情况来看，新型攻击手法、攻击

4、技术层出不穷，隐秘高效的自动化攻击也越来越多，以安全合规建设为目标的静态、被动网络防御体系往往力不从心。即便实战演练期间临时强化了持续的监测和分析等主动防御能力，但由于分布广泛的短板和缺口，会让防守人员顾此失彼、应接不暇，仍有可能出现靶场失陷的问题。在当前网络安全形势日趋严峻和网络攻防实战常态化的背景下，从“静态、基于威胁的保护”转向“动态，基于风险的防护”模式，开展常态化、体系化、实战化安全运营服务，构建立体式主动防御体系，常态化开展安全风险检测，实战式验证安全防御能力，通过安全指标度量运营效果，促进安全实战能力迭代式提升，健全完善安全长效机制，持续筑牢网络安全防线，护航政企单位数字化转型与

5、发展。33安全威胁加剧倒逼安全能力迭代提升中国信通院发布2020年网络安全威胁信息研究报告（2021年）提到：2020年全球失陷主机约有6,431,498台，国内约有880,607台，约为全球的1/8左右。从全球范围来看，攻击者的主要攻击对象未产生较大变化，邮件、云服务、VPN、移动设备、IOT设备仍然是受害重灾区；攻击手段上，钓鱼、勒索软件、供应链攻击、利用漏洞、社会工程学等仍是攻击者的主流选择。当前网络安全形势日趋严峻，黑产组织呈规模化、产业化、专业化方向发展，由过去技术炫耀转为谋求经济效益和政治目的，如2019年委内瑞拉电网遭受网络攻击导致全国停电、2020年富士康被勒索2.2亿、202

6、1年勒索软件攻击切断半个美国的燃油管道、2022年俄乌战争中俄罗斯因“关基”遭受网络攻击而被迫“自拔网线”，故而安全能力要适配业务发展。为此，政企机构亟需重构企业级安全防护体系来提升防护能力，持续构建和完善以风险为驱动、以对标网络战为要求、以运营服务为核心、以产品和技术作为手段、覆盖IT资产全生命周期的网络安全运营体系，及时识别安全威胁，快速响应和处置，将安全风险降至可接受的范围，筑牢安全根基、促进安全发展。44网络安全人才缺口促进转向服务外包模式中国网络安全产业联盟发布的2021年中国网络安全产业分析报告显示，目前我国网络安全人才市场每年平均需求与供给之比约为2:1，专业人才累计缺口在140

7、万以上，人才供给存在“青黄不接”的情况。除此之外，有53.88%的网络安全行业从业者认为当前公司的网络信息安全人员队伍规模并不能满足当前工作需求，主要表现在服务人力资源与能力模型存在双重缺口，应对新技术、新风险能力不足。故而，网络安全人才短缺是我国政企难以有效防范和应对互联网安全威胁的重要原因之一。工信部发布的关于促进网络安全产业发展的指导意见（征求意见稿）提出指导建议：鼓励发展面向智慧城市建设、电子政务等领域的网络安全一体化运营外包服务。参考国外成熟的安全服务外包模式，将网络安全管理托管第三方专业的安全服务厂商，依托网络安全厂商的安全专家资源池和丰富的攻防案例知识库，以较低成本共享安全专家服

8、务能力，缓解网络安全人才缺口问题，逐步实现安全管理模型由无序化、粗放式向专业化、精细化的蜕变，实现企业网络安全建设“化繁为简”，有效应对应对数字化场景下新的安全挑战。55疫情常态化催生“零接触”安全服务模式自爆发新型冠状病毒肺炎（COVID-19）以来，常态化疫情防控机制进一步推进业务上云和远程办公，大大地增加了网络攻击面，使与疫情有关的网络安全威胁和利用“新常态”成为主流，造成网络攻击事件不降反升，个人信息泄露、勒索攻击、疫情主题钓鱼等网络安全事件层出不穷，网络攻击手段不仅涉及传统的漏洞利用、木马入侵、邮件钓鱼，更有针对云化业务的API攻击、账户劫持、数据窃密等等。出于疫情防控政策要求，网络

9、安全人员可能遇到出行受限问题，但持续有效的安全效果的保障离不开人，若无法及时感知安全威胁，安全状态很难有效掌控，当出现安全事件时更无法快速启动响应和处置机制。基于此业务场景，催生了全程“零接触”式远程安全服务，依托第三方网络安全厂商的云端安全运营中心，建立常态化风险监测和安全管理闭环机制，安全专家开展7*24小时远程值守，实现持续对抗攻击和快速响应，管控网络安全威胁，有效保障生产业务的安全、持续、稳定运行。03安全托管运营服务（MSS）发展态势洞察白皮书04西 湖 论 剑 1 0 周 年 系 列 白 皮 书MSS服务概述MSS服务概述安全托管运营服务 （Managed Security Ser

10、vices，简称MSS服务）通常是指政企用户为达到降本增效或专注自身业务发展等需要，将部分或全部持续性、专业性较高的网络安全运营工作托付给第三方网络安全服务商，由其提供常态化的网络安全运营工作。基于云化或远程技术的MSS服务通过云端安全运营平台为政企用户提供一系列超便利、高效率、低成本的网络安全服务，有机整合了专家化运营能力、标准化操作流程、智能化运营平台、场景化运营数据等资源，为用户提供常态化的覆盖资产管理、风险检测、威胁监测、事件处置等服务，与用户协同构建持续、主动、闭环的网络安全运营体系，助力实现安全风险可控、安全能力提升、安全价值可视。高级服务核心服务补充服务高级监测和分析技术托管加密

11、威胁情报身份访问管理Web应用程序扫描Web应用防火墙托管安全信息和事件管理托管安全运营中心SOC分布式拒绝服务攻击缓解MDR文件完成性测试补丁管理设备运行状况检查托管统一威胁管理托管日志审计/管理托管终端，防病毒托管防火墙托管内容安全托管安全漏洞管理入侵检测与防御系统数据泄漏管理事件/应急响应取证合规安全架构与设计评估 中国智慧城市安全运营中心市场洞察（源自2020 December 2020,IDC#CHC47080020）参考IDC和Gartner对MSS服务的定义，并结合国内安全托管运营服务 市场，国内MSS服务项主要集中在以下几类：MSS服务适用场景根据国家、区域和行业监管要求，依托

12、第三方的网络安全运营中心，落实网络安全监测预警和通报制度，建立健全网络安全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性，满足安全合规要求，依法依规开展安全生产。安全合规建设场景：满足安全监管要求，降低被通报可能性有意提升网络安全实战能力，但受限于IT预算、人员编制、技术水平、运营经验等因素，难于实现持续性的网络安全监测和最大程度上发挥网络安全产品的效能。日常运营保障场景：常态化安全运营，持续性保障业务安全在一些重大节日或重要活动、新品发布等时间节点，按需提供7*24小时远程网络安全值守服务，事前查漏补缺、补齐安全短板，事中实时监测、快速研判分析，事后启

13、动应急、消除事件影响。重大活动保障场景：安全专家远程值守，助力保障重要时期针对辖区重要网站或信息系统开展常态化安全监测，全息感知网络安全态势，结合最新情报快速通报预警，指导用户防范和管控网络安全风险，实现网络安全运营专业化、数字化、精细化，科学决策，精准施政，引导辖区政企单位有序开展网络安全建设，整体提升辖区网络攻击防御能力。网络安全监管场景：常态化安全监测，协助开展安全监管资产发现与管理服务脆弱性检测与管理服务威胁监测与管理服务事件响应与管理服务安全资讯与情报服务安 全 设 备 管 理 服 务盘点信息资产清单，明确资产归属，消除监管盲区，清理影子资产，收敛互联网暴露面检测发现信息资产安全脆弱

14、性问题，评估安全风险，开展安全加固，排查安全隐患7*24开展安全威胁监测，全息感知网络攻击态势，响应和处置网络安全威胁快速响应安全事件，抑制安全事件发展态势，溯源攻击链，定位和消除安全风险点，恢复生产业务获悉最新行业资讯、漏洞情报和事件情报，借助威胁情报有效提升安全分析效率和开展安全决策安全设备及安管平台状态监控、策略优化、版本升级、策略升级等05安全托管运营服务（MSS）发展态势洞察白皮书06西 湖 论 剑 1 0 周 年 系 列 白 皮 书MSS服务发展态势MSS服务由网络安全托管运营服务 提供商（MSSP）基于其在云端构建的网络安全运营中心（SOC），为政企用户快速扩展安全服务团队、有效

15、提升自身的网络安全能力，最大程度上发挥网络安全产品的效能，实现预期的安全建设效果。MSS服务最早起源于90年代末互联网刚兴起之时，随着安全技术的创新和发展，如今已经历了3个发展阶段：MSS1.0服务：本阶段主题为设备管理和安全合规。一线运营工程师开展安全合规建设及以安全产品（防火墙、入侵检测与防御等）的配置管理等工作为主，辅助工作为初级安全分析、事件响应等。MSS2.0服务：本阶段主题为7x24小时的持续监控和告警响应。初级安全人员与二线专业安全专家共同协作进行。伴随着人工智能、大数据等技术的发展，该阶段的安全运营主要以安全分析、情报、响应、编排的闭环服务为主。例如：利用安全信息与事件管理系统

16、（SIEM）进行日志收集，输出合规性报告，同时为安全运营中心的分析师调查创建IOC等服务。MSS3.0服务：本阶段主题为可管理的威胁监测与响应服务（Managed Detection and Response，简称MDR服务）。该阶段构建主动安全防御体系，由一线安全运营人员、二线专业安全专家以及三线高级安全专家共同运营。MSS3.0需要安全运营中心实现可管理威胁检测与响应的进化循环，即安全服务专家运用用户现有的安全设备、安全平台能力以及自身经验来帮助构建完整的覆盖全网络安全生命周期的工具、技术、程序和方法，这其中包括对于扩展检测与响应（XDR）的使用，威胁情报（TI）的整合、安全事件的远程响应

17、等能力。MSS服务技术发展路线MSS服务价值MSS服务可依托第三方专业网络安全服务商的安全专家，补充或增强用户侧安全服务团队，开展常态化、体系化、实战化安全运营服务，提升网络攻防对抗能力，其应用价值包括以下三个方面。以较低成本投入快速提升攻防实战能力：MSS服务按需开通、“即开即用”，较低成本共享云端高阶安全专家，构建主动安全防御体系，常态化、体系化开展安全运营服务，快速提升网络安全实战能力，满足国家和监管单位常态化攻防演练和日常网络攻防实战要求，提升安全运营能效，体现安全建设价值；持续有效应对不断升级的安全威胁：由第三方专业的网络安全厂商常态化开展安全风险监测，全面感知攻击态势，补齐安全建设

18、短板，排除网络安全隐患，适配业务安全需求动态调整安全策略，确保网络安全能力迭代提升和持续有效；助力满足趋严的安全合规要求：随着安全监管要求趋严，特别是中华人民共和国数据安全法、中华人民共和国个人信息保护法、中华人民共和国密码法、关键信息基础设施安全保护条例、“等保2.0”等法律法规的落地执行，依托第三方专业安全厂商快速拓展网络安全团队，常态化开展安全运营服务，有效管控安全风险，满足安全监管要求。IDC发布的全球网络安全服务市场跟踪2020H1预测，到2024年，全球安全托管运营服务 子市场规模预计达到389亿美元，2019-2024年复合增长将达到13%。其中，到2024年，中国安全托管运营服

19、务 子市场规模预计达到5.6亿美元，年复合增长将达到17%。相对国外来说，国内MSS服务整体还处于起步发展阶段，但近些年伴随着国内头部网络安全厂商及互联网云安全厂商入局，MSS服务模式逐渐被政企用户所广泛接受。IDC最新发布的2021上半年中国IT安全服务市场跟踪报告显示：行业级安全运营中心的建设步伐加快、疫情下远程托管需求的增加、业务上云背景下云托管服务的发展是近两年中国安全托管运营服务 市场快速发展的主要驱动力。2021上半年，智慧城市运营中心建设类项目、关键信息基础设施相关行业运营中心建设项目、远程设备托管运营项目的不断增加推动上半年中国安全托管运营服务 市场实现83%的同比增长，较20

20、19年同比增长74%。MSS服务市场发展分析网络环境洞察、高级用户分析、自动响应、预测、取证、事件响应、威助狩猪、第三方风险、零信任、平台整合托管安全信息和事件管理、新一代防火墙/UTM、终端检测和响应，威胁情报、高级检测和分析技术、机器学习/人工智能分析服务、补充服务防病毒、防火墙、IDS、邮件安全、日志管理管理检测和响应监控7x24持续监控和告警保护/合规/设备管理可视化和执行度安全团队和技能集简单 本地托管安全即服务托管安全服务3.0（管理检测和响应；托管服务供应商；特殊安全服务提供商）Tier 2 Tier 3 Analysts 托管安全服务2.0（托管服务供应商：安全服务提供商）Ti

21、er 1 Tier 2 Analysts 托管安全服务1.0（增值代理商：托管安全服务提供商）Tier 1 Analysts中国智慧城市安全运营中心市场洞察（2020 December 2020,IDC#CHC47080020）$M2002220232024450004000035000300002500020000000014.00%13.50%13.00%12.50%12.00%11.50%11.00%10.50%10.00%全球托管安全服务市场规模预测MSS Market SizeYoYCAGR中国智慧城市安全运营中心市场洞察（December

22、 2020,IDC#CHC47080020）07安全托管运营服务（MSS）发展态势洞察白皮书08西 湖 论 剑 1 0 周 年 系 列 白 皮 书MSS服务体系建设，以提供实战化、体系化、常态化的MSS服务为目标，通过多层级运营团队、标准化运营流程和专业运营支撑平台的建设，构建“人员+流程+平台”三位一体的MSS服务支撑体系，基于IPDRR框架的识别、防护、检测、响应、恢复五个阶段提供MSS服务，协助用户建设可持续的安全运营能力，持续改进和提高信息安全水平。体系建设MSS服务实践MSS服务体系MSS服务体系参考NIST Cybersecurity Framework的核心能力框架IPDRR模型

23、，结合政企的安全能力需求以及安全运营最佳实践，从识别（Identify）、防护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）五个维度提供安全运营服务，建设风险识别、安全防护、威胁检测、应急响应和安全恢复能力，实现事前能对信息资产暴露面风险识别，事中不断验证、增强安全边界防御能力，持续进行安全检测及时发现安全威胁，事后迅速组织开展安全响应恢复业务的正常运行，从而构建安全闭环运营体系，持续迭代改进和强化提升安全能力。设计思路威胁检测（D）持续威胁监控安全威胁分析专家威胁狩猎风险识别I安全防护P应急响应R完全恢复R防护阶段识别阶段恢复阶段响应阶段迭代优化响应

24、闭环防护强化弱点发现资产梳理暴露面梳理资产台账漏洞发现主机安全防护WEB安全防护漏洞修复加固事件研判事件处置证据收集溯源反制数据恢复应用恢复事件复盘策略优化MSS服务框架模型（IPDRR）运营团队是MSS服务体系的重要组成部分，需要设计合理的人员支撑架构，确保各个单元各司其职、高效输出，保障MSS服务的效率和质量。MSS服务运营团队主要由第一梯队（L1）、第二梯队（L2）、第三梯队（L3）组成，L1由安全运营工程师担任，主要负责日常安全运营工作，包括但不限于资产发现、资产梳理、漏洞扫描、安全监测、安全处置；L2由安全运营专家组成，主要负责向L1提供技术支撑，包括但不限于威胁溯源、分析研判、应急

25、响应；L3由高级安全运营专家组成，主要负责安全研究与赋能，包括但不限于威胁研究、情报收集、威胁建模。运营团队MSS服务是一个多用户、多设备、多数据的复杂服务场景，需要一套统一化、标准化、高效化的运营流程，才能有效落地日常MSS服务运营机制。基于MSS服务内容，MSS服务运营流程主要分为资产管理、暴露面管理、漏洞管理、威胁管理、情报运营五类流程，标准化的MSS服务运营流程，不仅规范了服务操作环节、步骤、工具和方法，还能提高MSS服务提供的工作效率，从而保证服务操作的一致性、服务交付的统一性和服务质量的稳定性。运营流程服务的质量和效率不仅和服务的人员和流程有关，和服务工具也有着密不可分的关系。为满

26、足MSS服务高效、稳定提供的需求，运营平台主要有服务组件和服务平台，服务组件部署在用户本地侧，为用户提供基础安全防护和威胁检测能力，包括态势感知、APT、EDR、WAF等；服务平台部署在运营中心云端，用于MSS服务运营团队开展运营工作和服务结果交付，包括MSS服务门户、运营分析平台、资产管理平台、漏洞管理平台、威胁情报运营平台等。运营平台MSS运营资产发现与管理互联网暴露面梳理漏洞管理威胁检测与响应精准威胁情报预警服务团队高级安全运营专家L3 第二梯队安全运营专家L2 第二梯队安全运营工程师L1 第一梯队支撑赋能MSS服务门户运营分析平台资产管理平台漏洞管理平台威胁情报运营平台服务平台态势感知

27、系统APTEDRWAF服务组件MSS服务体系建设框架09安全托管运营服务（MSS）发展态势洞察白皮书10西 湖 论 剑 1 0 周 年 系 列 白 皮 书基于攻击者视角，MSS服务运营团队通过云端大数据平台对互联网暴露面进行稽查,与资产、漏洞关联梳理暴露面，基于“最大化收敛，最小化暴露”的原则进行暴露面收敛，减少风险的暴露面。周期性地开展互联网暴露面梳理，动态监控互联网暴露面变化，及时发现和收敛暴露面，降低网络攻击风险。信息收集基于攻击者视角，收集关键字（公司名、公司简称等）、根域名、IP段、邮箱后缀等信息，为暴露面稽查提供依据；暴露面稽查通过云端互联网暴露面扫描工具进行互联网暴露面扫描，结合

28、资产发现与管理服务、漏洞管理服务的结果，梳理暴露面；暴露面收敛针对暴露面稽查结果，基于防护视角提供暴露面收敛建议，协助通过访问控制、减少互联网访问、关闭高危端口、整改不安全资产、下线非必要资产等手段减少不必要的暴露面，从而降低被入侵可能；暴露面运营由MSS服务运营团队周期性开展互联网暴露面稽查、收敛工作，及时发现和收敛互联网暴露面，最大化降低安全风险。互联网暴露面梳理服务漏洞管理是一项持续性的工作，需要专业的人员和工具，开展漏洞从发现到处置闭环的全过程工作，才能构建覆盖漏洞全生命周期的管理体系，持续不断降低安全风险。漏洞管理服务从漏洞发现、漏洞分析、修复方案、漏洞处置四个阶段进行漏洞闭环管理，

29、结合资产发现与管理服务，周期性开展漏洞管理工作，不断发现和修复系统、设备、应用中的漏洞，有效降低资产被攻陷的风险，实现漏洞的全生命周期闭环运营。漏洞检测与管理服务MSS服务内容信息资产发现与管理服务，以建立完善信息资产管理体系为目标。一方面，协助建立和完善资产管理的规章制度，将安全管理责任落实到个人，督促资产管理规范化，提高资产安全管理水平；另一方面，协助梳理信息资产情况，对资产、业务系统、资产责任人进行关联，形成完整的资产信息台账，能清晰了解自身资产现状和资产分布。同时，通过周期性的资产稽查，监控资产的上线、变更、转移、下线等状态，及时更新信息资产台账。从而有效管控资产盲区，实现资产统一安全

30、纳管和资产风险的可视、可管、可控。资产调研：MSS服务运营团队开展资产调研，基于现有资产台账进行整理，摸清资产家底；资产梳理：梳理现有维护资产信息和调研反馈信息，整合这两部分信息去除脏数据，形成初期资产信息表；资产发现：通过资产探测工具，对全网资产进行存活状态、端口开放、服务版本信息等属性进行扫描，对探测结果进行人工二次校验核对；资产准入：通过资产发现，实现网络空间资产测绘，当发现未知资产接入时及时通报预警，核实资产类型、厂商、实例标识等信息再上线；资产建库：对于准入的资产，通过资产建档录入资产管理平台，建立资产实例档案，以便后续的对照和引用，并对外提供资产数据服务；变更稽查：通过周期性或者被

31、动的资产画像，与建立的档案库基线对比，识别出资产的变更，如增删等；资产画像：通过人工或者自动化的资产主动、被动发现，获取到资产相关的属性数据，识别出资产各维度特点。信息资产发现与管理服务资产发现与管理服务主要步骤如下：资产画像资产梳理资产发现变更稽查资产建库资产准入资产调研常态化资产运营管理漏洞发现MSS服务运营团队结合资产发现与管理服务，依托云端漏扫能力和本地部署的扫描引擎，交叉扫描网络中的核心服务器、重要的网络设备以及WEB业务系统等资产，评估当前资产安全状况，绘制资产弱点画像；漏洞分析针对资产存在的安全漏洞，MSS服务运营团队通过云端运营平台基于CVSS影响分、时间因子、资产重要性等多方

32、面因素分析和评估漏洞修复紧急度；修复方案结合漏洞分析结果，进行漏洞修复模拟测试，输出漏洞修复方案；漏洞处置结合漏洞修复方案进行漏洞修复，并在修复后进行复核，确保漏洞的闭环。11安全托管运营服务（MSS）发展态势洞察白皮书12西 湖 论 剑 1 0 周 年 系 列 白 皮 书随着网络攻击的规模化、多样化、复杂化发展，通过安全设备堆叠的被动防御模式已显得捉襟见肘，需要7*24小时开展安全监测，主动发现和处置网络威胁，才能保障系统和网络的安全。威胁检测与响应服务，由MSS服务运营团队通过云端运营分析平台，利用关联分析、用户和实体行为分析技术（UEBA）、威胁情报、威胁狩猎等技术，对安全日志、流量进行

33、采集分析，及时发现安全威胁，并结合远端/本地的应急响应人员和工具进行主动响应，实现安全事件的闭环运营管理。数据采集通过MSS服务组件采集安全日志、网络流量、资产信息等安全信息，通过日志预处理、字段补全、智能标签分类等技术对采集数据进行标准化；威胁监测通过关联分析、用户和实体行为分析技术（UEBA）、威胁狩猎等技术，构建7*24小时安全监测体系，及时发现海量数据中的安全风险并预警；威胁分析分析研判组对安全告警进行溯源、分析和研判，将真正高风险攻击通知用户与运营响应组；威胁响应应急响应组参考分析研判结果，结合安全处置建议，申请并获取用户授权，结合远端/本地部署的工具对攻击进行IP封堵、病毒查杀、系

34、统加固等主动响应措施，实现安全威胁闭环。威胁检测与响应服务如果说了解安全风险是“知己”，那么了解威胁情报就是“知彼”，第一时间威胁情报的获取是安全运营必不可少的一环。精准威胁情报服务，提供威胁情报预警通知，MSS服务运营团队对安全漏洞、安全事件等情报进行实时跟踪，并结合前期调研结果提供针对性的情报预警通知，包括漏洞和事件的介绍、影响范围、安全建议等情报内容，协助第一时间排查、发现和解除威胁；除此之外，还提供定制化情报推送服务，结合前期调研了解用户所在行业、关注情报类型等需求，通过威胁情报运营平台进行个性化威胁情报推送。精准威胁情报服务威胁检测与响应服务情报类型情报描述事件情报暗网、应急、git

35、hub原始情报等事件类情报资产情报结合暴露面梳理结果，提供资产情报漏洞情报实时跟踪重要产品、软件、系统的安全漏洞，结合公开/公益漏洞情报，提供漏洞简介、影响范围、安全建议等情报资讯情报提供关注安全资讯清单，包括新政策、规范、法律法规、重要安全事件等业界情报威胁情报通过对APT攻击事件、APT组织进行分析，梳理攻击路径，提供排查方法和失陷指标等情报MSS服务关键技术关联分析是安全威胁检测的核心技术，首先针对分析对象采集相应的数据，然后研究不同对象间是否存在某种相互依存关系，确定某种关系的存在就是发现网络攻击的过程。在安全威胁检测中，关联分析主要通过关联规则实现，包括但不限于特征关联分析、聚合关联

36、分析、场景关联分析、情报关联分析、资产关联分析。关联分析特征关联分析基于事件中的攻击特征或攻击类型进行分类匹配和检测，筛选明显的攻击行为基于不同事件的某个或多个相同属性进行聚合，包括攻击类型、攻击主机、被攻击主机等，从而判定发现同一安全事件聚合关联分析基于对不同攻击场景的研究，进行威胁检测建模，通过检测模型和分析数据进行关联匹配，识别网络中发生的攻击场景场景关联分析通过对威胁情报与事件进行情报碰撞，提高安全事件检测的准确率和效率情报关联分析结合资产信息（指纹信息、漏洞信息等）进行关联分析，筛选对资产的针对性攻击资产关联分析13安全托管运营服务（MSS）发展态势洞察白皮书14西 湖 论 剑 1

37、0 周 年 系 列 白 皮 书用户实体行为分析（UEBA），通过对用户数据进行采集和清洗，形成行为数据库，绘制用户行为画像，建设行为模型库，结合异常行为分析引擎及时发现可疑行为，提高安全威胁检测能力。UEBA网络攻击规模化、智能化的发展，对安全攻击的响应效率和质量提出了更高的要求，传统安全响应手段已难以满足，为了解决这一难题，安全编排自动化与响应（SOAR）技术应运而生。自2015年Gartner首次提出，SOAR的概念不断变化，在2017年Gartner对SOAR定义全新升级：SOAR是一种帮助组织能够收集不同来源与安全相关的风险和告警数据的技术，并且根据标准的工作流帮助明确定义、定优先级、

38、标准化的进行事件响应活动。至今，SOAR的概念和技术已逐渐变得成熟，在MSS中应用能有效解决响应效率低、响应成本高等问题，有效提高MSS服务效率和质量。SOAR行为数据采集通过大数据平台对终端EDR、应用日志、用户信息、流量等行为数据进行采集，形成行为数据库；行为画像绘制针对行为数据库，通过统计、规则、机器学习对用户数据“打标签”，绘制用户行为画像。统计打标签，基于某个属性对用户行为数据进行统计，例如：近7天登录次数；规则打标签，基于确定规则进行打标签，例如：同一账号登陆次数2；机器学习打标签，基于用户的某些特性进行行为预测判断，例如：根据某个行为判断是否为正常用户登录行为；异常行为分析结合安

39、全现况对海量行为数据的分析，绘制用户行为基线，一方面，通过异常行为监测引擎实时检测发现行为偏离，从而发现安全威胁；另一方面，与关联分析进行互补，增强安全威胁发现能力，提高安全告警准确率。威胁狩猎是由高级的安全运营专家，结合自身安全能力和经验，基于威胁情报、安全现况等信息，通过威胁狩猎工具进行威胁建模、威胁挖掘、威胁分析、威胁跟踪等一些列威胁狩猎工作，挖掘发现传统手段、工具或产品难以发现的安全威胁。威胁狩猎威胁狩猎是由高级的安全运营专家，结合自身安全能力和经验，基于威胁情报、安全现况等信息，通过威胁狩猎工具进行威胁建模、威胁挖掘、威胁分析、威胁跟踪等一些列威胁狩猎工作，挖掘发现传统手段、工具或产

40、品难以发现的安全威胁。威胁狩猎人工狩猎安全运营专家对威胁情报、安全资讯的分析研究，参考ATT&CK并结合用户情况假设可能存在的威胁，对威胁特征进行分析，通过威胁狩猎工具进行人工深度威胁挖掘；自动狩猎安全运营专家基于对威胁的研究成果，通过威胁狩猎工具构建威胁狩猎模型，通过检测模型进行自动威胁狩猎。情报生产基于内外部威胁情报两个维度，通过多渠道采集生产威胁情报，构建威胁情报库：外部情报，主要来源开源情报、商业情报、社区情报、情报市场等；内部情报，在提供MSS服务过程中产生威胁情报，包括安全事件、恶意IP、域名、文件、钓鱼网站、E-MAIL等转化的威胁情报。情报治理通过对采集的威胁情报进行清洗、过滤

41、、去重、分类、打标签等情报标准化治理工作，形成标准的威胁情报数据库。情报利用在MSS服务中，情报利用主要有情报订阅、情报查询、情报分析、情报预警。情报订阅，结合用户需求，提供威胁情报订阅服务，不定期推送精准威胁情报；情报查询，提供情报查询入口，协助MSS服务运营团队和用户进行威胁分析；情报分析，威胁情报在威胁检测方面的应用主要有关联分析和威胁狩猎。关联分析，针对内部威胁情报与外部威胁情报治理结果构建热情报库，通过大数据平台进行实时情报碰撞，精准发现安全威胁并预警；威胁狩猎，由安全运营专家结合对威胁情报的分析研究结果，通过威胁狩猎工具进行狩猎建模，人工或自动挖掘潜在的安全威胁；情报预警，MSS服

42、务运营团队实时跟踪安全漏洞、安全事件等情报，一旦发现高危安全漏洞、事件及时预警，通知并提供漏洞详情、事件详情、缓解措施等，协助排查、缓解、根除威胁。SOAR告警库安全编排自动化响应告警通知情报入库联动拦截病毒查杀其他动作响应决策响应剧本管理通用剧本剧本编排剧本库联动设备管理联动脚本库联动接口管理联动设备库自动化响应SOAR引擎事件溯源分析研判攻击拦截病毒查杀修复加固响应处置运营专家响应自动响应升级响应关联关联15安全托管运营服务（MSS）发展态势洞察白皮书16西 湖 论 剑 1 0 周 年 系 列 白 皮 书在用户侧部署内网资产发现引擎、漏洞管理引擎、大数据智能安全分析引擎以及本地安全运营模块

43、，然后将云端安全运营中心与本地安全运营模块打通，使得本地安全运营模块可以直接使用云端的安全能力，并且可以让云端的安全专家通过安全通道到本地安全运营模块上进行安全运营，保障高校的安全数据即不出网又能达到高效安全运营效果。整个方案以资产为核心，围绕漏洞管理和事件管理为关键流程建立实时资产风险模型，云端专家通过云端安全能力+本地安全能力+标准化流程，进行资产梳理、漏洞管理、事件分析、预警管理和应急响应等工作。如下图所示：解决方案行业应用案例教育行业案例随着高校信息化建设深入，在给学校招生、教学、办公、科研等提供全面信息化支持的同时所面临的信息安全管理挑战也更加严峻。特别是网络安全法、教育信息化2.0

44、行动计划等法律法规实施以来，教育行业面临的信息安全合规和监管压力逐步增大，特别是高校用户，他们存在以下安全痛点：需求侧痛点安全监管压力对外网站/业务安全问题多，经常被公安、网信、教育部/教育厅通报。各主管部门持续保持整治虚拟货币“挖矿”的高压态势。汇报难、考核排名不高定期需要做网络安全工作汇报，缺乏数据、缺系统。高校年度安全考核排名不高，影响组织绩效。安全没有成为组织共同责任发现安全问题后，非信息中心的人认为不是他们的责任，配合积极性不高。与教育部/厅缺乏数据互通平台被上级通报后，通报结果不方便下发到最终责任人进行整改，且整改进度不方便跟踪。资产和漏洞管理困难缺乏好的资产台账，资产数量多且不清

45、，资产责任不清。同时无法感知资产变化，更新慢。漏洞是否准确，不如如何修复，不知如何复测，漏洞修复不知如何分优先级。资产责任人消极对应漏洞整改。缺常态化流程和人员新资产上线安全检查、风险自查、漏洞整改、风险上报、安全考核等缺乏常态化流程和支撑平台。信息中心需要定期汇报网络安全工作，缺数据，缺报表。难以体现工作价值。缺人，往往1位老师身兼多职，而网络安全工作耗时耗力。云端安全运营中心资产发现流程漏洞管理流程威胁检测流程应急响应流程情报预警流程流程L1（现场/远程服务）L2（远程专家支撑）L3（研究赋能）人员互联网资产测绘互联网漏洞扫描工单管理威胁情报运营管理运营服务支撑平台技术客户和本地安全服务人

46、员（或有）多厂商漏扫用户侧 安全接入模块（隧道+审计）告警器模块VPN堡垒机本地安全运营模块资产发现与管理流程漏洞通报流程事件管理流程资产发现漏洞扫描事件关联资产导入漏洞通报本地处置资产管理漏洞管理云端处置AiLPHAAPTEDR第三方安全产品NGFWNTA高校托管安全服务框架图XDRSOAR人员流程技术需建设安全运营团队，且需满足以下条件：能进行7*24小时运作至少配备L1、L2团队以应对不同难度的安全问题运营专家要求，具备威胁建模、威胁分析、应急响应、情报分析等安全能力需建设打磨一套标准化、体系化和高可用的运营流程：资产管理流程威胁发现到响应闭环流程情报运营流程运营关键考核指标安全运营工作

47、的开展需具备配套的平台、工具和技术，主要有：威胁监测分析平台资产管理平台漏洞管理平台情报运营平台安全运营体系建设17安全托管运营服务（MSS）发展态势洞察白皮书18西 湖 论 剑 1 0 周 年 系 列 白 皮 书可见收益监管范围内的资产底数不清晰；监管范围内资产涉及范围大，做完一次全域内的扫描需要时间较长，有时甚至超过1个月，扫描效率无法保障；漏洞扫描产品扫描出来的结果准确度不够，人工审核又缺乏足够资源；传统的安全事件通报预警方式时效性差。监管部门案例监管部门用户聚焦本区域网络安全监测预警、整体防护、协同监管、应急指挥等核心工作，通过构建全域感知、规范保障制度等举措，构建“云、网、端、数据、

48、应用、行为”六个维度全覆盖的一体化全链路监测预警、联动防护、协同处置的网络安全监管体系。在安全监测预警工作中，用户存在以下安全痛点：需求侧痛点互联网暴露的资产不清晰，数据泄露问题频发；高级持续性威胁攻击频发，但是缺乏相应检测和处置手段；勒索病毒和挖矿病毒频发，缺乏相应的监测预警和规范化处置流程。数字化转型企业案例数字化在企业发展中，起到了至关重要的作用，其中数字化基础设施、数字化系统、数字化办公场景以及企业数据本身，是支撑数字化转型的重要基础。数字化转型促进企业发展的同时也给企业带来了新的安全风险，用户存在以下安全痛点：需求侧痛点通过云端互联网资产测绘、本地资产发现引擎、互联网暴露面检测能力结

49、合云端专家帮助用户进行统一的资产发现和管理，资产类型包含但不限于子域名、IP段、服务、邮箱信息、敏感信息、网盘、文档、App资产、微信公众号、企业组织、暗网资产等敏感信息。然后通过云端漏洞扫描、本地漏洞管理引擎、结合云端专家和漏洞管理流程的使用，帮助用户构建全面完整的漏洞管理机制，及时帮助客户进行漏洞整改，服务期间极大降低发生勒索病毒攻击事件概率。同时部署EDR和NTA产品，采集主机端和网络流侧的安全日志，将安全告警数据实时发送到云端安全运营中心进行分析研判。云端安全专家团队以标准化管理流程和工具对安全告警数据集中研判、快速预警、统一指挥、紧急处置等，实现用户网络安全事件的事前预警、事中监控、

50、事后响应。解决方案通过云端互联网资产测绘+本地资产发现引擎的能力结合云端专家分析，帮助用户新发现大量IT资产，资产类型包含但不限于子域名资产、Web资产、IP资产和双非资产等；实时对资产信息进行监控，定期自动更新，解决以前资产多、难管理、责任不清晰的问题；通过云端漏洞扫描、云端互联网暴露面检测、本地多厂商的漏洞管理引擎并结合云端专家和漏洞管理流程的使用，帮助构建完善漏洞管理机制，实现了通报漏洞准、漏洞发现全、漏洞发现快和漏洞闭环快的效果。漏洞从发现到处置完成闭环的时长缩减50%以上；通过大数据安全分析模块接入用户侧安全设备的告警和全流量数据，通过大数据智能分析，并结合云端积累的安全事件实例（U

51、serCase）和精准威胁情报，使得安全事件发生后云端的安全专家就远程到本地安全运营模块进行了响应和处置，安全事件从发现事件到解决由之前的数天级别提升到了分钟级别；云端专家7*24主动安全运营，让用户摆脱被动式应急响应的工作状态，使得安全运营工作常态化和标准化，让用户聚焦到校园核心业务工作中。促进安全责任共担，通过内部通报流程、内部安全考核排名和数据展现等让除信息中心之外的人一起参加进来，共同建设学校网络安全。可见收益云端的安全专家通过7*24实时的安全日志分析和研判，在服务期内帮助用户发现APT事件并进行响应处置；挖矿病毒的处置时间由数天级别缩短到分钟级，企业的数据中心算力利用率提升30%以

52、上；服务期间未发生病毒感染事件，极大降低发生勒索病毒攻击事件概率。云安全运营中心资产发现流程漏洞管理流程威胁检测流程应急响应流程情报预警流程流程L1（现场/远程服务）L2（远程专家支撑）L3（研究赋能）人员互联网资产测绘互联网漏洞扫描工单管理威胁情报运营管理运营服务支撑平台技术客户和本地安全服务人员（或有）多厂商漏扫客户侧VPN告警触发器资产扫描引擎漏洞扫描引擎AiLPHAAPTEDR第三方安全产品NGFWNTA企业托管安全服务框架图标准版-安全运营一体机（软件）19安全托管运营服务（MSS）发展态势洞察白皮书20西 湖 论 剑 1 0 周 年 系 列 白 皮 书当下，在网络安全形势日趋严峻和

53、网络攻防实战常态化的背景下，传统单纯的产品与人力堆砌的安全建设模型已经难以应对网络攻防实战常态化挑战，传统的“清单式”服务指标难量化，周期过程已经难以匹配云时代、数字时代的应用生命周期。托管式安全运营服务在这样的背景中应运而生，通过“人（本地安全技术人员和云端安全专家的协同）+流程（标准化安全运营流程）+技术（本地安全产品和云端安全能力的结合）”提供高质效的专业安全运营服务。展望未来，网络安全形式严峻的趋势不会改变，未来会有越来越多的数字化转型行业企业等逐渐接受托管式安全运营服务理念。随着数字经济体量的不断增加，数字经济的各个生产环节分工还会进一步细化，需求侧将更加聚焦到自身核心业务发展和安全

54、管理，而将部分非自身擅长的安全工作托管给专业安全厂商进行能力补齐和体系完善。通过云端漏洞扫描引擎和本地漏洞扫描引擎快速扫描全域所监管的所有重要信息基础设施，输出自动化漏洞扫描结果。云端安全运营专家对自动化漏洞扫描结果进行人工验证，再将验证后的确认漏洞结果与被监管资产通过漏洞管理平台进行统一关联、展示与追踪，使得用户可有效追踪资产漏洞状态，实现用户对被监管资产漏洞信息的全生命周期管理。最后用户可通过短信、钉钉等工具，实现漏洞等安全事件的实时通报预警。解决方案可见收益资产发现与漏洞管理服务期间发现的所有安全事件均通过专家验证，协助用户通报给相关被监管单位，同时协助用户进行专业漏洞修复指导和复测，完成99%安全问题闭环；以漏洞托管服务直接提供验证后确定存在的漏洞信息，无需用户侧重复验证漏洞审核，大幅提升处理效率。且对高危紧急漏洞可取证截图，使用户下发通报更加直观；通过云端集群化的漏洞扫描引擎结合本地集群化的漏洞扫描引擎提升；漏洞扫描效率，完成一次全域资产测绘和漏洞扫描的任务只需数天时间。漏洞通报时效性提升，漏洞通报所需时长由之前的数天级缩短至现在的分钟级。漏洞发现漏洞处置漏洞分析修复方案漏洞闭环管理系统漏洞扫描 Web漏洞扫描漏洞库更新漏洞情报协助修复执行复核复核确认总结汇报漏洞信息获取多因子关联修复优先级评定漏洞修复建议修复方案制定修复风险评估修复测试修复方案优化总结与展望