诸子云 | 活动：11.11上海安全运营专项研讨会 - 新鲜讯息

没有一流的网络安全工作队伍，再好的规划都无法有效落实。没有一流的安全运营体系，再好的安全工具也解决不了全部问题。网络空间中的安全对抗时时刻刻都在发生，本质上，对抗是常态化的。面对常态化的对抗，就需要具备完善的网络安全运营体系，来保障和实现安全。在此背景下，11月11日，诸子云上海分会举办了安全运营专项研讨会，现场专家对网络安全运营、漏洞检测、自动化及安全左移等方面展开了深入的讨论。

本次研讨会由诸子云上海分会主办，并邀请东航、携程旅行网、boci、联奇云、南洋商业银行（中国）有限公司、Pingpong、平安科技、顾家家居股份有限公司、51job、益海嘉里、Deckers、浙江寰福科技有限公司、成方金科上海（沪联金科）、万事达卡中国、中通快递、百胜软件、中通吉、雅培、非夕机器人、浦发银行、翼支付等安全专家参与。

魔方安全安全产品总监何帆、翼支付网络与信息安全研究院负责人孟熹、创业者彭来三位专家分别进行了分享。

漏洞运营落地实践分享

何帆

魔方安全安全产品总监

魔方安全于2015年10月成立，是一家致力于驱动前沿科技保护数字安全的创新型公司。公司以“随时洞察和有效缓解网络空间风险”为使命, 专注于网络空间资产安全相关的技术研究和产品研发，提供该领域专业的产品及解决方案，包括：外部攻击面管理EASM（SaaS）、网络资产攻击面管理CAASM、漏洞管理CVM、攻击面精细化运营服务、安全攻防服务。

漏洞管理如何落地，魔方安全的何帆在分享中提到，安全部门发现潜在风险后会通知开发部门进行修复，但由于跨部门合作中存在多种问题，开发部门对此持有较强的抵触态度。这种情况导致即使安全部门发现了漏洞，实际的漏洞修复仍然面临巨大的困难。另外，开发人员缺乏足够的安全经验也是导致漏洞管理难以顺利落地的另一个关键因素。

由于漏洞修复涉及多个部门包括安全、开发、业务、运维等多个部门协调参与。因此，企业漏洞管理需要一个阶梯式的建设路线，对此。何帆表示，魔方安全提出了整体的进阶指南，主要分为三个阶段。

第一阶段是流程建立阶段。企业在这一阶段需要落地漏洞管理制度和流程，确保漏洞管理工作能够有效实施。同时，企业及安全部门还需优化漏洞评估环节，传统的、以人为基础的漏洞评估环节有较大弊端。因此，企业需要在漏洞管理之初就建设一个标准、科学的漏洞管理办法。

围绕这两方面做出改善后，企业针对漏洞管理可以在这一阶段完成漏洞流程制度落地、建立与公司实际业务相关的漏洞优先级模型，用于精准评估高价值风险漏洞。同时，企业还可以建设漏洞修复知识库，以指导研发及运维团队完成漏洞修复，提升开发及运维人员的安全能力，更好地实现漏洞修复。综上所述，第一阶段的整体目标是保障流程和制度的落地，消灭存量漏洞。

第二阶段是控制增量阶段。这需要和SDLC结合，控制漏洞数量的增长。如果不去控制漏洞的产生，安全和研发以及运维等部门就会一直重复漏洞修复工作。因此，这一阶段需要将漏洞管理嵌入到开发流程中。同时，还需做好预警响应，通过相关的工具和系统做好资产管理。当发现漏洞情报后，安全部门可以利用管理工具和平台做到快速响应，快速筛选受影响的资产，并结合漏洞工单来实现闭环处理。

第三阶段是持续运营阶段。在漏洞管理制度和流程基本落地后，后续就需要持续维护及自动化管理。这个过程中，可以进行指标化的运营，建立安全及开发的相关绩效考核机制。

在实践过程中，部分企业在落地漏洞管理时存在一些痛点，包括如何落地、如何建设、如何监测工作管理制度、如何将漏洞管理系统推广至研发部门等等。对此，何帆提出，魔方安全针对漏洞管理实现分成三个阶段：筹备阶段、建设阶段及运营阶段。

在企业筹备阶段，建议明确定义一套完备的管理制度，包括但不限于漏洞修复制度和漏洞定级标准。在制定管理制度时，务必考虑漏洞修复流程，并根据公司整体情况进行调整，特别是针对漏洞修复超出预期时间范围的情况，应该制定相应的应急流程。

为了有效推动漏洞修复流程的顺畅实施，建议设立专门的漏洞修复流程评估小组，以解决研发在漏洞修复过程中可能遇到的各种困难。这样的小组可以及时识别问题，协助制定解决方案，提高整体漏洞修复效率。

在建立评估小组的同时，明确漏洞管理的任务指标是至关重要的。确保这些任务指标是具体、可衡量的，例如通过提升漏洞修复率、减少预期漏洞等目标，以便企业能够清晰了解漏洞管理工作的实际进展情况。通过设定可达到的目标，有助于企业更好地实现漏洞管理的战略目标，提高整体安全水平。

在建设阶段，首先需要收集各个平台数据，并将其数据整合至漏洞管理平台。其次要利用自动化工具进行数据融合，以实现标准化处理，确保信息的一致性和完整性。随后，需要综合考虑漏洞和资产等多个维度，计算漏洞的优先级。这种优先级不仅基于漏洞属性本身，还需考虑到业务影响范围，以确定修复的紧急程度。

完成基础建设后，企业应该设立相关试点，推进漏洞流程的实施，并观察漏洞管理制度的完善性、流程合理性以及修复效果。通过这些实际反馈，评估是否需要优化安全运营制度和修复流程等。一旦完成优化，就可以进入整体运营推广阶段，将漏洞管理制度推广至全公司甚至下属单位。这种阶段性的反馈和调整循环是至关重要的，它有助于漏洞管理制度的不断改进，保持安全性和有效性，并确保在推广过程中能够最大限度地适应组织的需求和变化。

在运营阶段，企业需要持续优化制度、流程、指标和协作方式。这意味着不断审视和改进漏洞管理制度的规章制度，确保其与最佳实践和行业标准保持一致。流程方面，不断优化漏洞修复流程，以适应不断变化的威胁和技术环境。指标方面，需要持续评估和调整设定的漏洞修复指标，确保其对企业安全目标的贡献和实际效果。协作方面，要促进各部门之间的密切合作，提高漏洞修复的协同效率，从而更快地响应和解决安全漏洞。这种持续性的优化是为了确保漏洞管理制度能够与不断变化的安全威胁和企业需求保持同步，保障企业的整体安全。

对此，魔方漏洞管理系统（CVM）融合全网资产、漏洞上游系统数据，精准构建风险优先级模型，聚焦关键威胁，量化运营指标，实现漏洞从发现、评估、修复、验证、改进的全流程闭环管理。利用漏洞优先级技术，实现基于资产风险的漏洞管理新模式。同时，通过多渠道的数据源管理，确保数据信息的全面性和准确性，帮助企业建立一套综合化、高效化且持续化的漏洞运营平台，助力安全更有温度地落地漏洞运营管理体系。

翼支付自动化安全运营实践

孟熹

翼支付网络与信息安全研究院负责人

翼支付网络与信息安全研究院的负责人——孟熹，围绕翼支付近年来在自动化安全运营方面的实践成果和经验，从自动化、标准化和智能化三个维度，详细介绍了自动化运营实践中的一些具体问题和解决方法。

分享首先介绍了翼支付当前运营自动化的成果：在人员有限的前提下。能够实现安全事件处置率和自动化处置比例均超过95%。

为了实现这样高的自动化水平，翼支付尝试了多种技术手段。

首先在自动化方面，作为中国电信集团安全自动化编排技术（SOAR）课题研究的牵头单位，翼支付从两年多前就开始了对SOAR的研究和使用，其能力不断丰富，目前支持的应用包已经扩展到几十个，可用的动作节点有上百个，可以将运营流程中的各种关键平台工具都统一纳管在一个平台，实现了统一的编排调度。

同时，为了实现SOAR的可靠落地，需要对安全数据进行集中的管理分析。这就需要大量标准化的数据治理工作。在这个过程中，依靠专家经验对安全数据进行梳理分类，然后利用语义识别等技术，实现高效准确的数据标准化自动处理。

在智能化方面，利用人工智能技术对运营专家经验进行总结学习，从而训练出一个可以模仿人工，从告警风险、威胁情报、历史记录等多个维度对安全事件进行综合性评分的智能运营分析模型。

通过测试比对，在保证准确性的前提下，该模型可以使安全事件的分析效率提升9倍以上。

因此，利用智能化的模型能力，不但能有效缓解自动化处置过程中数据分享的性能压力，而且可以提升事件处置的效率和准确性，使得自动化安全运营真正变成了一个可以其实落地的实践方案。

最后，孟熹总结到，安全运营是一个复杂的、设计多个维度的立体化工程。经过这些年的实践总结，标准化、智能化、自动化作为实现自动化运营的三个重要手段，相辅相成、缺一不可。只有从三个方向将相关技术进行有机结合，同时结合有效的管理制度，并将长期的运营经验，才能够实现一个相对完善、有效，且可以持续健康运行的自动化安全运营体系。

网络安全运营之安全左移

彭来

创业者

在分享前，彭来让现场嘉宾用手划出“人”字，由于视角的不同，有的划出的是“人”，有的划出的是“入”。这也是彭来在分享前想要提到的，网络安全产业的甲乙双方，其视角不同，所看到的网络安全运营也不用。

网络安全产业发展的过程中，大多数都是以合规需求驱动的，随着网络安全事件的频发，网络安全的技术趋势也发生了一些变化，企业把网络安全风险列为一项非常重要的商业风险，交付模式也从过去的硬件交付的安全产品、人工交付的安全服务逐渐走向了标准化、工具化、常态化的网络安全运营服务，以结果为导向。

那么以硬件交付的安全产品会带来哪些问题？主要就是因为甲乙两方视角不同，出发点也可能会不同。安全产品本质上是一个软件，软件的可复制性导致边际成本近乎于零。所以无论是安全大厂、上市公司还是初创公司，他们都是将安全产品出售给甲方，然后将利润和营业销售额最大化。

但这个模式最大的痛点是，它不以结果为导向。客户可能肚子饿，安全产品就好像是一个电饭煲，他虽然能做饭，但电饭煲本身不能吃。网络安全运维的作用就是保障电饭煲7 * 24 小时的正常运行，但还是得不到米饭。做饭需要人的参与、流程的参与，需要购买大米，需要人工去煮，换言之，就是要把这款产品合理的应用起来。人工交付的安服痛点在于安服工程师个人，他的经验、能力以及工作心情都有可能导致问题的发生。

总而言之，无论是硬件交付的安全产品，还是人工交付的安全服务，都存在非标准化的痛点，解决这个痛点就需要标准化、个人化和常态化的网络安全运营来解决，最终形成网络安全运营的铁三角。工具化的本质是将网络安全用起来，也就是网络安全产品服务化，标准化就是网络安全服务的产品化，常态化就是运营人员做可持续性的网络安全运营服务。这样落地也可以解决客户的三个目的，第一是不被监管机构通报，第二是不发生网络安全事件，第三个是建设网络安全文化。

通报一般有四个单位，网安、网信办、通管局以及行业监管。通报的问题大同小异，但细节也有区分。网信办更关注敏感内容，通管局关注翻墙挖矿，网安关注黑客入侵，行业监管包括银监会、卫健委、教育局等等。不同行业的行业监管有个性化的要求。事故包括入侵、勒索，目标就是企业的数字资产。网络安全文化建设，也就是人员安全意识提升，80%的网络安全攻击是从钓鱼邮件开始的，所以提升安全意识就能杜绝大部分的安全风险。

安全左移一般是指软件开发周期中，将安全提前嵌入到软件开发生命周期的前期阶段，以提升软件系统的抗风险能力，从而降低漏洞发现的成本。安全左移概念在网络安全运营中也是如此，可以将安全运营分为四个节点，第一是建立安全运营的基础体系，第二是安全运营的日常运营过程，第三是被通报，第四是发生安全事故。如果企业被通报，甚至发生安全事故，就需要对应的紧急响应，从而产生关联影响，包括名誉上的损失，处罚等等。因此，就需要企业将安全左移纳入网络安全运营中，在日常运营的过程中不停做两件事，梳理资产和漏洞以及加强人员的安全意识。通过这两项最基本的工作就可以解决80%的问题，剩下20%的问题就需要漏洞管理以及自动化等方式来应对。

活动相关资料欢迎大家在知识星球下载~

现场花絮

END