开雾 | 小黑板：安全运营如何少花钱多办事？

2023年12月29日，斯元网安发布了基于其搜索引擎平台的“2023年度热搜榜”，排名前十的热词，除了“安全访问服务边缘（SASE）”、“API安全”以外，还包括“安全编排自动化与响应（SOAR）”。由此可以看出，虽然用户变得谨慎且挑剔，但SOAR以及安全运营依然得到了很多用户的认可。

2023年已经过去，在崭新的2024年，可以预见到包括数据安全、勒索攻击以及AI、云的应用等等都会变得更加广泛，安全运营是否还能如2023年一样，持续得到用户的支持和认可呢？

值得确定的是，数据安全在2024年依然重要。从数据价值角度来看，自《数据安全法》及《个人信息保护法》发布以来，数据的价值正在快速提升。据数世咨询和零零信安共同发布的报告显示，2023年暗网数据交易买卖情报共达到113016起，2023年末的数据泄露和交易量相较年初提升了近100%。因此，保障数据安全在2024年依然会成为各行各业的主要目标和重要挑战。

在这个过程中，安全运营在保障数据安全方面起到了重大作用。以往的网络安全体系在边界部署了大量的安全设备，这些设备提供了网络可视化能力，增加了攻击者入侵的难度。但在事件响应和恢复方面，传统的网络安全体系往往是以手动或脚本为主、自动化手段为辅的方式，这很可能导致事前发现不及时、事中响应不迅速、事后恢复不彻底等问题。

而通过SIEM、SOAR以及XDR等搭建的安全运营体系可以将传统的网络安全体系向数据安全体系转型，以数据资产为核心，在动态发现资产的同时，进行分级、分类并提供深度数据可视化，最终实现高效、精准的事件响应和业务恢复，阻止数据盗取，保证数据安全。

从合规视角看，12月8日，网信办发布的《网络安全事件报告管理办法（征求意见稿）》指出，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。这意味着在2024年，企业经营者不仅需要了解自身的安全状况，还需要及时将完整的安全事件发生路径进行上报。

因此，建立完善的安全运营体系就成为满足合规要求的首选。通过安全运营工具的居中调控，在发生安全事件时，企业可以在有效应对的同时，将完整的攻击路径、响应流程以及事后影响作出更精准的研判，以满足监管合规的要求。

最后从业务转型来看，在2024年，云依然是企业业务及架构转型的主要选择。据中国信通院发布的《云计算白皮书（2023）》表示，我国云计算市场保持着快速发展，预计2025年我国云计算整体市场规模将超万亿元。基于边界和纵深的传统安全模式在云原生架构面前显得“力不从心”，围绕着云展开的云原生、多云、混合云架构开始变得复杂。

为了让安全变得“更简单”，一键式的安全运营中心就成为很多企业的选择，目前，包括腾讯、阿里及华为等多家云厂商推出了类似产品，结合资产视角及SOAR、AI等多项安全能力，目前的安全运营产品不仅能够有效支撑云架构安全体系，还能利用AI等能力快速发现和弥补风险点，让企业实现安全的方式变得尤其简单。

总而言之，“轻资产、重运营”的安全体系在2024年以及未来都会成为企业实现安全的重要标志。况且我们不能保证2024年的经济形势一定会回暖，因此，降本增效也依然成为企业发展的主要方向。在这两方面的结合下，安全运营又该有哪些变化呢？

此前，安全运营围绕着安全环境和技术发展得到了很多变化。2020年，随着SaaS化SIEM安全工具的增长，许多安全供应商开始在IaaS和容器中提供了SaaS化的部署方式，以提供更灵活、更规模化和可移植性的SIEM方案。在2020年，安全运营的主题词是快速灵活。

随后的几年时间中，随着勒索攻击的频繁和数据价值的提升，日志记录和事件管理对于安全人员了解当前的安全状况是必要手段，但它们不足以单独解决问题。因此，如何快速响应和解决就成为安全运营的主要目标。围绕这一目标，安全运营引入了SOAR，这不仅完善了SIEM在响应及自动化方面的缺失，还进一步延长了日志和事件管理类产品的使用寿命。在2023年，SIEM和SOAR解决方案已成为安全运营的基本组成部分。

但在2023年，我们看到了AI的发展，看到了不断变化的攻击模式和经济下滑的恶劣环境，在跌跌撞撞地度过了2023年之后，2024年的安全运营不仅要继续支持企业降本增效的大战略，还要应对复杂的攻击模式、常态化的攻防演练以及业务架构的快速转型。

幸运的是，已经有安全运营的供应商发现了用户的痛点，并开始朝着安全简化、价值体现以及AI应用等方面转型。

在安全简化方面，通过预先编排等技术，安全运营可以覆盖企业的主要业务场景和安全场景，并将安全事件拆分成一个个简单的环节。在应对时，企业只需要围绕预先编排的剧本，按照步骤依次调用需要的安全能力即可。这不仅让安全运营变得简单，在响应和处置方面也更加迅速、精准。此外，部分厂商还提供了与之配套的安全服务，在安全事件发生时可以将专业意见提供给用户，避免了因误操作或其他原因导致的响应机制失效等等。

在价值体现方面，当下安全运营产品围绕着数字资产展开，不仅打造了实时资产治理系统，还具备轻量化、无agent、实时动态更新、自由查询任意时间点资产快照、超强自定义化、自动化开展资产风险治理等优势。最重要的是，安全运营可以帮助用户提升资产风险发现和处置的效率，并在运营中提供重要的数据支撑。

部分安全运营产品还内置了安全事件报告功能，针对每个已经处置完成的安全事件，用户可点击报告按钮一键生成事件总结报告，并导出为 PDF 等格式。安全事件报告可以查看事件发生的事件、参与处置的人员、执行过哪些动作或剧本、事件综合处置时效以及总结等信息。基于此，用户不仅可以进一步完善响应和处置流程，还可以将其向上级呈现，实现安全价值的可视化。此外，安全运营还可以与威胁情报相结合，提高企业预先感知风险能力的同时，实现全链条的安全防护体系。

最后是AI应用方面，通过SOAR及AI等技术和工具的使用，目前已经有不少产品可以解决人-人、人-机协同过程中存在的问题。通过SOAR与AI的结合，在面对例如一键封禁IP、钓鱼邮件分析、入侵调查/攻击溯源、网络故障针对、快速发现资产和权限、事件总结以及设备巡检方面能够达到几十倍上百倍的效率提升，将过去数分钟数小时的人工耗时缩减为分钟级甚至秒级，同时，自动化编排也解决了在安全响应中依赖人工的问题，实现了极速的降本增效和安全运营。

在降本增效的大环境下，2024年的安全运营势必会朝着简单、智能等方向发展。因此，挖掘用户痛点，贴合用户需求是安全供应商们的主要目标，如何打造兼具成本与能力的安全运营工具和平台是摆在供应商面前的主要难题。希望经济下行环境中，能有更多供应商逆势突围，提供更多可靠、实用的安全产品以服务更多的企业和用户。