解锁安全运营：加强检测分析能力 把握对风险和防御的判断

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。

前期，我们已经探讨了如何通过，为安全运营工作的开展打下地基。本期，我们将聚焦于下一环节，通过加强检测及分析能力，把握对全局性安全风险和安全防御有效性的判断。

大多数场景下谈到安全运营的具体工作事项，都围绕在处理告警或安全事件上，这是其中最关键和重要的业务——通过技术和组织手段发现威胁，快速遏制和处置威胁，复盘优化检测分析策略，以期进一步更及时、全面、精准地发现威胁。

事实上，前期安全建设中的大部分投入，都是在解决此类问题。试想一个典型的大型集团企业应该如何防范安全威胁，拥有多个分支机构，各地的数据中心、服务器和终端资产数以万计，通过在互联网出口与办公网、研发网边界等部署IPS、IDS、WAF类安全设备，搭建起边界防护体系。进一步，顺应威胁的加剧和IT基础设施的庞杂，在网络侧部署流量分析工具NTA，到终端部署检测和响应软件EDR，再到融合AI技术进行异常行为分析等，都已成为主流的防御手段。

经年累月的建设之后，不同的安全产品缺乏联动，无法最大化利用每个安全产品的数据和能力，导致安全事件处置时间长、处置效率低，成本支出效果不明显。这时，企业通常会考虑能否有一个平台，通过汇总展示所有防护设备的安全告警和事件，以提升工作效率。SIEM技术和SOC类产品迎难而上，收集现网中所有WAF、IPS等各类安全设备和服务器、交换机等网络设备的日志，可以满足基础威胁管理与合规需求。

在实际工作中，这些“二手数据”的采集通常只是数据的简单糅合而缺乏关联分析，平台无法理解下游各种厂商的检测设备告警，未能对海量的告警有效降噪，导致数据多而不准。安全人员的精力严重透支在处理海量误报的路上，安全运营压力巨大。

近些年，局势演变得更为严峻。从外部环境观察，网络攻击的数量呈指数级增长，我们看到太多国际知名企业，乃至重大国际性活动都在钓鱼、勒索等事件中遭受重大损失。从内部体系观察，数字化转型步伐加快，业务流程升级，数据及资产全面上云，安全运营如何兼容混合多云架构，如何融入而不影响业务，成为企业亟须解决的困境。

综上多年的威胁风险和安全防御的对抗暴露出的问题在于：

因此，当前的安全运营一来需要强化对威胁的主动全面检测，二来需要强化对安全防御的有效性检测。

先来看对威胁检测的提升，核心在于从孤立走向统一。一方面，孤立的安全数据亟需深度聚合，打破数据孤岛，对防护环境的整体态势进行全局分析，以降低误报漏报提高告警质量。另一方面，孤立的原子安全能力亟需协同闭环，多数安全能力能够针对某一安全过程或者某一安全目标提供深度防御，然而面对日益复杂的攻击过程和攻击手段，需要打通安全的全过程，通过自动、弹性、智能的方式提供实战化防御能力。

基于此，可扩展的威胁检测与响应XDR在近年来备受关注，其架构可分为前端感应器和后端分析响应，前端组件作为触角采集器包括但不限于EDR、防火墙、探针、NDR、蜜罐等，后端组件则是将吸收所有关键位置的网络流量、终端日志等这些数据进行关联、高级分析，从而完成威胁检测、分析、工具编排、多产品联动自动化响应等工作。

围绕本篇的主题，我们着重探讨XDR如何实现主动威胁检测。“X”具备多维度的扩展属性，不再单纯依赖于端点、网络或其他安全设备进行告警发现和安全事件的标记，而是过渡到基于更多上下文数据的可见，重视底层的数据变化。

首先对多个维度的安全数据进行实时监控，通过主动分析技术如基于ATT&CK技战术的异常行为检测，来识别出行为背后潜藏的风险点，它们可能是一个异常登录请求、不寻常的网络流量模式，或是系统配置的未授权更改。这样的风险发现机制意在捕捉到传统安全工具可能遗漏的细微风险信号。

下一步对风险点进行分析，将它们与已知的威胁模式和情报库进行匹配，以判断是否存在实际的威胁，不仅关注单一事件，而是将相关事件串联起来，形成完整的攻击链。例如，一个不寻常的文件下载行为，本身可能不会引起警报，但如果与之前的异常登录尝试相关联，则可能表明一个更复杂的攻击正在进行中。

XDR的核心优势在于其对安全事件上下文的深入理解。通过整合来自不同数据源的信息，能够提供详尽的上下文信息，帮助安全分析师快速准确地判断威胁的性质和严重性。这包括攻击者的可能目标、使用的攻击手法、受影响资产的重要性等。这种全面的视角能够在复杂的安全环境中实现精准的威胁检测。

XDR的落地目前还处于市场发展早期，各厂商的实施路线不尽相同。

以EDR单点厂商延展为代表的原生派，既提供生成数据的前端解决方案，也提供后端分析与工作流引擎，安全产品间的关联与集成更紧密丝滑，检测响应效果更直接有效，但面对用户前期可能已经部署了多家厂商的设备，重复投资有比较大的阻力。

可以集成多家第三方厂商产品的开放派，主要提供后端能力，充当跨多产品的单一控制台，关联分析相关数据实现对自动化以及威胁检测、调查、取证与响应流程的优化，多见于以SIEM/SOC、SOAR起家的厂商，但是获取友商API接口很大程度上需要依靠用户的推动。

当然也有不少提供XDR组件的同时也允许集成第三方工具的混合派，国内市场中长期来看安全行业内部的设备做到互联互通、数据格式等标准尚在逐步推动建设中。

以未来智安为例，作为混合技术方向的玩家，其XDR系统通过部署在终端侧的EDR 探针和流量侧的NDR探针，能完整采集和检测来自终端、流量的攻击告警和遥测数据，并基于智能化事件分析引擎AiE自动将每天千万级零散的告警收敛成几十条完整的攻击事件，使攻击检测有效性提升百倍以上。系统集成自动化安全编排技术SOAR，实现对威胁事件响应处置的高效自动化，且内置了覆盖日常安全运营场景的百余条剧本Playbook，可将威胁事件运营效率从过去小时级提高到分钟级，运营效率提升8倍以上。

再来看对安全有效性检测的提升。在如今各类攻防演练以及真实黑客攻击中暴露出的问题显示，不仅是单点防御会造成海量误报和真空地带，已部署的安全防护存在失效几乎是一种必然情况，安全投资无法按照预期起到应有的防护效力，就需要引入一套新的机制，实现对已部署的各类安全防护措施，进行全面验证和持续监测评估。

具体来讲可以细化成三个层次：

攻击和检测能力均已知，常态化运营中，已部署的安全防护措施通常是既定的，面对已知的攻击手法，需要确保已部署的各类安全防护措施能够充分发挥其应有的防护检测能力；

攻击已知但检测能力不确定，面对已知的最新的攻击，需要一套机制实现大规模、自动化、全覆盖地对企业当前多网域复杂部署的安全防护措施进行验证，及时掌握和了解最新的防护检测情况，有针对性采取应急响应措施；

攻击未知且检测能力不确定，面对时刻都会出现的新型攻击和0day利用，需要具备实时跟踪、工程化技术验证的能力，对既定的安全防护体系进行验证，及时掌握防护态势，为安全运营全局提供重要数据支撑。

用于测试和校验安全性的技术手段和工具并不少，比如基线审查、漏洞扫描、应用安全测试、渗透测试及人工安服等，但在基于全局、统一思想的安全运营工作中，局限性也十分明显。入侵和攻击模拟BAS作为一种进阶的检测技术，在近年的安全运营技术曲线和风险管理趋势中强势崛起，其通过部署软件代理、虚拟机、云平台和其他手段，自动化模拟外部和内部、横向移动和数据泄露等威胁向量，进而提供模拟攻击组合的能力来验证企业的安全防御体系的有效性。

换句话说，BAS是持续模拟针对企业资产进行攻击的剧本及payload，因此可供安全团队以一致的方式持续测试安全控制措施，贯穿从预防到检测乃至响应的整个安全运营过程。

面向市场，国内目前仍处于进行宣贯培育的初级阶段，作为一种新兴技术，其落地需要完成产品化的实现，还需要根据用户的业务场景，分析当前的网络布防情况与运营体系设计完整的验证方案。伴随安全运营体系的整体完善和水平整体提升，多家咨询机构均在相关调研报告中对其保持高速增长的趋势表示看好。

以知其安为例，其建立的离朱安全有效性验证平台，部署架构与场景设计均与业务解耦，所有模拟攻击与负载全部进行无害化处理；支持对主流防护设备与软件产品的验证能力，能够无缝对接各类产品的告警信息；针对不同的验证场景均设计了可全自动闭环的验证逻辑与机制，将基于实战模拟的攻击验证用例结合各个不同的验证场景，对验证逻辑与架构进行部署搭建，形成各种维度的数据产出支撑各个应用场景的实现。

安全运营可以帮助企业将安全技术、安全人员与安全管理制度进行高效聚合，实现更为主动、快速、贯穿全局的防御能力。本文讨论的检测分析环节，是建立安全运营所必要的核心能力之一，但同时我们也发现，对应提供能力支撑的技术及产品，如XDR，正在集成更多的组件，泛化为更庞大的框架，意在涵盖全面的安全运营以形成闭环，因此，我们还将在后续的系列文章中继续展开探讨，同时也欢迎在安全运营领域具有研究成果和落地案例的企业与我们联系，共同展示高阶安全能力的实现。