二八科技-二八科技新聞資訊

新基建帶來全新機遇的同時，企業如何在更加復雜的數字化環境中守好安全關?

在近日召開的“灣區創見·2020網絡安全大會”上，騰訊企業IT部安全運營中心總監蔡晨基于騰訊內網的安全建設經驗，分享了企業安全運營中心在大數據、行為分析、應急響應、反向校驗四個方面的建設新思路和創新實踐，為企業構建更加智能和高效的安全運營體系提供了騰訊樣本參考。

“與看不見的攻擊者對抗，注定會失敗”。在海量數據充斥的網絡環境中，高效的安全數據處理能力是企業安全運營中心運轉的起點。蔡晨表示，安全大數據能力要兼具數據廣度和深度。廣度上需要全覆蓋所保護資產，深度上則需要和攻擊者保持同一個深度或者更深，否則就會出現看不到已有攻擊情況。目前騰訊企業IT的安全運營中心已具備日處理千億條數據、千種數據類別的處理與分析能力。

如何通過情報發現安全威脅的蹤跡同樣是至關重要的一步。騰訊企業IT的做法是“專家規則+機器學習”雙管齊下，充分融合人腦和機器的優勢，通過行為分析，讓隱藏在海量威脅情報中的敵人行為動向無可藏匿。其中，騰訊專家規則經過十余年沉淀，形成了從“初始訪問-執行-駐留-提權-收集-橫向移動-竊密-遠控”入侵全鏈路的覆蓋，并建立了針對單行為、多行為、行為鏈的定制化規則。

除此之外，企業安全運營中心建設還需要構建有效及時的應急響應體系。一方面為安全人員提供規則告警、處置工具、樣本分析、入侵溯源等平臺化工具，支持其在每一個流程環節能實時處置安全威脅;另一方面，也需要借助SOAR的思想，支持非安全人員開展安全運營，通過內置的安全編排響應劇本，對安全事件進行自動化響應處置并提供響應報告詳情，提升安全事件響應處置效率。

安全對抗終究是人與人之間的對抗，成熟的安全運營中心需要持續性的迭代和進化，而這需要引入常態化的紅藍對抗機制。蔡晨在大會現場也分享了騰訊企業IT的紅藍對抗經驗——藍軍要邊緣突破，迂回作戰，避開正面對抗;紅軍要拒絕被動，反客為主，高維防御，“每一次攻防對抗演習，都完全模擬全鏈路的真實入侵，希望以攻促防，提升安全水位”。

基于以上四大建設思路的牽引，騰訊云安全運營中心的成功經驗和能力也正在各行各業復用，通過將安全運營體系分為事前安全預防、事中威脅檢測和事后響應處置三個部分，結合全局安全態勢的可視體系，幫助運維人員更加簡潔明了地認知和構建智能的企業安全運營體系。

在大型國企的應用實例中，騰訊云安全運營中心憑借滿足合規硬性要求的安全管理和自動化評估功能，幫助該企業順利通過了等保2.0合規測評;在智慧城市藍圖中，騰訊安全運營中心專有云推出了面向城市安全運營的定制化版本，在數字廣東、長沙等逐步落地，從城市安全運營層面助力智慧城市的建設。