智能安全运营，不得不说的秘密

许多企业已经购买了安全产品和安全服务，并成立了团队来建立和操作安全系统，但他们仍然遇到许多问题。例如，企业购买大量异构安全设备，分散在各处，产生大量日志，给日志分析和事件处理带来困难；信息技术主管被大量零散的信息淹没，无法做出宏观判断和有效决策。信息技术运维人员到处灭火，每一起重大安全事件都会被疯狂应对，导致效率低下，无法充分发挥设备和平台的能力……

在复杂快速变化的环境中，如何有效保护企业安全是每个企业面临的关键问题。

安全运营新趋势

企业购买安全产品和安全服务，并支付安全工程师的费用。目标是解决问题，而解决问题不仅仅是买回一个安全产品并得到一份安全报告。随着安全管理和技术的发展，安全运行越来越受到重视。

在管理科学中，有一个操作的定义:“操作是对操作过程的规划、组织、实施和控制，是与产品生产和服务创造密切相关的所有管理工作的总称”。然而，安全运行是一个提出安全解决思路、验证效果、分析问题、诊断问题、协调资源解决问题、不断迭代优化以实现安全目标的过程。通过对安全运行过程的全面管理，满足了企业安全动态、持续、整体的要求。

近几年来，安全运营发生很多变化，我们看到有一些趋势：

1、从“被动防御”到“主动响应”

传统的安全系统侧重于边界防御，将企业网络部署为一道铁壁。然而，企业信息系统上的云和移动互联网成为标准业务，网络边界越来越模糊，带来了新的安全挑战。安全系统已经开始从“被动防御”转变为“主动响应”。与其被动挨打，不如迅速发现，及时应对，降低风险和损失。

2、从“碎片化”到“可视化”

许多企业在网络中部署不同的安全设备。大量不同的设备生成大量日志，信息分散，分析方法稀缺。很难看到整体安全状况，这极大地影响了安全运行的效率和效果。随着平台技术的发展，安全系统已经开始从“碎片化”向“可视化”转变。通过平台可视化和大数据分析技术，提高了运行效率，感知了整体安全形势。

3、从“操作规范”到“效率优先”

对于大多数企业来说，安全操作和维护是定期发现漏洞并修复它们；配置安全设备策略，并根据业务变化调整策略；用于攻击或事故、应急响应等。操作和维护人员在复杂的安全操作中努力寻求“操作规范”。然而，随着企业的信息技术环境变得越来越复杂，越来越多的以经济效益为目标的安全事件出现，企业的安全运营已经关系到企业的发展乃至生存。企业不再满足于“作业标准”，而是应该“效率优先”，使用更好的安全技术和产品，提高安全作业效率，实现企业安全目标。

一般来说，一方面，安全操作已经演变为“主动响应、可视化和效率优先”，另一方面，合规性推动了安全操作的发展。

随着国际标准化组织2.0国家标准的正式发布，安全管理平台和安全运行服务已成为安全体系的“标准”。在今天的安全运营中，数据是核心，分析是灵魂，人员是纽带。企业从资产发现、安全监控、数据分析、智能预警、协同处置等方面构建“预测、保护、检测和响应”的自适应安全能力。

绿盟科技的智能安全运营之道

1、安全运营体系

新型网络安全威胁层出不穷，高风险安全事件不断涌现，这将是未来安全行业的“新常态”。每一个重大的“安全事件”都是对安全组织的重大考验。从获取敌人信息、部署武器到大规模实施“安全服务”、监视

2015年，全球知名市场分析师高德纳提出了适应性框架(ASA)。到2018年，它已经发展成为一个持续适应性风险和信任评估系统(CARTA)，得到越来越多的安全制造商和客户的认可。

CARTA从预测、防御、检测和响应四个维度不断构建适应性架构，以持续监控和分析为核心，以平台为中心整合各种安全能力，协调人员处理事件，然后通过安全管理流程和系统的登陆以及安全运营团队的有效组织，创建“安全、可信、合规”的安全运营系统。

基于高德纳的安全运营框架，绿色联盟技术(Green Alliance Technology)在2016年提出并构建了下一代安全运营系统，以适应市场的新变化:即基于信息技术资产，以业务系统为核心，在持续监控和分析的基础上，通过不断响应和保护策略的自适应调整，实现了对网络攻击的动态防御，形成了闭环安全运营系统。

2、绿盟智能安全运营平台

基于多年的态势感知和企业安全管理平台建设经验，绿色联盟科技发布了新版本，推出了NSFocus智能安全运营平台(iSOP)，这是一个遵循绿色联盟智能安全2.0理念，以运营为中心，智能化、充满场景的统一安全管理平台。ISOP基于大数据框架，并与威胁情报系统相结合。通过机器学习、威胁建模、场景关联分析、异常行为分析、安全调度自动化、可视化展示等技术，ISOP帮助客户建立和完善安全形势的全面监控、安全威胁的实时预警、资产和漏洞的生命周期管理、安全事故的应急响应能力。通过其独特的自适应架构，为安全运行提供可靠的信息和数据支持，帮助客户快速发现和分析安全问题，并通过运行和维护手段实现安全闭环管理。

说起绿盟智能安全运营平台，不得不说它的“智能”特性，体现在事前智能预警、事中智能分析、事后智能响应三个方面。

◆事前智能预警

NSFocus威胁情报中心(NTI)是绿色联盟科技推出的威胁情报分析和共享平台，依靠多年的安全经验和情报数据积累，能够为用户提供及时准确的威胁情报数据。

在NTI的威胁情报支持下，用户可以通过绿盟智能安全操作平台及时了解资产面临的安全威胁，做出准确的预警，了解新的威胁趋势，实施积极主动的威胁防御和快速反应策略，结合安全数据的深入分析，全面掌握安全威胁形势，准确跟踪威胁，追踪攻击源头。

◆事中智能分析

经过多年的安全攻防研究和安全服务经验积累，面对不同的安全业务场景，绿联智能安全运营平台构建了多种智能安全分析引擎，包括多源数据关联分析引擎、攻击链分析引擎、安全态势理解和推理引擎、威胁智能分析引擎、机器学习引擎、用户行为分析引擎等。

例如，绿联智能安全操作平台提供对用户异常行为的分析。使用先进的分析方法和机器学习模型，用户和实体(例如，ip地址、应用程序、设备和网络)可以被评估、关联并建立基线以找出罪犯。

◆事后智能响应

在日常安全操作和维护中，策略配置等操作繁琐且容易出错，导致响应不及时、处置不正确和效率低下。绿联智能安全操作平台通过安全编排和自动响应技术(SOAR)集成不同的数据集和安全技术，以自动化方式推动智能事件处理，提高安全操作的效率。其核心是尽量减少事件响应过程中重复任务的人工干预，以帮助加快问题的解决。

总结

是一个由业务、场景和数据驱动的自适应安全综合管控平台。