不知道你還記不記得一個(gè)有意思的歷史典故：一個(gè)霸道君主為了取悅漂亮小姐姐，亂搞情報(bào)監(jiān)測系統(tǒng)，然后自己華麗麗地狗帶了。。。

紅紅火火吼吼，說的就是“烽火戲諸侯”。

在古代，烽火臺會根據(jù)不同的敵情傳遞不同顏色、濃度等形式的狼煙，完成最原始的情報(bào)監(jiān)測和傳遞。

到了《長安十二時(shí)辰》里，情報(bào)監(jiān)測和傳遞的黑科技玩得更 666 了：長安城一百零八坊，每三百步設(shè)一望樓。遍布整個(gè)長安的瞭望塔，樓上的兵卒時(shí)刻俯視街面；如發(fā)現(xiàn)任何異常，立刻向臨近望樓傳遞信息，一樓接一樓，片刻即可傳回靖安司總部，呈于李必面前。

有的觀眾不服氣了，這都是馬伯庸和編劇瞎編的：“望樓在唐代是有的，但它只是野戰(zhàn)時(shí)軍營里搭建的瞭望塔，一般是由木頭搭建的。電視劇里的情節(jié)應(yīng)該是作者虛構(gòu)的，它可以起到瞭望作用，但不叫望樓，也沒有那么復(fù)雜的信號系統(tǒng)。”

好吧，雖然歷史上的“情報(bào)的監(jiān)測與傳遞”沒有電視劇這么酷炫，但“情報(bào)監(jiān)測”演化到現(xiàn)代企業(yè)的攻防對戰(zhàn)中，可要比劇華麗多了。

13年前，有一家叫做網(wǎng)神的安全公司推出了國內(nèi)最早的安全管理平臺（SOC），那會傳統(tǒng) SOC 經(jīng)歷了“烽火臺”一般的初期發(fā)展，主要對企業(yè)的安全日志進(jìn)行分析，然后促進(jìn)一下合規(guī)管理。 

“烽火臺”——傳統(tǒng) SOC 慢慢發(fā)展，十年后，2016 年奇安信（網(wǎng)神母公司）推出了其中一個(gè)“迭代版”——新一代態(tài)勢感知與安全運(yùn)營平臺（NGSOC）。

NGSOC 終于達(dá)到了比“劇版望樓”更黑的黑科技成就：應(yīng)用大數(shù)據(jù)、威脅情報(bào)、流量分析和機(jī)器學(xué)習(xí)等多項(xiàng)新技術(shù)，對海量日志實(shí)現(xiàn)存儲計(jì)算、高級威脅檢測、響應(yīng)處置閉環(huán)。

而且，它是能動(dòng)手就絕不嗶嗶的實(shí)干派。

奇安信集團(tuán)大數(shù)據(jù)與安全運(yùn)營公司總經(jīng)理馬江波告訴雷鋒網(wǎng)，NGSOC 更重要的是支撐實(shí)戰(zhàn)化的安全運(yùn)營工作，經(jīng)過了 200 多家企業(yè)實(shí)際使用的蓋章認(rèn)定。在一次實(shí)戰(zhàn)化攻防演練的過程（也就是傳說中神秘的 XX 行動(dòng)）中，NGSOC 作為部分政企機(jī)構(gòu)的安全攻防作戰(zhàn)平臺，發(fā)現(xiàn)了數(shù)百起攻擊行為。

至此，你可以把它理解為，這次“劇版望樓”終于運(yùn)用到了現(xiàn)實(shí)生活中。

雷鋒網(wǎng)感興趣的是，是什么讓“烽火臺（傳統(tǒng)SOC）”演變成了“劇版望樓（NGSOC）”，NGSOC 的黑科技到底怎么用，以及未來企業(yè)中的威脅情報(bào)監(jiān)測和響應(yīng)又將發(fā)展成什么樣？馬江波，這個(gè)來自朗訊貝爾實(shí)驗(yàn)室，將安全管理平臺做到市場占比第一的 20 年經(jīng)驗(yàn)老司機(jī)決定講一講開車，哦不，NGSOC 的故事。

［馬江波：雙手叉腰，毫不慌張。］

內(nèi)外受敵

這要從企業(yè)資產(chǎn)中數(shù)據(jù)越來越值錢開始說起。

自打黑客和內(nèi)鬼紛紛認(rèn)識到了數(shù)據(jù)的重要性，他們的黑手就伸過來了。

比如，有偷酒店數(shù)據(jù)的。

最近幾年，萬豪集團(tuán)旗下的喜達(dá)屋酒店疑似發(fā)生用戶數(shù)據(jù)，直到今年一月才正式確定全世界超過 3.23 億的客戶資料被泄露，同時(shí)約 2500 萬的護(hù)照號碼也疑似被竊取。

你在哪里開了個(gè)房，你是誰，你用了什么支付，你有什么奇奇怪怪的喜好，統(tǒng)統(tǒng)被收進(jìn)了黑客的數(shù)據(jù)口袋。

有偷就有賣。

一個(gè)星期前，數(shù)據(jù)交易商已經(jīng)出售超過 680 萬條來自美國潮流服飾與運(yùn)動(dòng)鞋交易平臺 StockX 的用戶數(shù)據(jù)，這些用戶信息是今年 5 月被黑客盜取的，用戶名稱、電子郵件地址、送貨地址、用戶名、混淆后的密碼和購買歷史等被打包帶走。

外部黑客虎視眈眈，企業(yè)內(nèi)鬼同步在挖墻腳。

7 月 23 日一大早，市民劉大媽來到南京市公安局鼓樓分局漢中門派出所報(bào)警。前一天劉大媽買菜時(shí)，女兒在家替她簽收了一份 99 元的貨到付款快遞?！拔议|女看姓名、住址、電話全是對的，就把錢付了。可我最近根本沒有網(wǎng)購，打開一看是個(gè)太陽能壁燈，最多值十幾塊錢，這不明擺著被騙了嗎？”劉大媽按照快遞單上的寄件方電話撥打過去，結(jié)局可想而知。

這是最近南京警方破獲一起侵犯公民個(gè)人信息實(shí)施精準(zhǔn)詐騙中的受害案例，誰能想到，靠著 99 元的“貨到付款”，人家居然騙走了 1200 萬！民警赴河南鄭州抓獲嫌疑人13名， 其 中 6 人是快遞公司員工。

原來，這個(gè)詐騙團(tuán)伙利用快遞公司員工得到的內(nèi)部客戶信息實(shí)施精準(zhǔn)詐騙。

里外都有黑手盯著自家寶貴的數(shù)據(jù)，企業(yè)也很頭疼，一旦重要數(shù)據(jù)因?yàn)榫W(wǎng)絡(luò)攻擊或是意外事件而泄露，將會導(dǎo)致組織的數(shù)據(jù)資產(chǎn)和聲譽(yù)遭受嚴(yán)重?fù)p失。

這是第一個(gè)需求。

第二，外部攻擊越來越厲害了。

厲害到什么程度？

以前，可能只是小毛賊黑客單兵作戰(zhàn)，現(xiàn)在他們的攻擊越來越組織化——黑客組團(tuán)出擊，分工明確，目標(biāo)長遠(yuǎn)，現(xiàn)在在網(wǎng)絡(luò)上已形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網(wǎng)上黑色產(chǎn)業(yè)鏈。

漏洞也漸漸納入進(jìn)網(wǎng)絡(luò)軍火的范疇。原來只是一個(gè)看似簡單的系統(tǒng)漏洞，很可能成為橫掃 150 多個(gè)國家、全球 20 多萬家機(jī)構(gòu)電腦中的 Wannacry 翻版武器。

企業(yè)已經(jīng)不能夠再向以前一樣防御這種武器和黑客的進(jìn)攻，單純地被動(dòng)防守已經(jīng)扛不住了。監(jiān)測、防御、響應(yīng)和預(yù)警得一條龍跟上來，主動(dòng)地發(fā)現(xiàn)自家的薄弱之處，實(shí)現(xiàn)主動(dòng)防御。

而第三個(gè)不得不面臨的大環(huán)境是，新的法律法規(guī)明確提出了安全監(jiān)測預(yù)警的要求。

不是嚇你，捅了婁子就要被警察蜀黍抓進(jìn)去，就問你擔(dān)心不擔(dān)心？

（不擔(dān)心，因?yàn)槲也皇?CSO 或安全負(fù)責(zé)人？？？）

放羊的孩子也很難

道理我都懂，但還是不能好好過這一生。

企業(yè)可能面臨這種終極困擾的人生哲學(xué)：你說得都對，但是到底什么是主動(dòng)防御，什么是監(jiān)測、防御、響應(yīng)和預(yù)警形成閉環(huán)？

我們以兩類處置方法進(jìn)行對比：

第一種，聽到了狼的叫聲，狼好像朝這邊過來來了，放羊的小孩自己干不過狼，他想直接去叫村里的防衛(wèi)隊(duì)過來，沒有權(quán)限，人家說，一個(gè)小孩懂什么，萬一不是狼，你聽錯(cuò)了怎么辦？當(dāng)然是要聽村長的命令。小孩只能去找村長，誰想到村長正在開會，誰也不能打擾，等到村長開完會，找人處置時(shí)，羊圈已經(jīng)被掃得一干二凈。

第二種，狼來了，村里安置了報(bào)警器和各種自動(dòng)的陷阱，狼一踏進(jìn)來，被捉。

“過去攻擊來了，判斷后你要找一個(gè)安全研究員，把防火墻再加強(qiáng)，這個(gè)周期非常長，現(xiàn)在檢測出攻擊以后，第一反應(yīng)就是阻斷，一鍵響應(yīng)，自動(dòng)給防火墻下指令，阻斷這個(gè)報(bào)警，這就是一種主動(dòng)防御的能力。”馬江波說。

另一層主動(dòng)防御是，小孩長大了，具備了自己分析判斷的經(jīng)驗(yàn)，可以自己進(jìn)行不太復(fù)雜的判斷，減輕村長判斷的負(fù)擔(dān)，只有在情況比較復(fù)雜時(shí)，才需要村長出馬。

“NGSOC 把調(diào)查的上下文為安全分析的人準(zhǔn)備好，比如相關(guān)的流量，甚至終端日志的多維度關(guān)聯(lián)，讓安全分析員的效率有很大的提升，這是一種主動(dòng)?！瘪R江波說，在這錯(cuò)綜復(fù)雜的分析中，一部分是自動(dòng)處置，其他依靠人工，但這已經(jīng)大大減輕了安全分析員的工作量，但在本質(zhì)上，要建立以人為中心的安全監(jiān)測預(yù)警體系。

高階“望樓”也有難處

說了半天，還是需要高級分析人員的參與？

是的，但我們先看看 NGSOC 還能為人做些什么。

馬江波告訴雷鋒網(wǎng)，NGSOC 建立大數(shù)據(jù)技術(shù)架構(gòu)之上，運(yùn)用 Hadoop、Spark、ES 等大數(shù)據(jù)組件，解決海量數(shù)據(jù)的采集、存儲和計(jì)算的難題。傳統(tǒng)的數(shù)據(jù)庫只能處理億級數(shù)據(jù)且查詢速度在分鐘級，以前可能安全分析人員抽了根煙回來，平臺還沒算完，但現(xiàn)在 NGSOC 支持分布式大數(shù)據(jù)架構(gòu)，可以處理百億級數(shù)據(jù)，查詢速度達(dá)到秒級，這是第一個(gè)技術(shù)創(chuàng)新點(diǎn)。

第二個(gè)創(chuàng)新點(diǎn)是，將威脅情報(bào)和全流量分析技術(shù)引入安全運(yùn)營平臺。

威脅情報(bào)就是敵方的攻擊策略和攻擊手法，而流量分析有效彌補(bǔ)原有日志數(shù)據(jù)不足，有攻擊就會留下流量產(chǎn)生。流量分析與威脅情報(bào)結(jié)合，又產(chǎn)生“1+1大于2”的效果，在數(shù)百起 APT 攻擊和勒索病毒的事件的發(fā)現(xiàn)和溯源發(fā)揮至關(guān)重要的作用，已經(jīng)成為安全分析人員進(jìn)行高級威脅的發(fā)現(xiàn)和溯源的最有效手段之一。

第三，搭載首個(gè)分布式事件關(guān)聯(lián)引擎，關(guān)聯(lián)引擎每秒可以處理高達(dá) 10 萬條安全事件，支持彈性業(yè)務(wù)擴(kuò)展，也就是說將兩件看上去沒什么關(guān)系的事情挖個(gè)底朝天，結(jié)果發(fā)現(xiàn)了其中的勾連，就好比讓人的思維發(fā)散式延展，平臺自動(dòng)幫你呈現(xiàn)其中的關(guān)系，建立精準(zhǔn)的模型。

這個(gè)很好理解——比如某姑娘說要去做頭發(fā)，突然有個(gè)神器分析了她最近做頭發(fā)的頻率，去的地點(diǎn)，社交網(wǎng)站發(fā)的圖片和博文，閨蜜點(diǎn)贊數(shù)和閨蜜動(dòng)向，然后告訴你，這個(gè)姑娘很可能不是去做傳統(tǒng)意義上的頭發(fā)。

說到這里，講一個(gè)更正經(jīng)的八卦。

熟悉安全行業(yè)的讀者可能知道，幾個(gè)月前，奇安信的前世版本“360企業(yè)安全”正式與 360 分家。不久以后，360 就收回了此前給“360 企業(yè)安全”的技術(shù)、品牌、數(shù)據(jù)授權(quán)。

這種情況下，NGSOC 會不會受到影響？

馬江波微微一笑，給雷鋒網(wǎng)列出了“數(shù)據(jù)驅(qū)動(dòng) NGSOC ”背后的數(shù)據(jù)源：

“NGSOC 針對的是企業(yè)級用戶，有 4000 萬企業(yè)級終端數(shù)據(jù)，這一部分并未受到分家的影響。

奇安信有自己的網(wǎng)關(guān)，這些網(wǎng)關(guān)設(shè)備可以產(chǎn)生數(shù)據(jù)，會提供警情、URL的數(shù)據(jù)，這對企業(yè)級市場更有價(jià)值。

國內(nèi)最大的漏洞平臺“補(bǔ)天”可以提供 35 萬的漏洞信息。

情報(bào)除了來自于大數(shù)據(jù)，還有國內(nèi)外的情報(bào)廠商?！?/strong>

“我們更在意的是企業(yè)級的終端數(shù)據(jù)。”馬江波強(qiáng)調(diào)。

八卦完畢，回到正題，馬江波提到，NGSOC 是重服務(wù)的，以人為核心的安全運(yùn)營服務(wù)，但是一般企業(yè)哪有那么多經(jīng)驗(yàn)豐富的高級分析人員？

靠奇安信派駐高級分析人員。

客戶：我們木有厲害的安全運(yùn)營人員，能不能派高級分析人員駐場？

奇安信：好的，我來了。

100個(gè)客戶：我們木有厲害的安全運(yùn)營人員，能不能派高級分析人員駐場？

奇安信：我。。。。？？？？？

NGSOC 的客戶屬于政企端，客戶將大數(shù)據(jù)嚴(yán)嚴(yán)實(shí)實(shí)地揣在懷里，要想通過第三方供應(yīng)商運(yùn)營分析數(shù)據(jù)，很多客戶猶豫了。但是，總體上高級運(yùn)營分析人員數(shù)量有限，到底分配給誰？

馬江波原來想的是，在每一個(gè)省建立一個(gè)一級運(yùn)營中心，大概配備10人的高級分析團(tuán)隊(duì)，在市級設(shè)立二級駐場分析人員，因?yàn)檫@些政企單位在省和市的內(nèi)部通道可以打通，那么，二級的數(shù)據(jù)可以流向一級，一級的分析能力能流向二級，這樣的模式能從一定程度上打消客戶的顧慮。

這種模式目前還在試行中。

但是，NGSOC 運(yùn)營服務(wù)的終極思路還是“云端運(yùn)營”：實(shí)現(xiàn)30%－40%的云端運(yùn)營，客戶有疑問時(shí)，派高級分析人員實(shí)地“上課”。

面對謹(jǐn)慎的客戶，馬江波還想再勸說一下：“如果甲方慢慢認(rèn)可這種模式，其實(shí)對他們的響應(yīng)效率、能力的提升、成本的降低都有幫助的。真正運(yùn)營起來需要的是人才，人才不足的情況下，企業(yè)也應(yīng)該解決人才匱乏的問題，為什么我們不做呢？我覺得不光對乙方好，對甲方也好。”

NGSOC 在為這種終極思路鋪路：奇安信在青島和綿陽的安全人才培訓(xùn)基地招募了很多種子選手，計(jì)劃在2019年培養(yǎng)超過1500名安全服務(wù)工程師?！?nbsp;現(xiàn)在這些種子選手像學(xué)徒一樣進(jìn)入中心，和高級的人才在一起。如果能夠堅(jiān)持下來，他們慢慢不就從初級變成中級了嘛”。

在人不夠和急需人的矛盾下，NGSOC 的另一個(gè)目標(biāo)是自動(dòng)化響應(yīng)。

一個(gè)安全分析師每周能審查并響應(yīng)的安全警報(bào)撐死能達(dá)到 1.2 萬個(gè)，一般每周有幾十萬個(gè)警報(bào)，部分已知的安全告警的分析和響應(yīng)其實(shí)可以通過標(biāo)準(zhǔn)化流程進(jìn)行，SOAR（安全編排、自動(dòng)化和響應(yīng)平臺）將機(jī)器可標(biāo)準(zhǔn)化執(zhí)行的數(shù)據(jù)采集、威脅分析和響應(yīng)行為編排為安全劇本playbook，通過工作流引擎來自動(dòng)化執(zhí)行，讓機(jī)器承擔(dān)大量已知告警的分析和響應(yīng)工作，高級安全分析人員則可以專注于新型的攻擊事件。

馬江波說，這事馬上就提上日程，2020 年上半年，NGSOC 計(jì)劃推出 SOAR 組件。

除了人和工具，企業(yè)要想真的用好安全運(yùn)營平臺，日常隨手拎出潛伏的妖魔鬼怪，還要靠自己。

已經(jīng)有人為你們踩過了坑。

第一個(gè)坑：永恒之藍(lán)來臨時(shí)，微軟已經(jīng)提前一個(gè)月發(fā)出安全預(yù)警通告，但是，由于資產(chǎn)脆弱性管理和補(bǔ)丁管理制度的缺失，無法有些協(xié)同企業(yè)內(nèi)部的不同部門協(xié)同工作。從而造成大量企業(yè)沒有及時(shí)安全補(bǔ)丁，造成百萬級電腦數(shù)據(jù)被加密，無法恢復(fù)。有效執(zhí)行安全運(yùn)營的相關(guān)管理流程太關(guān)鍵了！

第二個(gè)坑：安全產(chǎn)品買了一堆，但是缺乏標(biāo)準(zhǔn)協(xié)同標(biāo)準(zhǔn)和接口，NGSOC 無法做到與網(wǎng)關(guān)設(shè)備、終端 EDR等聯(lián)動(dòng)響應(yīng)，以及與企業(yè)內(nèi)外部資源共享威脅情報(bào)、協(xié)同處置安全威脅。

睿智的將軍看清了一切，做好了神勇的決策，但是調(diào)動(dòng)不了士兵作戰(zhàn)，這是將軍的悲劇，也是大廈傾覆的前兆。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。