不知道你還記不記得一個有意思的歷史典故：一個霸道君主為了取悅漂亮小姐姐，亂搞情報監(jiān)測系統(tǒng)，然后自己華麗麗地狗帶了。。。

紅紅火火吼吼，說的就是“烽火戲諸侯”。

在古代，烽火臺會根據(jù)不同的敵情傳遞不同顏色、濃度等形式的狼煙，完成最原始的情報監(jiān)測和傳遞。

到了《長安十二時辰》里，情報監(jiān)測和傳遞的黑科技玩得更 666 了：長安城一百零八坊，每三百步設(shè)一望樓。遍布整個長安的瞭望塔，樓上的兵卒時刻俯視街面；如發(fā)現(xiàn)任何異常，立刻向臨近望樓傳遞信息，一樓接一樓，片刻即可傳回靖安司總部，呈于李必面前。

有的觀眾不服氣了，這都是馬伯庸和編劇瞎編的：“望樓在唐代是有的，但它只是野戰(zhàn)時軍營里搭建的瞭望塔，一般是由木頭搭建的。電視劇里的情節(jié)應(yīng)該是作者虛構(gòu)的，它可以起到瞭望作用，但不叫望樓，也沒有那么復雜的信號系統(tǒng)?！?/p>

好吧，雖然歷史上的“情報的監(jiān)測與傳遞”沒有電視劇這么酷炫，但“情報監(jiān)測”演化到現(xiàn)代企業(yè)的攻防對戰(zhàn)中，可要比劇華麗多了。

13年前，有一家叫做網(wǎng)神的安全公司推出了國內(nèi)最早的安全管理平臺（SOC），那會傳統(tǒng) SOC 經(jīng)歷了“烽火臺”一般的初期發(fā)展，主要對企業(yè)的安全日志進行分析，然后促進一下合規(guī)管理。 

“烽火臺”——傳統(tǒng) SOC 慢慢發(fā)展，十年后，2016 年奇安信（網(wǎng)神母公司）推出了其中一個“迭代版”——新一代態(tài)勢感知與安全運營平臺（NGSOC）。

NGSOC 終于達到了比“劇版望樓”更黑的黑科技成就：應(yīng)用大數(shù)據(jù)、威脅情報、流量分析和機器學習等多項新技術(shù)，對海量日志實現(xiàn)存儲計算、高級威脅檢測、響應(yīng)處置閉環(huán)。

而且，它是能動手就絕不嗶嗶的實干派。

奇安信集團大數(shù)據(jù)與安全運營公司總經(jīng)理馬江波告訴雷鋒網(wǎng)，NGSOC 更重要的是支撐實戰(zhàn)化的安全運營工作，經(jīng)過了 200 多家企業(yè)實際使用的蓋章認定。在一次實戰(zhàn)化攻防演練的過程（也就是傳說中神秘的 XX 行動）中，NGSOC 作為部分政企機構(gòu)的安全攻防作戰(zhàn)平臺，發(fā)現(xiàn)了數(shù)百起攻擊行為。

至此，你可以把它理解為，這次“劇版望樓”終于運用到了現(xiàn)實生活中。

雷鋒網(wǎng)感興趣的是，是什么讓“烽火臺（傳統(tǒng)SOC）”演變成了“劇版望樓（NGSOC）”，NGSOC 的黑科技到底怎么用，以及未來企業(yè)中的威脅情報監(jiān)測和響應(yīng)又將發(fā)展成什么樣？馬江波，這個來自朗訊貝爾實驗室，將安全管理平臺做到市場占比第一的 20 年經(jīng)驗老司機決定講一講開車，哦不，NGSOC 的故事。

［馬江波：雙手叉腰，毫不慌張。］

內(nèi)外受敵

這要從企業(yè)資產(chǎn)中數(shù)據(jù)越來越值錢開始說起。

自打黑客和內(nèi)鬼紛紛認識到了數(shù)據(jù)的重要性，他們的黑手就伸過來了。

比如，有偷酒店數(shù)據(jù)的。

最近幾年，萬豪集團旗下的喜達屋酒店疑似發(fā)生用戶數(shù)據(jù)，直到今年一月才正式確定全世界超過 3.23 億的客戶資料被泄露，同時約 2500 萬的護照號碼也疑似被竊取。

你在哪里開了個房，你是誰，你用了什么支付，你有什么奇奇怪怪的喜好，統(tǒng)統(tǒng)被收進了黑客的數(shù)據(jù)口袋。

有偷就有賣。

一個星期前，數(shù)據(jù)交易商已經(jīng)出售超過 680 萬條來自美國潮流服飾與運動鞋交易平臺 StockX 的用戶數(shù)據(jù)，這些用戶信息是今年 5 月被黑客盜取的，用戶名稱、電子郵件地址、送貨地址、用戶名、混淆后的密碼和購買歷史等被打包帶走。

外部黑客虎視眈眈，企業(yè)內(nèi)鬼同步在挖墻腳。

7 月 23 日一大早，市民劉大媽來到南京市公安局鼓樓分局漢中門派出所報警。前一天劉大媽買菜時，女兒在家替她簽收了一份 99 元的貨到付款快遞?！拔议|女看姓名、住址、電話全是對的，就把錢付了?？晌易罱緵]有網(wǎng)購，打開一看是個太陽能壁燈，最多值十幾塊錢，這不明擺著被騙了嗎？”劉大媽按照快遞單上的寄件方電話撥打過去，結(jié)局可想而知。

這是最近南京警方破獲一起侵犯公民個人信息實施精準詐騙中的受害案例，誰能想到，靠著 99 元的“貨到付款”，人家居然騙走了 1200 萬！民警赴河南鄭州抓獲嫌疑人13名， 其 中 6 人是快遞公司員工。

原來，這個詐騙團伙利用快遞公司員工得到的內(nèi)部客戶信息實施精準詐騙。

里外都有黑手盯著自家寶貴的數(shù)據(jù)，企業(yè)也很頭疼，一旦重要數(shù)據(jù)因為網(wǎng)絡(luò)攻擊或是意外事件而泄露，將會導致組織的數(shù)據(jù)資產(chǎn)和聲譽遭受嚴重損失。

這是第一個需求。

第二，外部攻擊越來越厲害了。

厲害到什么程度？

以前，可能只是小毛賊黑客單兵作戰(zhàn)，現(xiàn)在他們的攻擊越來越組織化——黑客組團出擊，分工明確，目標長遠，現(xiàn)在在網(wǎng)絡(luò)上已形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網(wǎng)上黑色產(chǎn)業(yè)鏈。

漏洞也漸漸納入進網(wǎng)絡(luò)軍火的范疇。原來只是一個看似簡單的系統(tǒng)漏洞，很可能成為橫掃 150 多個國家、全球 20 多萬家機構(gòu)電腦中的 Wannacry 翻版武器。

企業(yè)已經(jīng)不能夠再向以前一樣防御這種武器和黑客的進攻，單純地被動防守已經(jīng)扛不住了。監(jiān)測、防御、響應(yīng)和預(yù)警得一條龍跟上來，主動地發(fā)現(xiàn)自家的薄弱之處，實現(xiàn)主動防御。

而第三個不得不面臨的大環(huán)境是，新的法律法規(guī)明確提出了安全監(jiān)測預(yù)警的要求。

不是嚇你，捅了婁子就要被警察蜀黍抓進去，就問你擔心不擔心？

（不擔心，因為我不是 CSO 或安全負責人？？？）

放羊的孩子也很難

道理我都懂，但還是不能好好過這一生。

企業(yè)可能面臨這種終極困擾的人生哲學：你說得都對，但是到底什么是主動防御，什么是監(jiān)測、防御、響應(yīng)和預(yù)警形成閉環(huán)？

我們以兩類處置方法進行對比：

第一種，聽到了狼的叫聲，狼好像朝這邊過來來了，放羊的小孩自己干不過狼，他想直接去叫村里的防衛(wèi)隊過來，沒有權(quán)限，人家說，一個小孩懂什么，萬一不是狼，你聽錯了怎么辦？當然是要聽村長的命令。小孩只能去找村長，誰想到村長正在開會，誰也不能打擾，等到村長開完會，找人處置時，羊圈已經(jīng)被掃得一干二凈。

第二種，狼來了，村里安置了報警器和各種自動的陷阱，狼一踏進來，被捉。

“過去攻擊來了，判斷后你要找一個安全研究員，把防火墻再加強，這個周期非常長，現(xiàn)在檢測出攻擊以后，第一反應(yīng)就是阻斷，一鍵響應(yīng)，自動給防火墻下指令，阻斷這個報警，這就是一種主動防御的能力?！瘪R江波說。

另一層主動防御是，小孩長大了，具備了自己分析判斷的經(jīng)驗，可以自己進行不太復雜的判斷，減輕村長判斷的負擔，只有在情況比較復雜時，才需要村長出馬。

“NGSOC 把調(diào)查的上下文為安全分析的人準備好，比如相關(guān)的流量，甚至終端日志的多維度關(guān)聯(lián)，讓安全分析員的效率有很大的提升，這是一種主動?！瘪R江波說，在這錯綜復雜的分析中，一部分是自動處置，其他依靠人工，但這已經(jīng)大大減輕了安全分析員的工作量，但在本質(zhì)上，要建立以人為中心的安全監(jiān)測預(yù)警體系。

高階“望樓”也有難處

說了半天，還是需要高級分析人員的參與？

是的，但我們先看看 NGSOC 還能為人做些什么。

馬江波告訴雷鋒網(wǎng)，NGSOC 建立大數(shù)據(jù)技術(shù)架構(gòu)之上，運用 Hadoop、Spark、ES 等大數(shù)據(jù)組件，解決海量數(shù)據(jù)的采集、存儲和計算的難題。傳統(tǒng)的數(shù)據(jù)庫只能處理億級數(shù)據(jù)且查詢速度在分鐘級，以前可能安全分析人員抽了根煙回來，平臺還沒算完，但現(xiàn)在 NGSOC 支持分布式大數(shù)據(jù)架構(gòu)，可以處理百億級數(shù)據(jù)，查詢速度達到秒級，這是第一個技術(shù)創(chuàng)新點。

第二個創(chuàng)新點是，將威脅情報和全流量分析技術(shù)引入安全運營平臺。

威脅情報就是敵方的攻擊策略和攻擊手法，而流量分析有效彌補原有日志數(shù)據(jù)不足，有攻擊就會留下流量產(chǎn)生。流量分析與威脅情報結(jié)合，又產(chǎn)生“1+1大于2”的效果，在數(shù)百起 APT 攻擊和勒索病毒的事件的發(fā)現(xiàn)和溯源發(fā)揮至關(guān)重要的作用，已經(jīng)成為安全分析人員進行高級威脅的發(fā)現(xiàn)和溯源的最有效手段之一。

第三，搭載首個分布式事件關(guān)聯(lián)引擎，關(guān)聯(lián)引擎每秒可以處理高達 10 萬條安全事件，支持彈性業(yè)務(wù)擴展，也就是說將兩件看上去沒什么關(guān)系的事情挖個底朝天，結(jié)果發(fā)現(xiàn)了其中的勾連，就好比讓人的思維發(fā)散式延展，平臺自動幫你呈現(xiàn)其中的關(guān)系，建立精準的模型。

這個很好理解——比如某姑娘說要去做頭發(fā)，突然有個神器分析了她最近做頭發(fā)的頻率，去的地點，社交網(wǎng)站發(fā)的圖片和博文，閨蜜點贊數(shù)和閨蜜動向，然后告訴你，這個姑娘很可能不是去做傳統(tǒng)意義上的頭發(fā)。

說到這里，講一個更正經(jīng)的八卦。

熟悉安全行業(yè)的讀者可能知道，幾個月前，奇安信的前世版本“360企業(yè)安全”正式與 360 分家。不久以后，360 就收回了此前給“360 企業(yè)安全”的技術(shù)、品牌、數(shù)據(jù)授權(quán)。

這種情況下，NGSOC 會不會受到影響？

馬江波微微一笑，給雷鋒網(wǎng)列出了“數(shù)據(jù)驅(qū)動 NGSOC ”背后的數(shù)據(jù)源：

“NGSOC 針對的是企業(yè)級用戶，有 4000 萬企業(yè)級終端數(shù)據(jù)，這一部分并未受到分家的影響。

奇安信有自己的網(wǎng)關(guān)，這些網(wǎng)關(guān)設(shè)備可以產(chǎn)生數(shù)據(jù)，會提供警情、URL的數(shù)據(jù)，這對企業(yè)級市場更有價值。

國內(nèi)最大的漏洞平臺“補天”可以提供 35 萬的漏洞信息。

情報除了來自于大數(shù)據(jù)，還有國內(nèi)外的情報廠商?！?/strong>

“我們更在意的是企業(yè)級的終端數(shù)據(jù)?！瘪R江波強調(diào)。

八卦完畢，回到正題，馬江波提到，NGSOC 是重服務(wù)的，以人為核心的安全運營服務(wù)，但是一般企業(yè)哪有那么多經(jīng)驗豐富的高級分析人員？

靠奇安信派駐高級分析人員。

客戶：我們木有厲害的安全運營人員，能不能派高級分析人員駐場？

奇安信：好的，我來了。

100個客戶：我們木有厲害的安全運營人員，能不能派高級分析人員駐場？

奇安信：我。。。。？？？？？

NGSOC 的客戶屬于政企端，客戶將大數(shù)據(jù)嚴嚴實實地揣在懷里，要想通過第三方供應(yīng)商運營分析數(shù)據(jù)，很多客戶猶豫了。但是，總體上高級運營分析人員數(shù)量有限，到底分配給誰？

馬江波原來想的是，在每一個省建立一個一級運營中心，大概配備10人的高級分析團隊，在市級設(shè)立二級駐場分析人員，因為這些政企單位在省和市的內(nèi)部通道可以打通，那么，二級的數(shù)據(jù)可以流向一級，一級的分析能力能流向二級，這樣的模式能從一定程度上打消客戶的顧慮。

這種模式目前還在試行中。

但是，NGSOC 運營服務(wù)的終極思路還是“云端運營”：實現(xiàn)30%－40%的云端運營，客戶有疑問時，派高級分析人員實地“上課”。

面對謹慎的客戶，馬江波還想再勸說一下：“如果甲方慢慢認可這種模式，其實對他們的響應(yīng)效率、能力的提升、成本的降低都有幫助的。真正運營起來需要的是人才，人才不足的情況下，企業(yè)也應(yīng)該解決人才匱乏的問題，為什么我們不做呢？我覺得不光對乙方好，對甲方也好。”

NGSOC 在為這種終極思路鋪路：奇安信在青島和綿陽的安全人才培訓基地招募了很多種子選手，計劃在2019年培養(yǎng)超過1500名安全服務(wù)工程師。“ 現(xiàn)在這些種子選手像學徒一樣進入中心，和高級的人才在一起。如果能夠堅持下來，他們慢慢不就從初級變成中級了嘛”。

在人不夠和急需人的矛盾下，NGSOC 的另一個目標是自動化響應(yīng)。

一個安全分析師每周能審查并響應(yīng)的安全警報撐死能達到 1.2 萬個，一般每周有幾十萬個警報，部分已知的安全告警的分析和響應(yīng)其實可以通過標準化流程進行，SOAR（安全編排、自動化和響應(yīng)平臺）將機器可標準化執(zhí)行的數(shù)據(jù)采集、威脅分析和響應(yīng)行為編排為安全劇本playbook，通過工作流引擎來自動化執(zhí)行，讓機器承擔大量已知告警的分析和響應(yīng)工作，高級安全分析人員則可以專注于新型的攻擊事件。

馬江波說，這事馬上就提上日程，2020 年上半年，NGSOC 計劃推出 SOAR 組件。

除了人和工具，企業(yè)要想真的用好安全運營平臺，日常隨手拎出潛伏的妖魔鬼怪，還要靠自己。

已經(jīng)有人為你們踩過了坑。

第一個坑：永恒之藍來臨時，微軟已經(jīng)提前一個月發(fā)出安全預(yù)警通告，但是，由于資產(chǎn)脆弱性管理和補丁管理制度的缺失，無法有些協(xié)同企業(yè)內(nèi)部的不同部門協(xié)同工作。從而造成大量企業(yè)沒有及時安全補丁，造成百萬級電腦數(shù)據(jù)被加密，無法恢復。有效執(zhí)行安全運營的相關(guān)管理流程太關(guān)鍵了！

第二個坑：安全產(chǎn)品買了一堆，但是缺乏標準協(xié)同標準和接口，NGSOC 無法做到與網(wǎng)關(guān)設(shè)備、終端 EDR等聯(lián)動響應(yīng)，以及與企業(yè)內(nèi)外部資源共享威脅情報、協(xié)同處置安全威脅。

睿智的將軍看清了一切，做好了神勇的決策，但是調(diào)動不了士兵作戰(zhàn)，這是將軍的悲劇，也是大廈傾覆的前兆。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。