由企業(yè)網(wǎng)D1Net、中國企業(yè)數(shù)字化聯(lián)盟和信眾智(CIO智力輸出及社交平臺)共同主辦的2024北京部委央國企及大型企業(yè)CIO大會于1月20日在京圓滿召開。本次大會匯聚了百余位央國企部委及大中型企業(yè)CIO、信息主管以及數(shù)字化一線廠商，以“數(shù)智賦能可持續(xù)發(fā)展”為主題，圍繞數(shù)據(jù)治理、BI、數(shù)據(jù)合規(guī)、數(shù)據(jù)入表、人工智能大模型、分布式云、安全等數(shù)字化技術(shù)應(yīng)用，數(shù)據(jù)戰(zhàn)略規(guī)劃與實(shí)踐、大模型在行業(yè)中的落地實(shí)踐、數(shù)字化轉(zhuǎn)型實(shí)踐等熱門議題展開深入探討。

綠盟科技安全運(yùn)營部技術(shù)總監(jiān)李昀磊在演講首先指出，隨著數(shù)字化的發(fā)展，安全運(yùn)營已成為企業(yè)共識，但許多企業(yè)在安全運(yùn)營自動化方面仍然存在欠缺。隨著業(yè)務(wù)上云，帶來了新的安全風(fēng)險和運(yùn)營手段。李昀磊強(qiáng)調(diào)，企業(yè)在全面云化的時代需要考慮新的安全防護(hù)方法和攻擊者的應(yīng)變策略。

接著，李昀磊詳細(xì)介紹了云上安全運(yùn)營的難點(diǎn)，包括異構(gòu)多云統(tǒng)一管理、云資源安全配置管理、云控制面安全管控等。綠盟科技提出了云上安全運(yùn)營的新手段，如云資源自動識別、EASM監(jiān)測邊界與攻擊路徑自動評估等。李昀磊強(qiáng)調(diào)，安全運(yùn)營從被動到主動的轉(zhuǎn)變，包括從攻擊者視角開展資產(chǎn)持續(xù)識別、威脅持續(xù)評估、修復(fù)閉環(huán)度量等。綠盟科技建議企業(yè)按照持續(xù)威脅暴露管理(CTEM)的理念，通過改善技術(shù)、管理人員和運(yùn)營團(tuán)隊(duì)之間的關(guān)系和流程來減少暴露。

最后，李昀磊深入分析了安全運(yùn)營智能化的必要性，包括安全產(chǎn)品和運(yùn)營的自動化發(fā)展階段，以及AI在安全運(yùn)營中的應(yīng)用。

以下是現(xiàn)場速記。

綠盟科技安全運(yùn)營部技術(shù)總監(jiān) 李昀磊

李昀磊：各位領(lǐng)導(dǎo)、專家大家好，我是來自綠盟科技的李昀磊，主要負(fù)責(zé)幫助大型企業(yè)建立自己的安全運(yùn)營中心。

前面有很多領(lǐng)導(dǎo)提到我們在做數(shù)字化轉(zhuǎn)型過程中，保證網(wǎng)絡(luò)安全是我們的前提。我今天也是就網(wǎng)絡(luò)安全的角度去跟大家討論一下我們對于數(shù)字化轉(zhuǎn)型過程中對安全運(yùn)營影響的一些看法。

首先分享兩個數(shù)據(jù)：左邊的是88.6%的企業(yè)已經(jīng)在建設(shè)自己的安全運(yùn)營中心，一方面是因?yàn)楝F(xiàn)在網(wǎng)絡(luò)安全形勢比較緊迫，有各種各樣新的攻擊的事件的出現(xiàn)，另外一方面國家最近幾年對網(wǎng)絡(luò)安全的重視，每年都會做比較大型的攻防演練。一方面能代表我們對于安全的重視，但同時也暴露了另外一個問題就是大部分的企業(yè)在做自己的安全工作時，里面自動化水平相對比較低。很多時候我們需要短期地做一些突擊性工作，安排很多人員來完成短期防守。這些顯然不是我們期望的在數(shù)字化轉(zhuǎn)型過程中的高能高效的方式，我們也認(rèn)為在我們保障企業(yè)協(xié)助企業(yè)做數(shù)字化轉(zhuǎn)型安全保障過程中，我們也需要完成自己的安全運(yùn)營數(shù)字化的轉(zhuǎn)型。

接下來我會從三個角度去分享我的觀察和思考。

第一.業(yè)務(wù)上云。

云是現(xiàn)在很多企業(yè)用到的基礎(chǔ)設(shè)施，一方面給我們安全方面帶來新的風(fēng)險點(diǎn)，但同時就像它幫助我們企業(yè)降本增效一樣，它也給我們帶來新的手段?，F(xiàn)在我們從每一年的不論是日常的工作還有攻防對抗中都能看到許多的企業(yè)，幾乎我們看到所有的企業(yè)都在不同程度地應(yīng)用各種各樣的云。包括前面有騰訊云的專家介紹到他們在構(gòu)建分布式云，部署在企業(yè)本地。也有一些中小型企業(yè)更多用到公有云的技術(shù)，更多企業(yè)同時使用多種云的技術(shù)。這些在幫助我們完成更高效業(yè)務(wù)發(fā)展的同時也會帶來新的風(fēng)險。

我簡單的總結(jié)了一下我們最近幾年做安全攻防中識別到的云上的典型攻防場景。這個圖稍微復(fù)雜，我介紹兩個比較有代表性的場景。一個是左下角的憑據(jù)泄漏，這個場景是我們在企業(yè)上云的過程中最容易出現(xiàn)的安全的問題，也是每一年在攻防演練中最常出現(xiàn)的問題。它的特點(diǎn)是本身憑據(jù)它其實(shí)是我們云提供的正常的功能，是為了幫助我們企業(yè)更高效地調(diào)動云的資源來完成正常的業(yè)務(wù)場景。但是在產(chǎn)生這些幫助的同時，攻擊者也可以利用這些資源。比如我們可能會有些外部的供應(yīng)商幫助我們做外包的開發(fā)，它可能有自己的測試環(huán)境，或者我們可能有一些企業(yè)的代碼托管在托管平臺上。這些不同的途徑，如果我們有些管理疏忽可能會造成憑據(jù)的泄漏，這個時候攻擊者可能就會識別到這些信息，并且利用這些信息一次性地直接控制我們整個云平臺。這個對于傳統(tǒng)的網(wǎng)絡(luò)是不會產(chǎn)生這么突發(fā)性的影響，但是在我們大規(guī)模的上云之后，不光是我們業(yè)務(wù)的效率上去了，攻擊的效率也非常高的上去了，它可以一次性的獲取整個網(wǎng)絡(luò)的權(quán)限。

相似的還有在上云的同時通常也會構(gòu)建自己的CICD的流水線來幫助我們更高效地完成開發(fā)。這種技術(shù)同時也會被攻擊者利用，比如說他可能會通過釣魚等手段控制開發(fā)機(jī)、或侵入某些線上系統(tǒng)后，在我們的代碼倉庫里投入一些惡意的代碼，接下來就會借助企業(yè)正常開發(fā)流程大規(guī)模部署到生產(chǎn)環(huán)境里，這些都會造成很多的風(fēng)險。反過來看，所有這些云上的攻擊會有一些特點(diǎn)，它通常會很大程度上利用云自身的特性，云屬于相對來說新興的技術(shù)，不光是我們的開發(fā)人員，我們的運(yùn)維人員和安全人員也都需要更長的時間去消化和吸收分析這里邊的風(fēng)險。同時這些云上的攻擊場景不是發(fā)生在數(shù)據(jù)面而是控制面，這樣的話用傳統(tǒng)的安全手段是很難去發(fā)現(xiàn)與攔截的。

與這個相對的除了剛才提到的這些風(fēng)險之外，云也給我們做安全工作帶來很多以前想象不到的便利。這一塊舉一個比較典型的例子，左邊我展示的是安全人員傳統(tǒng)做安全的時候最常見的場景，先要知道我有什么資產(chǎn)然后做掃描和滲透，這也是各位領(lǐng)導(dǎo)最容易感知到的場景。但是這個里面最容易出現(xiàn)的問題是我們的安全人員很多時候不太容易跟業(yè)務(wù)人員去解釋清楚，這個漏洞為什么一定要修?我的業(yè)務(wù)現(xiàn)在正在高速增長，我已經(jīng)沒有那么多精力把資源投入在處理安全漏洞這些問題上了。但是這些問題反過來又確實(shí)會對我們業(yè)務(wù)發(fā)展造成負(fù)面的影響，但是在我們上云之后，這些問題會有一些根本性的變化。比如說我們在云上可以利用云自身的特性來完整地識別到我們云上所有的資源，因?yàn)樗械倪@些云上不管是虛擬主機(jī)還是網(wǎng)絡(luò)，它其實(shí)都是云平臺自己去生成的，我們可以對這個云達(dá)到完全透視的效果，識別到所有資源和業(yè)務(wù)之間的關(guān)聯(lián)關(guān)系，并且借助云上比如可以對一些虛擬磁盤做離線的掃描，在完全不干涉正常業(yè)務(wù)運(yùn)轉(zhuǎn)過程中就完成對整個系統(tǒng)評估，形成業(yè)務(wù)視角的攻擊路徑。這樣產(chǎn)生的好處就是我們安全人員可以更簡單地跟我們的業(yè)務(wù)人員說清楚，這塊漏洞為什么需要修，它是因?yàn)槿绻@個不修，這個是對互聯(lián)網(wǎng)暴露的系統(tǒng)，如果攻擊者利用這個漏洞，下一步會拿到這個系統(tǒng)里100條或者10000條客戶敏感信息，會對業(yè)務(wù)產(chǎn)生重大影響，所以這個漏洞必須修。而不是像以前那樣爭執(zhí)半天說不清楚，這是上云對安全工作產(chǎn)生的正向反饋。

第二.從被動到主動。

在我們企業(yè)完成數(shù)字化轉(zhuǎn)型過程中，它可能對我們安全工作方式產(chǎn)生什么樣的轉(zhuǎn)變?我們總結(jié)成從被動到主動。我展示一個圖，這個圖看起來有許多的框框，大家看起來也不太明白是什么意思，這很正常。因?yàn)槲覀冏约嚎吹揭彩沁@種感覺，這個其實(shí)是我們內(nèi)部最近正在研討的攻擊面治理的方案，上面的綠色、黃色、藍(lán)色的這些小框框都代表著我們作為一個企業(yè)對外暴露的攻擊面是什么樣的。這個攻擊面的概念最近安全企業(yè)可能宣傳也比較多，可以簡單理解為作為一個企業(yè)面向攻擊者它對我們可以產(chǎn)生整個接觸面有哪些?比如可能有對外的網(wǎng)站，有我們自己的公眾號，有我們自己對外溝通的人員，這些都可以成為攻擊面，因?yàn)檫@是攻擊者就著這些點(diǎn)去對我們發(fā)起攻擊并且產(chǎn)生負(fù)面影響的一些平面。

為什么說我們數(shù)字化轉(zhuǎn)型會對我們安全工作產(chǎn)生視角上的變化?因?yàn)閭鹘y(tǒng)安全工作更聚焦于我們內(nèi)部，我們需要先把自己的資產(chǎn)清點(diǎn)出來，識別到上面所有的漏洞、問題，并且去督促我們的IT人員把這些問題一個一個地解決。但是在我們開展數(shù)字化轉(zhuǎn)型的過程中，我們的業(yè)務(wù)在非常高速地發(fā)展，這里不光會出現(xiàn)很多新的技術(shù)，也會非?？斓厝ピ鲩L我們的IT規(guī)模。比如對外暴露的網(wǎng)站，現(xiàn)在還有自己的公眾號、APP、小程序甚至在各種媒體上面的社交平臺有我們自己的賬號，所有這些會讓我們的攻擊面非?？斓?cái)U(kuò)大，這也導(dǎo)致我們用傳統(tǒng)的方式，比如一個一個去修復(fù)漏洞，這種方式已經(jīng)完全不能滿足現(xiàn)在發(fā)展的要求了。

所以我們就需要去轉(zhuǎn)變視角，既然我們不能把所有的問題都解決，當(dāng)然我們就可以朝著提出問題的人去使勁。我們就需要用一種對抗的方式去看，我們在跟誰對抗?大企業(yè)一方面有自己的競爭對手，有外部的勢力。從網(wǎng)絡(luò)攻防角度我們更關(guān)注攻擊者可能會對我采取什么樣的行動?前面提到過攻擊面的概念。廣義上可以認(rèn)為如果攻擊面足夠的小或者攻擊面上的問題足夠的少，我就更難被攻破，這也是我們現(xiàn)在整個網(wǎng)絡(luò)安全行業(yè)在嘗試的新的方法。我們嘗試用攻擊的角度去看我們整個企業(yè)，不光是我們內(nèi)部有什么樣的問題，更多的是我們從外部的攻擊或者內(nèi)部的惡意行為角度去看，我們整個暴露在互聯(lián)網(wǎng)或者外面的信息是什么，比如我們有什么樣的供應(yīng)鏈的信息，我有哪些雖然不在我自己的管轄范圍之內(nèi)，但是可能包含我的敏感數(shù)據(jù)的系統(tǒng)，可能在我的合作伙伴那塊。這些都可能會成為攻擊者對我們實(shí)施攻擊的觸點(diǎn)。

因?yàn)閺墓艚嵌热タ?，所以某些傳統(tǒng)安全問題反倒沒有那么重要。比如我們內(nèi)部系統(tǒng)的漏洞可能并沒有我們泄漏在外部的信息重要，因?yàn)樗苤苯赢a(chǎn)生的后果并沒有目前那么嚴(yán)重。反過來我們就可以把這些安全工作控制在比較合理的量的范圍之內(nèi)，讓我們更好完成數(shù)字化轉(zhuǎn)型、高速發(fā)展的同時，掃清前路的障礙。這也是我們最近幾年在各種大型攻防演練里已經(jīng)驗(yàn)證的方法。

第三.安全運(yùn)營數(shù)智化。

前面有很多領(lǐng)導(dǎo)提到了數(shù)智化的概念，安全行業(yè)也很早就開始應(yīng)用人工智能的技術(shù)。去年也爆發(fā)了大語言模型比較新的AI技術(shù)，這一塊我們在安全運(yùn)營中也有了新的應(yīng)用。我們前面提到過像安全里面有比較常見重要的工作就是資產(chǎn)，識別到有什么問題一個一個進(jìn)行整改，這一塊占了安全運(yùn)維人員50%的日常工作量，另外一塊最大的投入工作就是在告警監(jiān)測這一部分?，F(xiàn)在每一天都會有新的漏洞爆發(fā)，也都會有新的攻擊手法出現(xiàn)。在這個過程中，我們在不斷地增加我們自己的檢測的技術(shù)，讓我們能發(fā)現(xiàn)更多的攻擊，以便于在產(chǎn)生不好影響之前我們及時地把它處理掉，但是這也導(dǎo)致我們處理的數(shù)據(jù)量在爆炸式的增長。我相信很多的企業(yè)很早就開始做網(wǎng)絡(luò)安全態(tài)勢感知項(xiàng)目，都是在致力于解決內(nèi)部在安全數(shù)據(jù)爆炸情況下怎么更高效地發(fā)現(xiàn)安全事件，采取防御動作，這也能取得很多的效果。

但是現(xiàn)在在IT資產(chǎn)發(fā)展高速的狀態(tài)下，仍然很難滿足強(qiáng)對抗的需求。就像剛才提到的，我們每一年在開展大型攻防演練，都需要臨時增派大量人手，這些人手最常見的工作就是去看所有安全的告警、信息，發(fā)現(xiàn)在所有的這些網(wǎng)絡(luò)流量或者終端的行為上有沒有一些攻擊，有沒有一些可能會產(chǎn)生不好影響的地方?這些也是我們在整個安全運(yùn)營工作里邊最制約我們效率的地方。

綠盟也是在安全里面投入AI研究比較早的，我們大概2020年時發(fā)布了一篇AI應(yīng)用的報(bào)告，這一塊我們參考自動駕駛的分級，我們給安全營里自動化等級做了分級，從L0到L5。就像前面有專家提到比如在電力或者水利行業(yè)會有一些自己的專屬模型，在信息安全領(lǐng)域也是一樣的，比如在攻擊識別或者加解密方面會有小模型，里面會用到知識圖譜或者深入學(xué)習(xí)的技術(shù)。它更多的是在對我們?nèi)藛T做一些補(bǔ)充，比如傳統(tǒng)方式可能不太容易去發(fā)現(xiàn)的一些加密的攻擊或者比較隱蔽的行為可以用這種方式去發(fā)現(xiàn)，但是更多它其實(shí)起到補(bǔ)充作用而不是在幫助我們?nèi)ヌ岣咝?，反倒會增加我們工作量?/p>

從L3、L4或者更高級別更多就需要用到最近這么一年多出現(xiàn)大模型的技術(shù)，我們也確實(shí)在一些包括我們自己還有一些客戶運(yùn)營中心里實(shí)現(xiàn)過，確實(shí)能解決很多問題，它能真正達(dá)到自動駕駛L3的水平，讓我們的手離開方向盤，而不是需要一直保持對數(shù)據(jù)的關(guān)注。這個也是我們綠盟在去年發(fā)布了我們自己的網(wǎng)絡(luò)安全的大模型，目前我們正在我們自己內(nèi)部做測試驗(yàn)證，我們自己的運(yùn)營中心在同時服務(wù)全國大概200多家的企業(yè)，遠(yuǎn)程地對客戶提供高效7×24小時安全運(yùn)營服務(wù)。

前面提到的不管是大模型還是小模型投入了之后確實(shí)在這一部分有比較好的效果，原來我們需要比較多的人員持續(xù)不斷地去關(guān)注安全的告警，主要靠堆人，目前我們可以靠大模型來自動地幫我們發(fā)現(xiàn)這個告警產(chǎn)生了之后，它所有的這些上下文是什么樣的，它可以關(guān)聯(lián)到比如整個行為前面、后面發(fā)生了什么動作，它發(fā)生的資產(chǎn)是什么樣的業(yè)務(wù)系統(tǒng)，這個業(yè)務(wù)系統(tǒng)有什么樣的特點(diǎn)?所有這些信息關(guān)聯(lián)起來最終形成一個結(jié)論，這樣的行為對于我們來說是不是一個攻擊?如果是一個攻擊，接下來我們應(yīng)該對它采取什么樣的措施?這個是我們在一些傳統(tǒng)的AI模型里面不太擅長的領(lǐng)域，但是我們從去年開始應(yīng)用的大語言模型的技術(shù)恰恰就適合做大量數(shù)據(jù)的解釋以及意圖的理解這樣的一些方法，這個也是我們目前認(rèn)為在未來可能成為更多的安全應(yīng)用中心基礎(chǔ)設(shè)施的能力，我們也正在努力把這種在云端已經(jīng)實(shí)踐完善的人工智能的能力下放到更多的安全運(yùn)營平臺里面，提供給我們更多企業(yè)的客戶。

綠盟科技在安全數(shù)字化或者智能化方面布局比較早的安全企業(yè)，我們成立于2000年，我們在2009年就發(fā)布了自己的第一款運(yùn)用機(jī)器學(xué)習(xí)技術(shù)的網(wǎng)絡(luò)安全的產(chǎn)品，在去年人工智能爆發(fā)之后，我們也發(fā)布了自己的大模型的產(chǎn)品并且目前正在一些行業(yè)和我們自己的內(nèi)部做一些試點(diǎn)應(yīng)用，已經(jīng)取得了比較好的效果。

我今天的分享就是這些，期望我們在未來也能幫助更多國內(nèi)的企業(yè)在完成自己的數(shù)字化轉(zhuǎn)型的過程中提供更多的有效的安全的保障。