青藤：省心又省錢！安全運營服務正在成為甲方企業的主流選擇

隨著行動網路、雲計算和物聯網（IoT）等技術的發展，網路攻擊變得越來越複雜。面對持續、立體、全天候的安全攻擊，企業很難透過單一的安全產品或技術實現自動化的全方位防護。因此，很多企業面臨的安全現狀是：只要駭客想攻擊，幾乎沒有企業能夠抵擋得住。

2020年移動網際網路惡意程式數量佔比按行為屬性統計（來源：CNCERT/CC）

究其原因，無非是裝置不足或人手不夠，買了一堆安全裝置回來卻沒人會用，更談不上對高階威脅的響應了。那麼，甲方企業怎麼才能有效解決這些問題呢？很多企業都選擇了一種既省錢又省心的辦法——請外援！直接把安全運營工作外包交給專業的安全廠商，不但解決了安全人員不足的問題，還省去了大量安全部署的時間和資本投入。

一、安全運營的 10 項關鍵服務

為了全天候監控、檢測、調查和響應網路威脅，實現全方位的安全保護，安全運營團隊通常需要以下10項關鍵服務：

1. 盤點可用資源

安全運營負責兩種型別的資產——需要保護的各種裝置、流程和應用程式，以及可以使用的各種防禦工具。

保護什麼

安全運營的第一步目標是全面瞭解企業的威脅狀況，不僅包括各種型別的端點、伺服器和內部軟體，還包括第三方服務和這些資產之間的流量。

如何保護

此外，安全運營團隊還應全面瞭解手頭的所有網路安全工具及其工作流程，以確保運營的敏捷性和高效率。

2. 準備和預防性維護

即使是裝備最完善、最敏捷的響應流程也無法從一開始就阻止問題的發生。為了阻止攻擊，安全運營團隊需要實施預防措施。

準備

團隊成員應隨時瞭解最新的安全創新、網路犯罪的最新趨勢以及即將出現的新威脅。這可以幫助公司制定安全路線圖，為網路安全工作提供方向，在最壞的情況下，也可以作為現成的指導災難恢復計劃。

預防性維護

此步驟包括為增加攻擊難度而採取的所有措施，比如定期維護和更新現有系統、修補漏洞，以及白名單、黑名單和保護應用程式等。

3. 持續主動監控

24h*7全天監控與掃描，標記任何異常或可疑活動。全天候監控網路可以讓團隊立即收到新出現威脅的通知，從而抓住預防或減輕危害的最佳時機。

4. 警報優先順序排名和管理

當發出警報時，運營團隊要仔細檢視，識別誤報，並確定威脅的攻擊性以及它們可能的目標。這樣，安全運營團隊就可以對新出現的威脅進行分類，首先處理最緊迫的問題。

5. 威脅響應

事件一經確認，運營團隊就充當第一響應者，執行諸如關閉或隔離端點、終止有害程序、刪除檔案等操作，目標是在最小的範圍內做出響應，同時儘量不影響業務的連續性。

6. 恢復和補救

事件發生後，努力恢復系統和丟失或受損的資料，包括擦除和重新啟動端點、重新配置系統，或部署可行的備份以規避勒索軟體等，將網路或裝置恢復到事件發生之前的狀態。

7. 日誌管理

收集、維護和定期審查整個組織的所有網路連線、程序啟動、Shell命令執行、DNS訪問、登入行為、賬號變更等日誌。這些資料有助於定義“正常”網路活動的基線，以揭示威脅的存在，並可用於事件發生後的補救和取證。

8. 溯源調查

事件發生後，確定發生的時間、方式和原因，這有助於防止將來發生類似的問題。

9. 安全細化與提升

為了領先於網路犯罪分子的工具和策略，運營團隊需要透過各種方式不斷改進技術，包括安全路線圖中概述計劃的實施，以及紅隊和紫隊等動手實踐。

10. 合規管理

定期稽核系統，以確保其遵守CIS、等保2。0、資料安全法等相關法律法規。按照這些規定行事不僅有助於保護公司的敏感資料，還可以保護組織免受因違規造成的聲譽損害和法律挑戰。

二、安全運營的價值與選擇

無論企業組織是希望提高安全計劃的成熟度，還是擴充套件其安全能力，安全運營服務都是一個有價值的選擇。

安全運營服務的價值

安全運營服務能夠提供安全專業知識和額外的人員配備，保證快速響應風險，將安全風險和業務影響降至最低，確保企業安全人員始終了解安全問題、審計和維護的狀態，使企業人員能夠專注於業務管理而不是安全任務。

如今，安全運營廠商提供了廣泛的安全服務，例如威脅監控、資料保護、網路安全工具管理、合規及事件響應和取證等。透過外包，企業能夠透過減少安全部門的人員配備來實現成本節約，還能縮短裝置部署和安全投資回報的時間。

除了日常安全運營工作以外，部分安全運營服務廠商還可以進行漏洞和滲透測試，定期執行安全掃描，併為企業處理其他安全管理事件。

如何選擇安全運營服務商

當今市場上有各種各樣的安全運營服務和廠商，因此，明確企業的需求並聘請最佳廠商來滿足這些需求非常重要。在評估廠商之前，安全團隊應該仔細規劃哪些功能需要外包，然後與業務部門領導和管理層商議，以確定合作的預算和流程。確定企業需求以後，要對特定選擇範圍內的廠商進行深入考察，列出一份簡短的備選供應商名單。最後與這些供應商一一會面，逐個考察其服務內容與企業需求的匹配度，並做出最終選擇。

三、主機安全運營實踐

針對安全人員不足，無法對內部的資產、風險進行精細化管理的客戶，青藤推出主機自適應安全運營平臺，以資產運營為核心，持續關注客戶資產變化、資產風險變化、資產入侵事件的閉環管理，透過降低內部環境的風險，提升客戶網路內基礎架構的安全性。

青藤安全運營團隊由具有多年滲透測試、紅藍攻防研究、重保服務等經驗的專業安全人員組成，不僅形成了完整、高效的安全運營體系，幫助使用者基於主機安全管控，實現對被監控網路內資產、風險狀況的全面掌控，確保對任何時間、任何節點發生的任何異常狀況都能第一時間作出快速響應，還能為企業提供額外的託管式威脅檢測、日常檢查評估（滲透測試）等增值服務。

為了應對客戶專業安全人才短缺、內部資產、風險不清的困惑，青藤主機安全運營平臺聚焦於攻防對抗與深度威脅檢測分析兩個維度，提供了以下服務：

青藤主機安全6大核心服務

1. 資產管理運營服務：

協助客戶釐清資產，做到知彼先知己，並透過資產分類和量化管理，逐步實現客戶內網資產的精細化管理。

資產臺帳梳理

識別未知資產

未知資產處置跟蹤

2. 風險管理運營服務：

透過風險管理，持續發現內網軟硬體資產存在的漏洞、弱口令、不安全配置等風險問題，並形成風險管理報告。

風險管理與跟蹤

新增風險

風險關閉計劃與執行

3. 配置管理運營服務：

對關鍵安全系統，定期巡檢並檢視配置資訊，並依據裝置廠商指導手冊，升級配置資訊，包括系統的韌體版本、軟體版本、特徵庫、License等。

主機安全系統規則最佳化、更新升級

第三方裝置執行巡檢與更新升級

4. 入侵事件運營管理：

對主機安全系統產生的告警實施監控，並根據對使用者所有網路活動和通訊日誌進行溯源分析，跟蹤處置執行情況，直到事件關閉。

5. 日常評估服務：

配合使用者定期開展全面評估網路、主機、應用、資料庫、中介軟體、安全管理及安全合規等方面存在的安全風險，識別資產安全漏洞，檢查現有安全措施的有效性，對風險程度做出準確評價並提供整改建議，並給出安全評估報告。

6. 風險處置閉環服務：

透過前期的資產盤點、風險評估、風險管理等常規操作，檢查並發現風險問題，給出補救建議，或協助客戶緩解、關閉這些風險，實現風險的閉環管理，從而降低內網風險。

青藤主機安全運營服務與傳統安全運營服務相比，結合產品+服務的核心理念，以產品為抓手，以資產為核心，7*24h持續關注風險、入侵事件的閉環管理。降低內部環境的攻擊面，透過一站式服務，解決客戶內部資源不足等問題，並提供豐富的報告，幫助使用者實現全面、持續、高效率的自適應安全運營。