近年来，随着网络安全边界和风险的逐渐扩大，攻防对抗形势也愈发激烈，勒索软件、数据泄露、网络攻击的成本在不断降低，且攻击技术和手段变得更加先进。关键信息基础设施面临的网络安全形势日趋严峻。

在此背景下，建设常态化、体系化、高效化、实战化的网络安全运营体系成为企业网络安全建设之路上绕不开的话题。安全运营也被认为是打通企业安全建设“最后一公里”的关键一环。

但实现安全运营非一日之功，安全运营体系化建设应该如何落地？安全运营要达到的核心目标是什么？针对这一系列话题，日前，安全419邀请到聚铭网络创始人唐开达，围绕安全运营的演进和未来发展趋势分享自身的行业见解。

安全运营是对“安全管理”的升级 其核心是建立制度、组织、人员和技术的有机生态

在此前的采访中安全419了解到，聚铭网络的创始团队在早期参与过铁道部、中国移动、国家电网、南方电网等头部企业的网络和信息安全管理规划与平台建设、运维工作，团队研发了我国最早期的安全运营中心（SOC）、日志审计、4A（身份管理）等产品。自聚铭成立以来已服务教育、医疗、政府、电信、能源、金融等行业超10000家政企客户，云端托管客户超6500家。公司在北京、南京建立了双总部中心，同时在河北、山东、湖南等地设有分支机构，业务覆盖全国31个省市及香港地区。目前已获得共青城锐星、腾讯、毅达资本等机构的投资。

唐开达介绍，2000年左右安全行业的发展仍处于萌芽期，随着计算机病毒和恶意软件的爆发，木马、蠕虫等成为了信息安全行业面临的主要威胁，包括防火墙、防病毒、漏洞扫描与IDS等网络安全设备在这一时期相继诞生，在企业安全建设的过程中发挥了重要作用。

但很快，一些头部企业用户逐渐发现，采购了大量的安全设备后管理开始成为了一个新的问题。如何制定出规范化的设备维护方案，建立有效的安全管理规范和流程？是否能够将不同安全设备产生的数据汇总，从大量的日志中初步分析出安全事件？是否能够通过一个安全管理的平台来统筹各个安全设备协同作战？

当企业用户们苦恼于这一系列问题时，一个能够把分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心产品顺势而生。

据唐开达回忆，聚铭网络创始团队实际上是SOC这一产品的首创者和命名者。那时，唐开达带领团队刚刚为江苏移动客户建设完成了“安全管理平台”第一期项目，正苦思如何为这一平台型产品命名时，唐开达团队灵机一动:“当时江苏移动本身有一个做网络运营管理的平台叫做NOC（Network Operations Center），索性我们就把这个平台命名为SOC（(Security Operation Center）。自那之后，这一名词在安全行业中也越来越多的得到了应用。”

他表示，早期的SOC平台更侧重于统筹管理和安全运维，重点是帮助企业用户将多种安全设备和企业的安全人员、安全专家统筹起来，建设好安全运营管控的流程与规范，通过一个统一的平台提升安全处置的效率，在安全事件发生后的第一时间组织技术人员进行处置。

当时的SOC安全运营平台主要具备四大能力：第一是‍‍运营承载能力，将所有安全运营的动作都集中到平台中进行开展；第二是数据集中收集、‍‍集中呈现能力，把原有的‍‍分散在各个地方的设备统一的管理起来；第三是集中可视化能力，将企业整体的安全态势汇聚到一个统一管理的平台中进行展示；第四是集中应急响应能力，在企业发生‍‍紧急安全事故、安全事件时，快速的协调安全专家来处置分析。

但随着互联网技术的进一步发展，企业安全防御的对象逐渐从具有破坏性的僵尸、木马、蠕虫开始向团伙性犯罪和有针对性的攻击过渡，因此企业用户们开始意识到，即使部署了防御性的安全技术，网络入侵也不可避免会发生。因此，安全防护的重心应该向常态化运营转移。

这一转变也对SOC安全运营中心提出了新的要求，如何通过自动化、智能化的方式实现常态化的高效安全运营，逐步减少人力在安全运营方面的投入成为了新的关注点。

唐开达认为，安全运营可以视为对安全管理的升级，随着近几年安全建设投入的可见增长，企业自身的安全设备建设、安全基础设施建设、安全人员建设等愈发成熟。‍‍但整体安全水准显然并没有达到大家的预期，勒索软件攻击、数据泄露事件仍然时有发生。这说明，单单的去谈‍‍基础设施建设、安全设备建设，脱离了常态化的安全运营，注定无法‍全面的为企事业单位提供安全保障，只有通过长效的运营，建立起安全制度、安全设备和安全人员的有机生态，才能够实现用户所追求的安全目标。

“之所以安全行业越来越多的讨论安全运营，也是更多的希望把过去做安全基础设施建设的经验、专业人才的经验进行有机的结合，帮助企业真正的去解决安全问题，而不仅仅单纯驱动用户去买一台又一台的安全设备。”目前聚铭网络已为超10000家政企提供安全产品和服务，在安全建设和运营服务方面积累了大量经验，这也是聚铭网络的核心优势之一。

为企业量体裁衣打造安全运营平台 让安全能力在平台中持续生长

在聚铭网络的定义中，安全运营本身并不是一个平台或是一种技术手段，它是一个有机体系。不同的企业资产属性不一样，业务环境不一样，遭受的安全问题也不一样，在这个体系中，要为企业网络安全望闻问切，找到适合每个企业的安全运营机制。同时要保证安全运营体系所具备的安全能力是持续生长的，内外部的安全威胁始终是动态变化的，安全监管要求是日益严苛的，如何保证企业在安全运营过程中有效应对各类安全需求是体系的核心诉求。

唐开达认为，对于‍‍企事业单位来讲，开展安全运营分为四个阶段：

首先是要根据自身情况来制定安全运营管理的流程制度和规范；其次是在这个制度基础之上去构建组织团队，配套安全人员去开展各项安全工作；第三是在制度、组织团队都建设完善后，去审视安全运营体系中的每一个能力单元，过去配置的安全设备是否能够符合整个安全运营体系和组织的要求，对一些效能不足的设备进行补充；最后通过安全运营平台把组织团队、制度流程和设备能力统筹起来，以多维度数据为核心，持续运营方式为手段，针对每个企业自身的安全体系建设运维情况，不断规划、执行、分析、优化，寻找到最适合企业当前的安全体系发展和安全管理路线。

在Gartner发布的2022安全运营技术成熟度曲线（Hype Cycle）中，SOAR、XDR、MDR、BAS、SIEM等技术备受关注。根据我们的观察，当前业内多家安全厂商都分别从SOAR、XDR、BAS等角度切入安全运营市场，来帮助企业实现安全运营目标。

相较于业内众多安全厂商，聚铭网络希望安全运营平台的各项能力是持续生长而不是变化的。生长主要体现在如下几个方面：

1.异构融合，能够兼容更多类型的安全数据，能够对接更多的网络设备及安全设备，提升安全分析深度和联防联控效果；

2.智能降噪，面对海量的数据及安全告警，能够通过自优化降噪模型筛选出高价值安全事件，提高用户的安全运维效率；

3.自动研判处置，能够通过AI技术，自动识别安全事件并通过智能编排及时响应处置，提升识别精准度和处置效率，降低安全风险带来的损失；

4.云端赋能，能够与云端安全中心实时保持安全能力同步，如威胁情报数据、恶意特征库、算法模型、运营策略、热点安全事件等，同时支持专家在线研判决策支撑，有效应对未知威胁；

5.安全效能，对安全设备运行状态、安全工作流程效率做评估分析，形成安全管理工作的一把尺，对安全工作进行专业指导。

拿当前安全运营领域最为甲方困扰的告警噪音问题举例来看，由于企业采购了大量的安全设备，这些安全设备无时无刻不再产生大量告警，处理海量的告警信息，已经成为了 一线安全运维人员日常工作中的最大挑战。

针对用户这一痛点，聚铭网络在平台中会单独提供自动化编排响应设备来持续降噪，自动化的判断‍‍各类安全设备产生的告警的真实性。同时依托于本地运维人员和云上安全专家的知识经验，平台会持续更新编排响应剧本，不断提升研判模型的精准性，通过对本地运维人员操作数据的学习，平台最终会成长为一个贴合用户业务属性的个性化安全运营平台，帮助用户实现自动化的安全事件响应与处置。

自动化注定是安全运营的终章 但AI驱动安全仍需更多数据与时间的积累

近期我们关注到，ChatGPT在网络安全行业中引发了大量的讨论，作为一个强人工智能，它为自动化网络安全带来了新的机遇。采访最后，我们也围绕安全运营未来发展方向的话题，请唐开达分享了自己的看法。

在他看来，ChatGPT 的兴起显然能够为企业实施自动化防护策略提供有力支撑，大大减轻安全人员的工作量和工作强度。但必须看到的是，人工智能的发展需要大量的数据进行训练和推导，但相对于其他领域而言，安全相关的数据明显更为复杂，包括黑客攻击常用的技术手段、安全专家处置的经验等等都需要一定时间的积累。

仅就当前而言，业内尚未出现这样一家安全厂商能够真正拿出足够多的安全数据与人工智能相结合，来实现AI对安全的赋能。因此，在未来几年，随着人工智能的进一步发展，以及企业用户在安全投入方面的持续增长，安全数据必将增长至一个足够大的量级，最终推动整个安全运营的发展，让安全运营真正实现自动化、智能化。唐开达认为，这是安全运营领域未来3~5年的一个重要‍‍发展趋势，谁能够真正抓住安全行业的核心数据，就有可能‍‍催生出一个全新的格局。

‍‍#网络安全##安全运营#