AISecOps智能安全运营技术执行摘要

执行摘要

随着全球数字经济的蓬勃发展，网络安全与物联网、工业互联网
、云计算、5G 等多种场景和技术 进行融合，全面、深刻地改变了传统物理安全、生物安全、公共安全、国家安全等多层次的安全体系面 貌。网络空间攻击面不断扩大，恶意攻击者规模化、组织化、军事化，攻击技术的自动化、智能化、武 器化，在多种因素的作用下，在网络边界堆砌防护设备以期拒敌千里之外的思路已经失效。
面对日趋白热化、持续化的网络攻防对抗环境，安全运营
（Security Operations，SecOps）面向人、 技术、流程的集成与融合，升安全防御资源的全局性、协同性，已成为安全能力落地，发挥防御体系 有效性，对抗高级威胁的最直接、最关键环节。
可以预见，随着安全大数据的采集与智能分析技术的成熟，基于人工智能的安全运营技术方案 （AISecOps）将大幅升威胁检测、风险评估、自动化响应等关键运营环节的处理效率，大幅减少对 专家经验的过度依赖，有效降低企业、组织乃至国家级关键信息基础设施
、数据资产的整体安全风险。 与此同时，智能安全运营技术能力的发展仍然在起步加速阶段，在体系架构、评估方法、数据融合、技 术方向等多个层面，缺乏系统性的归纳与梳理。借此契机，绿盟科技推出《AISecOps 智能安全运营技 术白皮书》，旨在对 AISecOps 智能安全运营技术的关键概念、成熟度、架构、技术等维度进行一个全 面的总结与介绍，期望为读者带来全新的技术思考，促进 AISecOps 技术生态的构建，助力网络安全运 营产业的技术升级。

🅙 当前 AISecOps 技术发展尚处于快速演进阶段，多项子技术的成熟度
亟需升级

通过构建 AISecOps 技术框架，并形成技术成熟度矩阵，可以看到 AISecOps 多个阶段的关键技术
能力远未成熟，技术研究任重而道远。
🅙 唯有可运营技术才能有效支持网络安全运营

数据智能驱动方法需要升在安全语义配、攻击意图理解、决策依据透明、深度人机互动等多方 面的可运营属性，以提升机器智能与运营专家的数据、知识融合水平。

🅙 构建 AISecOps 技术“内功心法”图谱，对抗威胁的组织化、规模化、武器化

单点的、孤立的安全智能应用已经难以满足安全运营的系统化需求，通过构建细粒度的、场景化的、 适当抽象的运营技术能力中台，支撑安全运营全生命周期智能化发展。

🅙 可信任安全智能是智能安全运营技术的未来

唯有高预测性能、透明可解释、安全鲁棒、合法合规的可信任安全智能，才能支撑网络安全运营中 的关键决策输出，有效提升运营的自动化水平。

🅙 促进 AISecOps 技术生态建设，共建网络安全纵深防线

AISecOps 技术尚在起步发展阶段，需要技术生态的构建，促进相关标准的制定、数据与技术的共享、 人才的培养，营造网络安全运营智能化大时代技术氛围。

安全运营发展背景与趋势

回顾安全产业的发展历程，在从计算机安全，到信息安全，到网络空间安全，再到数字安全，安全 产业概念演进的背后，是网络信息化引领时代技术发展的核心趋势。然而，随着网络空间攻击面不断扩 大，恶意攻击者持续规模化、组织化，攻击技术的自动化、智能化、武器化，多种因素的作用下，使得 传统“高筑墙，广积粮”⸺ 在网络边界堆砌防护设备的被动防御思路逐渐失效。面对日趋白热化、持 续化的网络攻防对抗环境，安全防御的思路开始不再局限在安全边界，逐渐形成更为成熟、更为完备的 滑动标尺防护视角。边界防御的左移，是系统化的安全内生机制；右移是情报智能驱动的主动防御。零 信任、威胁诱捕、威胁狩猎、安全开发、安全运营等支撑安全内生、主动防御的思路成为安全业界的共识。

安全视角的扩展，给网络空间安全防御方供了完整的战略架构设计，然而，回到安全攸关的攻防 战场，技术的演进更直接关系到战略实施的有效性。从技术演进的角度，攻防能力的较量已经逐渐演变 为攻防参与者的军备竞赛。资源的投入决定了攻防双方的能力上限，然而防御之力有限，攻击之面无界， 攻防信息的严重不对称性，决定了安全防守方处于被动的局势之中。如何在有限的信息、资源下，充分 覆盖安全滑动标尺的能力范畴，有效降低企业、组织乃至国家的系统性安全风险，打赢网络空间的渗透 战、攻坚战，已成为全面数字时代网络安全的最关键目标。

安全风险的感知、监控、预警、处置、评估等需要系统性、持续性的运营机制来保证，正是这个驱动力， 使得安全运营成为整个安全防御生命周期至关重要的组成和技术发展的热点。安全运营能力的成熟度， 也已成为决定整个安全基础架构、安全防御机制、安全防护设备、安全研究技术能否有效发挥作用的最关键因素之一。近年来，安全运营中心、可管理的安全运营服务、威胁情报运营等运营技术设施驱动了 新一轮的安全产业发展。于此同时，安全运营技术，包括威胁识别与检测、事件预警、事件溯源、自动 化响应等等，也是安全研究领域的热点，围绕安全运营的流程构建、技术实现、人为因素等多方面的研 讨活动层出不穷。正如近现代战争的成败很大程度上决定于现有战略资源的调度能力，安全运营能力， 实际上是技术、人、流程等多环节安全能力的综合体现，是协调、调度、整合安全资源实现网络空间防 御的关键环节。无论是安全左移追求安全机制内生，还是安全右移促进主动安全防御，安全运营愈发成 为安全能力内外兼修的必由之路。

安全运营（Security Operations, SecOps）的关键在于，通过流程覆盖、技术保障及服务化，为企 业、组织等实体供脆弱性识别与管理、威胁事件检测与响应等安全能力，以充分管控安全风险 [1]。安 全运营中的概念核心就是管理风险，而风险的度量是动态的、持续的、相对的。 在不同的网络环境下、 在不同的攻防场景下、在不同的资源配比下、在不同的风险偏好认知下，风险具有不同的表现形式。风险难以消灭，在有限的资源投入下，企业或组织能够对安全风险可识、可管、可控，则表明其具有弹性 的（Resilience）、健壮的（Robustness）安全能力。

正是由于安全运营风险驱动的特性，对风险的认知的演进，决定了安全运营认知的方向。整体来看， 安全运营技术和产业经历了单点攻防、边界防御、安全运营中心的发展历程，并最终向运营智能化的方 向持续演进。

🅙 单点攻防 伴随着互联网时代的到来，针对个人电脑的恶意软件率先爆发。网络世界的威胁趋势

逐渐呈现在大众面前。此时恶意软件正是最大的安全风险，大量的攻防专家开始投入到反病毒 软件的研制当中。安全运营的概念还未成型，专家即服务是典型的安全能力交付方式。

🅙 边界防御 利益驱动之下，攻击与威胁逐渐组织化、产业化；于此同时，大规模互联网服务与 IT

系统软件的迅速演进，软件漏洞引发的安全脆弱性问题浮出水面。为此，抗 DDoS 攻击、入侵 检测系统、远程漏洞扫描系统应运而生，快速构建起网络防御边界。并随着攻防研究的深入， 威胁场景的快速迭代，此时的安全运营从萌芽到成长，渗透测试、风险评估团队的配套逐渐成型， 设备和维护即服务成为主流。

🅙 安全运营中心 高级持续性威胁（Advanced Persistent Threat，APT）和相关事件的出现，给边

界化防御的思路带来巨大的冲击；于此同时，多层次的安全政策、规范形成合规性要求。多个 因素的汇集形成整个网络空间认识的颠覆性变化。常态化、协同化、纵深化和智能化的防御思路成为业界共识。此时，安全运营理念和架构逐渐成型，安全运营中心（Security Operations Center，SOC）遍地开花，以中心化的方式管理威胁、脆弱性、资产等风险相关的流程和数据， 并辅以行为分析、蜜网诱捕、威胁狩猎、情报融合等高级安全技术，升安全运营的效率。运 营即服务，正成为当前网络空间防护的关键趋势。持续自应风险与信任评估（ Continuous Adaptive Risk and Trust Assessment，CARTA）架构与理念，也正是在这个背景下得以普及。

🅙 运营智能化 安全运营团队，是支撑安全运营中心化运作的核心。安全运营的萌芽、发展与成熟，

映射出的是背后人与人对抗的认知与技术升级。然而，随着网络空间对抗关联流程链路的增长、 数据规模爆炸、技术复杂度升，人力资源与风险管控的目标要求之间，逐渐形成巨大的需求 剪刀差。这种数字化时代的关键特征，倒逼网络安全运营突破依赖安全专家的传统“人工”阶段。 提升安全运营技术与流程的自动化、智能化水平，已成为网络安全风险治理与防控的必备条件。 智能赋能运营，是数字化时代运营即服务的基础保障。

安全运营智能化趋势已成为必然。流量分析、行为分析、样本分析、威胁关联、自动化响应等技术 越来越多地采用了机器学习算法、图算法、强化学习算法，尽管如此，现阶段安全智能的发展水平，仍 难以满足安全运营对威胁发现实时性与准确性、事件自动化溯源、风险决策自动化等多方面的要求。距 可用、成熟的智能安全运营服务，我们还有很长的路要走。

参考资料

绿盟 AISecOps智能安全运营技术白皮书 2020

友情链接

CSA CAST认证手册