數(shù)字安全免疫力建設(shè)指南

數(shù)字安全免疫力建設(shè)指南工業(yè)和信息化部新聞宣傳中心指導(dǎo)騰訊云、騰訊安全編制當(dāng)前，網(wǎng)絡(luò)與安全密不可分，共同構(gòu)成了國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)設(shè)施，也成為企業(yè)創(chuàng)新與發(fā)展的基石。習(xí)近平總書記在網(wǎng)絡(luò)強(qiáng)國(guó)重要思想中指出，“網(wǎng)絡(luò)安全和信息化事關(guān)國(guó)家長(zhǎng)治久安，事關(guān)經(jīng)濟(jì)社會(huì)發(fā)展和人民群眾福祉?！币虼耍v訊安全聯(lián)合IDC提出“數(shù)字安全免疫力”新框架，希望以企業(yè)客戶真實(shí)場(chǎng)景、真實(shí)痛點(diǎn)、真實(shí)需求為研究對(duì)象，為企業(yè)創(chuàng)建一套以數(shù)據(jù)與業(yè)務(wù)為中心，統(tǒng)籌發(fā)展與安全的方法論、工具集。為了更好地指導(dǎo)企業(yè)數(shù)字化時(shí)代安全建設(shè)，在工業(yè)和信息化部新聞宣傳中心的發(fā)起、指導(dǎo)下，我們啟動(dòng)了《數(shù)字安全免疫力建設(shè)指南》的編創(chuàng)。三十余位行業(yè)自身專家、學(xué)者、企業(yè)家組成編委會(huì)，通過數(shù)十輪的研討與共識(shí)，最終形成包含“產(chǎn)業(yè)安全發(fā)展趨勢(shì)、宏觀環(huán)境解讀、數(shù)字安全建設(shè)核心、安全度量體系、建設(shè)工具”等部分在內(nèi)的產(chǎn)業(yè)安全在持續(xù)完善“數(shù)字安全免疫力”框架的同時(shí)，該指南更關(guān)注企業(yè)實(shí)踐。我們根據(jù)六大板塊對(duì)應(yīng)的具體場(chǎng)景為企業(yè)推薦對(duì)應(yīng)的建設(shè)意見與工具建議，也將該指南與行業(yè)中優(yōu)秀的實(shí)踐結(jié)合，相互對(duì)照，希望為處于數(shù)字化轉(zhuǎn)型期的企業(yè)提供實(shí)戰(zhàn)指引。數(shù)字安全免疫力范式的打磨并非一蹴而就，而是要不斷吸取行業(yè)共識(shí)和各界的建議持續(xù)迭代。未來我們將面向企業(yè)數(shù)字化建設(shè)典型場(chǎng)景、數(shù)字化集群發(fā)展的典型區(qū)域和網(wǎng)絡(luò)安全攻防典型案例，繼續(xù)夯實(shí)數(shù)字安全免疫力的實(shí)踐價(jià)值?！稊?shù)字安全免疫力建設(shè)指南》編委會(huì)推薦語(yǔ)處置、消滅“病毒”,指的是“數(shù)字安全抗性”;二是用發(fā)展塑造強(qiáng)健的體魄，讓遭受的工具，也可能在很短時(shí)間內(nèi)就會(huì)失效。但這個(gè)回歸“極簡(jiǎn)”的思路，基于企業(yè)業(yè)務(wù)是《數(shù)字安全免疫力白皮書》還是《數(shù)字安全免疫力建設(shè)指南》,都僅是開始。希望能推薦語(yǔ)湯道生騰訊集團(tuán)高級(jí)執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群CEO數(shù)字化轉(zhuǎn)型正逐步進(jìn)入深水區(qū)，業(yè)務(wù)系統(tǒng)既需要易用好用，也需要靈活與可擴(kuò)展。傳統(tǒng)邊界防護(hù)與修補(bǔ)漏洞的安全理念已不足以滿足數(shù)字化時(shí)代要求；能否在一套新的安全范式下，建立“行為分析、情報(bào)與數(shù)據(jù)驅(qū)動(dòng)”的安全體系，及時(shí)發(fā)現(xiàn)威脅與堵住攻擊，保護(hù)核心數(shù)字資產(chǎn)；這既關(guān)系到企業(yè)個(gè)體的成長(zhǎng)，也關(guān)系產(chǎn)業(yè)乃至數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展大計(jì)。在企業(yè)層面，數(shù)據(jù)資產(chǎn)的價(jià)值越來越高，企業(yè)的生產(chǎn)、經(jīng)營(yíng)、管理高度依賴各種數(shù)字系統(tǒng)。傳統(tǒng)“邊界”防護(hù)的安全理念，在事件發(fā)生后才做出響應(yīng)，在漏洞爆發(fā)后才予以修補(bǔ)，會(huì)使企業(yè)永遠(yuǎn)處于風(fēng)險(xiǎn)當(dāng)中。如果有壞人從“后花園”繞過企業(yè)的防御邊界，就可以隨意破壞企業(yè)內(nèi)部的所有數(shù)字資產(chǎn)。企業(yè)應(yīng)當(dāng)建立前瞻安全思路，圍繞核心業(yè)務(wù)構(gòu)建防御、檢測(cè)、響應(yīng)閉環(huán)，進(jìn)行對(duì)應(yīng)的風(fēng)險(xiǎn)過濾和處置。在產(chǎn)業(yè)層面，數(shù)字化發(fā)展速度快、輻射范圍廣、影響程度深。供應(yīng)鏈在安全的前提下做好數(shù)字化，可以優(yōu)化資源配置，促進(jìn)生產(chǎn)方式變革，提升經(jīng)濟(jì)發(fā)展的效率與質(zhì)量。應(yīng)通過DevSecOps實(shí)現(xiàn)安全左移，把安全能力融入到整個(gè)數(shù)字供應(yīng)鏈的全開發(fā)生命周期。二是在企業(yè)的采購(gòu)、供應(yīng)商管理和審查監(jiān)控過程中，用具有一致性的安全準(zhǔn)入標(biāo)準(zhǔn)做好供應(yīng)鏈安全治理。在國(guó)家層面，數(shù)字化技術(shù)的深入廣泛應(yīng)用，可以推進(jìn)政府管理和社會(huì)治理模式創(chuàng)新，實(shí)現(xiàn)政府決策科學(xué)化、社會(huì)治理精準(zhǔn)化、公共服務(wù)高效化。但安全和發(fā)展是一體兩翼，發(fā)展是安全的基礎(chǔ)和目的；安全是發(fā)展的條件和保障，沒有安全，經(jīng)濟(jì)社會(huì)健康可持續(xù)發(fā)展就無(wú)從談起。在這樣的背景下，騰訊安全發(fā)起關(guān)于數(shù)字安全免疫力的研討，就是為了在安全建設(shè)范式這個(gè)原點(diǎn)上為大家搭建一個(gè)共議、共識(shí)、共建的平臺(tái)，為企業(yè)在數(shù)字化時(shí)代的安全建設(shè)提供可借鑒的實(shí)踐指引，著眼于中國(guó)數(shù)字經(jīng)濟(jì)未來十年的健康可持續(xù)發(fā)展，筑牢安全底座。目錄目錄一、前瞻安全趨勢(shì)——2024年數(shù)字安全重要變革預(yù)測(cè) 二、拔高安全認(rèn)知——值得關(guān)注的宏觀環(huán)境變化 三、重建安全范式——企業(yè)建設(shè)數(shù)字安全免疫力的四個(gè)核心 四、精確安全度量——運(yùn)用安全評(píng)測(cè)工具評(píng)估自身水位 五、夯實(shí)安全建設(shè)——為企業(yè)量身定制的六個(gè)建設(shè)指南 5.1數(shù)據(jù)安全篇 215.2業(yè)務(wù)安全篇 5.3安全運(yùn)營(yíng)管理篇 5.4邊界安全與端點(diǎn)安全篇 5.5應(yīng)用開發(fā)安全篇 前瞻安全趨勢(shì)2024年數(shù)字安全重要變革預(yù)測(cè)“數(shù)據(jù)要素×安全”成為數(shù)字經(jīng)濟(jì)繁榮發(fā)展的基石10月25日，國(guó)家數(shù)據(jù)局正式掛牌成立。根據(jù)《黨和國(guó)家機(jī)構(gòu)改革方案》,國(guó)家數(shù)據(jù)局負(fù)責(zé)協(xié)調(diào)推進(jìn)數(shù)據(jù)基礎(chǔ)制度建設(shè)，統(tǒng)籌數(shù)據(jù)資源整合共享和開發(fā)利用，統(tǒng)籌推進(jìn)數(shù)字中國(guó)、數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)規(guī)劃和建設(shè)等。國(guó)家數(shù)據(jù)局提出，正在推進(jìn)數(shù)據(jù)要素市場(chǎng)化配置改革相關(guān)重點(diǎn)工作。1月4日，國(guó)家數(shù)據(jù)局聯(lián)合工業(yè)和信息化部等17部門正式印發(fā)《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃(2024-2026年)》,其中重點(diǎn)指出，數(shù)據(jù)對(duì)治理方式提出新挑戰(zhàn)，需要探索適應(yīng)數(shù)據(jù)特點(diǎn)的安全治理模式。數(shù)據(jù)要素市場(chǎng)建設(shè)是一項(xiàng)探索性、創(chuàng)新性、專業(yè)性很強(qiáng)的事業(yè)，國(guó)際上沒有通行做法可以借鑒。必須堅(jiān)持頂層設(shè)計(jì)和實(shí)踐探索有機(jī)結(jié)合、良性互動(dòng)。數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)維度，網(wǎng)絡(luò)、算力和數(shù)據(jù)構(gòu)成“能力三角”,而安全設(shè)施成為基礎(chǔ)支撐。數(shù)據(jù)要素市場(chǎng)化，需要依托數(shù)據(jù)本身的規(guī)模報(bào)酬遞增、非競(jìng)爭(zhēng)性和低成本復(fù)制三大特性，但網(wǎng)絡(luò)安全威脅會(huì)對(duì)數(shù)據(jù)的流轉(zhuǎn)造成巨大威脅，阻礙其流通、增值，甚至直接摧毀數(shù)據(jù)要素本身的商業(yè)價(jià)值。因此，能否構(gòu)建充分安全的數(shù)據(jù)要素產(chǎn)業(yè)，將成為2024年的重要課題。生成式人工智能改變攻防底層邏輯生成式人工智能技術(shù)的發(fā)展速度之快，已經(jīng)超越人類歷史上任何一種IT技術(shù)。更重要的是，AIGC前所未有地顛覆了人類對(duì)數(shù)據(jù)采集、使用、生成、決策的主導(dǎo)權(quán)(或部分主導(dǎo)權(quán))。Al可以在不經(jīng)人類經(jīng)驗(yàn)與思維引導(dǎo)的情況下，完成創(chuàng)新流程，從而徹底改變數(shù)字產(chǎn)能的輸出結(jié)構(gòu)，改變?nèi)藱C(jī)交互的關(guān)系。AlGC改造數(shù)字世界的進(jìn)程，和顛覆現(xiàn)有數(shù)字安全攻防體系底層邏輯的進(jìn)程是一致的。一方面，應(yīng)用AIGC實(shí)現(xiàn)攻擊武器的“升維”,可能將數(shù)字安全的戰(zhàn)場(chǎng)由“冷兵器”時(shí)代直接帶入“核武器”時(shí)代。AIGC的注入將使攻擊者有能力發(fā)起針對(duì)所有被攻擊者的更高頻率、更具破壞力、更無(wú)差別的“遍歷攻擊”。其攻擊武器也可能更隱匿、更難預(yù)測(cè)。另一方面，防御者也可能擺脫“陣地防御”思路，真正進(jìn)入免疫防御時(shí)代。在AIGC的助力下，防御成本將大幅度下降，防御體系的自我決策和反應(yīng)能力都會(huì)指數(shù)級(jí)提升，核心思路也將從攻防驅(qū)動(dòng)轉(zhuǎn)為風(fēng)險(xiǎn)驅(qū)動(dòng)，大量低級(jí)網(wǎng)絡(luò)攻擊手段將快速失效。數(shù)字安全免疫力建設(shè)指南-2而作為攻防新底層技術(shù)的AlGC本身，也自然而然成為了攻防雙方的必爭(zhēng)之地。在2023年的RSA創(chuàng)新沙盒大賽上，針對(duì)人工智能進(jìn)行安全防護(hù)的HiddenLayer獲得了冠軍，也顯示出對(duì)人工智能安全的關(guān)注已經(jīng)迫在眉睫。在大力發(fā)展人工智能的同時(shí)，圍繞人工智能的安全保護(hù)，包括訓(xùn)練數(shù)據(jù)的防污染、模型自身的安全性、AIGC使用過程中的敏感數(shù)據(jù)防泄漏等，都會(huì)成為新的攻防要素。網(wǎng)絡(luò)安全保險(xiǎn)催生風(fēng)險(xiǎn)共擔(dān)新模式當(dāng)前安全風(fēng)險(xiǎn)已是數(shù)字化穩(wěn)健高速發(fā)展的最大障礙。隨著各行業(yè)領(lǐng)域網(wǎng)絡(luò)化、數(shù)字化、智能化發(fā)展進(jìn)一步提速，在現(xiàn)有安全產(chǎn)品與服務(wù)模式基礎(chǔ)上，探索建立網(wǎng)絡(luò)安全保險(xiǎn)，逐步建立相應(yīng)的商業(yè)模式和服務(wù)體系，能夠有效轉(zhuǎn)移企業(yè)在風(fēng)險(xiǎn)中遭受的破壞性損失，優(yōu)化數(shù)字化投入的配置，保障企業(yè)財(cái)務(wù)穩(wěn)定性和業(yè)務(wù)連續(xù)性。目前，國(guó)內(nèi)已有部分安全公司聯(lián)合保險(xiǎn)公司，針對(duì)特定場(chǎng)景和特定客戶需求提供網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)。然而網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)快速興起，依然要面對(duì)網(wǎng)絡(luò)攻擊總量波動(dòng)過大、不確定性高、新技術(shù)迭代對(duì)現(xiàn)有理賠模型挑戰(zhàn)劇烈等現(xiàn)狀，引發(fā)保險(xiǎn)公司保費(fèi)提升、損失率上升等變化。因此，網(wǎng)絡(luò)安全保險(xiǎn)的基本規(guī)則尚待完備。以美國(guó)為例，2023年上半年，美國(guó)企業(yè)的網(wǎng)絡(luò)保險(xiǎn)索賠頻率增長(zhǎng)了12%,索賠嚴(yán)重程度增長(zhǎng)了42%。與之相對(duì)應(yīng)的是，被保險(xiǎn)企業(yè)愿意支付的保費(fèi)金額下降一半以上，導(dǎo)致網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)在歐美均處于“不穩(wěn)定”狀態(tài)，甚至有保險(xiǎn)業(yè)協(xié)會(huì)“勸退”成員公司的新聞。網(wǎng)絡(luò)韌性受重視程度超過“剛性”安全傳統(tǒng)網(wǎng)絡(luò)安全范式強(qiáng)調(diào)“剛性”和“對(duì)抗”。在“黑與白”的攻防戰(zhàn)中，即便雙方掌握的武器不斷升級(jí)，乃至開始通過Al進(jìn)行超限攻防戰(zhàn)，但核心思維，依然是追求“零損失”,即盡可能通過情報(bào)預(yù)判攻擊，或者以更強(qiáng)的防御體系在攻擊中將損害降到極限。但“剛性”防御思維的最大缺陷，就是防守方在攻擊面持續(xù)擴(kuò)大的情況下，防御成本持續(xù)提高反而會(huì)制約企業(yè)業(yè)務(wù)的正常發(fā)展。數(shù)字安全免疫力建設(shè)指南-3在這個(gè)背景下，“韌性”成為網(wǎng)絡(luò)安全建設(shè)的一個(gè)新的思維。它以企業(yè)數(shù)據(jù)和業(yè)務(wù)為核心，強(qiáng)調(diào)組織在面臨網(wǎng)絡(luò)安全攻擊導(dǎo)致業(yè)務(wù)、服務(wù)中斷等不利情況下，依然能夠保持業(yè)務(wù)穩(wěn)定性、連續(xù)性和持續(xù)運(yùn)營(yíng)增長(zhǎng)能力，以達(dá)到與發(fā)展目標(biāo)相適應(yīng)的戰(zhàn)略穩(wěn)定性；將企業(yè)的數(shù)字化視作一個(gè)整體，使之遭遇重大破壞時(shí)，能夠快速重建業(yè)務(wù)、恢復(fù)數(shù)據(jù)、達(dá)到客戶/用戶端無(wú)感；在非“戰(zhàn)時(shí)”自動(dòng)調(diào)整系統(tǒng)架構(gòu)和核心資產(chǎn)分類，提高數(shù)字系統(tǒng)敏捷性和架構(gòu)先進(jìn)性，自動(dòng)糾察被攻擊面及持續(xù)改進(jìn)。在數(shù)字安全免疫力模型中提到，絡(luò)安全應(yīng)以“彈性、自適應(yīng)、可擴(kuò)展”為目標(biāo)，這與韌性防御思維是高度契合的。供應(yīng)鏈安全催化融合式風(fēng)險(xiǎn)管理升級(jí)多位專家認(rèn)為，隨著數(shù)字化程度的加深，數(shù)據(jù)在供應(yīng)鏈各環(huán)節(jié)的嵌連、流轉(zhuǎn)，有可能會(huì)將供應(yīng)鏈個(gè)體不完善的安全體系帶入危險(xiǎn)境地。在經(jīng)濟(jì)學(xué)原理“漢德公式”中，提出供應(yīng)鏈中的所有參與者都應(yīng)對(duì)安全負(fù)責(zé)。以避免事故的成本作為安全責(zé)任分擔(dān)的基本度量標(biāo)準(zhǔn)，就是基于經(jīng)濟(jì)學(xué)模型為安全風(fēng)險(xiǎn)的度量、定責(zé)與擔(dān)責(zé)提供了具體思路。在數(shù)字系統(tǒng)的供應(yīng)鏈中，應(yīng)當(dāng)以“最小成本”避免安全風(fēng)險(xiǎn)作為基本要求，尋找融合式風(fēng)險(xiǎn)管理能力。一是在數(shù)字供應(yīng)鏈體系中，尋找“最小成本”共識(shí)，多方共同采取融合式的風(fēng)險(xiǎn)管理思想，通過標(biāo)準(zhǔn)化的體系與接口，確保風(fēng)險(xiǎn)管理水位均衡，從而達(dá)到成本最小化。二是建立供應(yīng)鏈全局的風(fēng)險(xiǎn)預(yù)測(cè)、管理、決策界面，使企業(yè)中的各業(yè)務(wù)主體、供應(yīng)鏈中的各企業(yè)進(jìn)行充分的風(fēng)險(xiǎn)聯(lián)動(dòng)。三是尋求供應(yīng)鏈安全“大小兼顧”,尤其是針對(duì)供應(yīng)鏈中的中小企業(yè)主體，配置低成本、高效能的安全防御工具，消除潛在短板。智能制造開拓下一個(gè)工業(yè)互聯(lián)網(wǎng)安全建設(shè)方向智能制造，尤其是新能源汽車制造，將成為工業(yè)互聯(lián)網(wǎng)安全建設(shè)的下一個(gè)主力軍。許多智能制造企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)的需求極高：一方面，制造環(huán)境對(duì)生產(chǎn)環(huán)境的IT建設(shè)提出了很高的要求，需要各種設(shè)備、傳感器之間的信息交互提升生產(chǎn)的效率和精度；另一方面，智能制造的產(chǎn)品自身安全性也需要被保障；另外，智能制造往往也涉及到高新技術(shù)的應(yīng)用，相關(guān)數(shù)據(jù)的保密性也是必須重視的問題。受此影響，2024年工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)受智能制造利好，將大幅擴(kuò)張，將會(huì)推動(dòng)對(duì)應(yīng)技術(shù)、產(chǎn)品等加速成熟。但工業(yè)領(lǐng)域數(shù)字化體系龐大復(fù)雜，尤其是供應(yīng)鏈“蛛網(wǎng)”密布、不同設(shè)備生產(chǎn)時(shí)間地點(diǎn)跨度太大、各區(qū)域數(shù)字化基礎(chǔ)不平衡等現(xiàn)象非常尖銳，也可能會(huì)顯著提高安全產(chǎn)品新的安全邊界理念將逐步形成在云計(jì)算出現(xiàn)后，“邊界模糊化”的問題就沒有停止過討論；而隨著遠(yuǎn)程辦公和智內(nèi)并不會(huì)消失，接入企業(yè)業(yè)務(wù)系統(tǒng)、內(nèi)部環(huán)境的入口依然存在，包括流量、終端、外部SSE的發(fā)展是由于企業(yè)暫時(shí)不需要SD-WAN的能力，但是卻需要SASE中其余的安全能力。SSE的出現(xiàn)其實(shí)正是“將入口集合作為新的邊界”這一理念的體現(xiàn)，安全邊界不再是孤立的一堵墻，而是由多種入口防御形成的組合縱深防線。在未來的一年里，隨著SASE和SSE進(jìn)一步被企業(yè)所認(rèn)知，對(duì)應(yīng)的新安全邊界理念將云端成為數(shù)據(jù)安全焦點(diǎn)場(chǎng)景隨著產(chǎn)業(yè)互聯(lián)網(wǎng)的建設(shè)，以及各種行業(yè)云、政務(wù)云的出現(xiàn)，數(shù)據(jù)上云將是大勢(shì)所趨。相比傳統(tǒng)的數(shù)據(jù)安全，云端數(shù)據(jù)的安全一定程度上可以依托供應(yīng)商的安全能力，以及云計(jì)算自有的彈性，以更低的成本實(shí)現(xiàn)對(duì)安全的保護(hù)。但同時(shí)，云端復(fù)雜的IT環(huán)境也會(huì)給例如在多云環(huán)境、混合云環(huán)境下，如何保證數(shù)據(jù)資產(chǎn)的均衡安全；如何在云和資產(chǎn)主體分離的情況下，實(shí)現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)交易、數(shù)據(jù)共享過程中的用管分離；如何在數(shù)據(jù)流動(dòng)過程中，為不同角色、不同業(yè)務(wù)、不同場(chǎng)景分配最小化賬戶權(quán)限；如何基于云端特性構(gòu)建新的一體化云安全運(yùn)營(yíng)平臺(tái)等。數(shù)字安全免疫力建設(shè)指南-5因此，在數(shù)據(jù)上云的大趨勢(shì)下，企業(yè)面對(duì)數(shù)據(jù)安全的問題時(shí)，一定會(huì)對(duì)云端的特殊環(huán)境形成新的安全需求；在對(duì)云安全相關(guān)產(chǎn)品的采購(gòu)過程中，也會(huì)關(guān)注云安全產(chǎn)品對(duì)云端數(shù)據(jù)的保護(hù)能力。威脅情報(bào)從大數(shù)據(jù)分析進(jìn)入智能運(yùn)營(yíng)階段威脅情報(bào)進(jìn)入國(guó)內(nèi)已有近十年時(shí)間，已成為大量企業(yè)安全建設(shè)必備模塊，并被視為是現(xiàn)代主動(dòng)安全體系的核心。從手工規(guī)則的運(yùn)營(yíng)到大數(shù)據(jù)分析是威脅情報(bào)的第一次跨越式發(fā)展，大幅提升了企業(yè)主動(dòng)、量化、體系化建設(shè)安全的能力。但隨著安全形勢(shì)復(fù)雜、攻防節(jié)奏加快，企業(yè)陷入威脅情報(bào)的告警焦慮中。有研究顯示，企業(yè)每周大約接收17000條報(bào)警，其中僅有19%是相對(duì)可信的，但安全團(tuán)隊(duì)僅調(diào)查處理其中4%。從追求覆蓋廣度到追求精度正在成為企業(yè)威脅運(yùn)營(yíng)的普遍共識(shí)。Al大模型以及MaaS模式的興起，正在加速威脅情報(bào)的第二次進(jìn)化——從大數(shù)據(jù)分析向智能運(yùn)營(yíng)轉(zhuǎn)變。從目前行業(yè)的實(shí)踐來看，大模型能全面賦能情報(bào)的研判、運(yùn)營(yíng)、檢測(cè)等環(huán)節(jié)，對(duì)話、文本摘要、報(bào)告自動(dòng)生成、二進(jìn)制智能分析等特點(diǎn)能幫助企業(yè)安全運(yùn)營(yíng)“降本增效提質(zhì)”。這同時(shí)也意味著，企業(yè)可以降低安全運(yùn)營(yíng)人才的門檻，依托更加智能的威脅情報(bào)運(yùn)營(yíng)體系，用更少的人力實(shí)現(xiàn)和過往一樣的運(yùn)營(yíng)目標(biāo)。數(shù)字安全免疫力建設(shè)指南-6拔高安全認(rèn)知值得關(guān)注的宏觀背景變化“安全是發(fā)展的前提，發(fā)展是安全的保障”。近年來，統(tǒng)籌發(fā)展與安全的戰(zhàn)略思想深刻影響網(wǎng)絡(luò)安全工作的開展。2023年出臺(tái)的《數(shù)字中國(guó)建設(shè)整體布局規(guī)劃》,更是明確了筑牢數(shù)字安全屏障是數(shù)字中國(guó)建設(shè)“2522”框架需要強(qiáng)化的一大關(guān)鍵能力。企業(yè)的數(shù)字化發(fā)展與安全建設(shè)，是數(shù)字中國(guó)藍(lán)圖的重要構(gòu)成部分，亟待破除安全的“成本中心”思維，將企業(yè)安全建設(shè)與經(jīng)營(yíng)發(fā)展置于同樣的戰(zhàn)略高度，用發(fā)展的眼光看待安全，建立發(fā)展與安全融合的全新范式。同時(shí)，企業(yè)建設(shè)發(fā)展與安全協(xié)同的經(jīng)營(yíng)范式有了完善的法治化基礎(chǔ)。在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等上位法的相互編織下，我國(guó)網(wǎng)絡(luò)空間安全治理的“四梁八柱”已經(jīng)架成，以及近年來不斷深入新行業(yè)、新場(chǎng)景、新技術(shù)的法律法規(guī)和配套的標(biāo)準(zhǔn)、認(rèn)證、執(zhí)法規(guī)定等日臻完善，企業(yè)安全建設(shè)有法可依。隨著時(shí)代發(fā)展、技術(shù)進(jìn)步，我國(guó)網(wǎng)絡(luò)安全的發(fā)展不斷深化，從早期的訪問控制到防火墻興起再到加密技術(shù)、流量分析等安全技術(shù)的發(fā)展，再到如今零信任、云安全、智能安全及數(shù)字安全免疫力等創(chuàng)新安全理念的演進(jìn)，網(wǎng)絡(luò)安全的防護(hù)目標(biāo)一步一步跳脫出傳統(tǒng)的設(shè)備、邊界，守護(hù)更為復(fù)雜和壯闊的網(wǎng)絡(luò)空間。隨著數(shù)據(jù)生產(chǎn)要素的發(fā)展，讓企業(yè)協(xié)調(diào)安全與發(fā)展有了更現(xiàn)實(shí)的抓手與導(dǎo)向。如今數(shù)據(jù)以及由大量數(shù)據(jù)分析、交換而形成的數(shù)字化業(yè)務(wù)存在于各行各業(yè)，全國(guó)多地更是紛紛踐行“數(shù)據(jù)要素×”戰(zhàn)略，大幅拓展數(shù)據(jù)要素應(yīng)用場(chǎng)景的廣度和深度，激發(fā)數(shù)據(jù)要素在經(jīng)濟(jì)領(lǐng)域的乘數(shù)效應(yīng)，數(shù)據(jù)的安全與治理成為“必答題”。尤其是北京、深圳等城市更是持續(xù)在數(shù)據(jù)交易、授權(quán)、知識(shí)產(chǎn)權(quán)登記等環(huán)節(jié)中明確數(shù)據(jù)安全的具體要求，激發(fā)數(shù)據(jù)要素價(jià)值的同時(shí)構(gòu)建扎實(shí)的安全體系，而非傳統(tǒng)事后防御、外掛式、單點(diǎn)式的安全策略，讓數(shù)據(jù)以及數(shù)字化業(yè)務(wù)具備安全基因，護(hù)航數(shù)據(jù)要素市場(chǎng)蓬勃發(fā)展。數(shù)字安全免疫力建設(shè)指南-8重建安全范式企業(yè)建設(shè)數(shù)字安全免疫力的四個(gè)核心企業(yè)如何協(xié)調(diào)發(fā)展與安全?一方面，越來越多的企業(yè)意識(shí)到，安全不只是被動(dòng)響應(yīng)與強(qiáng)制合規(guī)，對(duì)安全的重視程度與投入力度，會(huì)切實(shí)影響企業(yè)發(fā)展；尤其當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展推動(dòng)供應(yīng)鏈協(xié)同更加緊密，單一企業(yè)的安全風(fēng)險(xiǎn)，極有可能經(jīng)供應(yīng)鏈傳導(dǎo)到全行業(yè)，甚至對(duì)整個(gè)產(chǎn)業(yè)造成影響；“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”已成為從頂層到基層的普遍共識(shí)，這意味著安全事故的主體責(zé)任進(jìn)一步放大。2023年六月，騰訊安全聯(lián)合IDC共同發(fā)布了《數(shù)字安全免疫力白皮書》,在網(wǎng)絡(luò)安全建設(shè)范式創(chuàng)新上給出了新的思想。報(bào)告提出，在數(shù)字安全免疫力的體系下，企業(yè)首先要實(shí)現(xiàn)的，是自身防護(hù)能力的建設(shè)。這一過程無(wú)關(guān)于企業(yè)是使用自己自研的安全產(chǎn)品，或者是采購(gòu)?fù)獠康陌踩a(chǎn)品，是組建自己的安全運(yùn)營(yíng)團(tuán)隊(duì)，還是選擇MDR、MSSP之類的外部安全服務(wù)，而是在于企業(yè)自身能否將這些“安全能力”使用得當(dāng)，能否將各類安全能力融入到企業(yè)的日常運(yùn)營(yíng)當(dāng)中，與企業(yè)的數(shù)據(jù)流、業(yè)務(wù)流融合一體——這樣才能成為企業(yè)“自帶”的數(shù)字安全免疫力。否則，即使企業(yè)擁有自己的安全團(tuán)隊(duì)，也無(wú)法真正像生物免疫系統(tǒng)那樣能夠主動(dòng)、自動(dòng)地發(fā)現(xiàn)入侵，并展開防護(hù)。當(dāng)然，數(shù)字安全免疫力的建設(shè)也需要在應(yīng)對(duì)未知威脅的時(shí)候，能夠通過接收外界的協(xié)助，實(shí)現(xiàn)對(duì)威脅的遏制與清除。因此，如果我們需要給數(shù)字安全免疫力的核心進(jìn)行一個(gè)總結(jié)的話，那就是：以確保企業(yè)數(shù)字化運(yùn)營(yíng)中數(shù)字資產(chǎn)(數(shù)據(jù)與業(yè)務(wù))正常運(yùn)行為最終目標(biāo)，配合企業(yè)IT技術(shù)環(huán)境的發(fā)展方向，提前規(guī)劃企業(yè)的安全投入，從而能夠基于企業(yè)自身內(nèi)部的組織、流程、工具以及長(zhǎng)期發(fā)展，協(xié)同內(nèi)、外部安全資源和能力，打造具有彈性、韌性、自適應(yīng)、可擴(kuò)展的企業(yè)數(shù)字安全體系。核心一|以企業(yè)運(yùn)作為最終目的企業(yè)和組織存在是通過正常發(fā)展其業(yè)務(wù)，從而實(shí)現(xiàn)其目標(biāo)：比如大部分企業(yè)的目標(biāo)是盈利，而政府等單位是其相關(guān)職能的實(shí)現(xiàn)——而安全建設(shè)卻在某些特定場(chǎng)景下被視為實(shí)現(xiàn)這些目標(biāo)的“阻礙”。這一定程度上是可以理解的，畢竟相對(duì)而言，自由、靈活的操作往往意味著更高效的運(yùn)轉(zhuǎn)，同時(shí)減少各種注意事項(xiàng)又能讓企業(yè)只專注于需求的實(shí)現(xiàn)—但是安全往往卻代表著更復(fù)雜的流程、更頻繁的測(cè)試、更多的禁止事項(xiàng)，很容易成另外，相當(dāng)多的安全人員會(huì)過分夸大安全的必要性；盡管大家都知道沒有“銀色子彈”,但又往往會(huì)對(duì)安全風(fēng)險(xiǎn)預(yù)判與處置有著極為苛刻的要求。這無(wú)疑使得IT部門、業(yè)務(wù)部門對(duì)安全部門的誤解和隔閡更為嚴(yán)重。甚至對(duì)一些人而言，安全就是“0”和“1”,非黑即白：要么是絕對(duì)安全沒有風(fēng)險(xiǎn)，要么就是千瘡百孔，會(huì)被人任意攻擊。這顯然并將企業(yè)的正常運(yùn)作(以業(yè)務(wù)與數(shù)據(jù)為核心)作為最終目的，意味著數(shù)字安全免疫力建設(shè)思路并非直接將“安全”作為第一視角，而是圍繞企業(yè)運(yùn)作中面臨的風(fēng)險(xiǎn)展開：企業(yè)在合規(guī)層面有什么風(fēng)險(xiǎn)?企業(yè)在業(yè)務(wù)開展中會(huì)遇到哪些威脅?企業(yè)對(duì)數(shù)據(jù)的處理是否存在隱患?在供應(yīng)鏈中潛藏的風(fēng)險(xiǎn)是否會(huì)導(dǎo)致業(yè)務(wù)流程中斷或受損?換而言之，對(duì)于安全負(fù)責(zé)人而言，需要讓安全去“擁抱”業(yè)務(wù)，基于對(duì)企業(yè)的威脅程度來思考如何進(jìn)行安確保企業(yè)正常運(yùn)作是數(shù)字安全免疫力最核心的理念，其最大價(jià)值在于讓安全建設(shè)有了意義和方向，從而對(duì)企業(yè)的安全規(guī)劃能有如下幾個(gè)重要影響：況生搬硬套其他企業(yè)的實(shí)踐，無(wú)法真正幫助企業(yè)建設(shè)屬于自己的數(shù)字安全免疫力。只有基于企業(yè)自身的情況，借鑒其他企業(yè)成功案例的相似之處，才能使得安全投入產(chǎn)生價(jià)值。數(shù)字安全免疫力建設(shè)指南-11前的經(jīng)濟(jì)形勢(shì)下，每一分安全預(yù)算都至關(guān)重要。但是，另一方面，當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品的品類越來越多，對(duì)企業(yè)的安全采購(gòu)反而帶來了一定的挑戰(zhàn)。在這個(gè)情況下，企業(yè)只有明確自己當(dāng)前面臨的最大風(fēng)險(xiǎn)，才能避免將預(yù)算浪費(fèi)在對(duì)當(dāng)前而言并非必須的安全產(chǎn)品上。70%企業(yè)安全投入低于5%基準(zhǔn)線，11%企業(yè)投入不到1%提升安全有效性：一味追求“絕對(duì)安全”其實(shí)是一件很糟糕的事情，因?yàn)檫@往往會(huì)讓安全人員將大量的時(shí)間浪費(fèi)在發(fā)生概率極低，或者對(duì)企業(yè)危害極小的風(fēng)險(xiǎn)上。將企業(yè)運(yùn)作作為安全免疫力的目標(biāo)，也是改變安全人員思想的一個(gè)手段：將時(shí)間和精力放在企業(yè)最重要的東西上，接受存在一定的風(fēng)險(xiǎn)，或者用其他方式來彌補(bǔ)。比如過去幾年開始引起關(guān)注的網(wǎng)絡(luò)安全保險(xiǎn)，可以作為那些在自身安全建設(shè)當(dāng)中不得不暫時(shí)接受的風(fēng)險(xiǎn)的數(shù)字安全免疫力建設(shè)指南-12雖然安全措施往往都是“提前部署”的，但這并不意味著是“提前規(guī)劃”的，因?yàn)橐坏┟撾x了企業(yè)的業(yè)務(wù)的運(yùn)行和數(shù)據(jù)的走向，安全措施往往無(wú)法防范真正的威脅，甚至無(wú)法知曉自己“還有哪里沒防住”。提前規(guī)劃的一個(gè)意義，基于企業(yè)業(yè)務(wù)的發(fā)展目標(biāo)，提前為未來可能發(fā)生的威脅做好準(zhǔn)備：這不僅僅是為預(yù)料之中且有準(zhǔn)備的威脅事件做好響應(yīng)計(jì)劃，同樣也是為預(yù)料之中但因預(yù)算等問題無(wú)法填補(bǔ)安全隱患做未來的規(guī)劃以及補(bǔ)救方案；甚至對(duì)于一些有余力的企業(yè)，還需要考慮如何應(yīng)對(duì)意料之外的威脅事件。提前規(guī)劃的另一個(gè)方向是“依據(jù)企業(yè)的業(yè)務(wù)發(fā)展規(guī)劃未來的安全”。企業(yè)在業(yè)務(wù)拓展中，往往會(huì)采用新的技術(shù)。新的環(huán)境、新的工具、新的流程意味著新的風(fēng)險(xiǎn)。對(duì)于將企業(yè)運(yùn)作為最終目的的數(shù)字安全免疫力建設(shè)而言，在打造企業(yè)的安全環(huán)境的時(shí)候，也必須考慮到未來企業(yè)的發(fā)展計(jì)劃中，會(huì)引入哪些新的技術(shù)和流程：比如人工智能、區(qū)塊鏈、遠(yuǎn)程會(huì)議等；從而提前對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行調(diào)查、分析和預(yù)案，確保企業(yè)的數(shù)字安全免疫力建設(shè)能夠跟上企業(yè)的業(yè)務(wù)發(fā)展。產(chǎn)業(yè)互聯(lián)網(wǎng)的建設(shè)對(duì)于大部分企業(yè)而言，都是一個(gè)技術(shù)的跨越；而在這一過程中，需要企業(yè)的安全負(fù)責(zé)人提前為新的風(fēng)險(xiǎn)進(jìn)行規(guī)劃，逐步打造適應(yīng)面向未來的產(chǎn)業(yè)互聯(lián)網(wǎng)的安全架構(gòu)，才能避免因企業(yè)的發(fā)展，導(dǎo)致安全投入的浪費(fèi)。綜合協(xié)調(diào)安全資源生物免疫力是機(jī)體自有的，對(duì)抗外界病毒的能力，但可以通過后天的鍛煉或攝入維生素等加以提升；同樣，數(shù)字安全免疫力也應(yīng)該是企業(yè)自身所具備的能力。要實(shí)現(xiàn)企業(yè)對(duì)安全能力的“自控”,就需要企業(yè)有能力去協(xié)調(diào)各類安全資源。綜合協(xié)調(diào)安全資源有三個(gè)方面。首先，是企業(yè)有能力去實(shí)現(xiàn)已購(gòu)買的安全產(chǎn)品的價(jià)值。安全產(chǎn)品至少在未來的一段時(shí)間里，都無(wú)法實(shí)現(xiàn)完全的自動(dòng)化也就是徹底脫離人進(jìn)行操作。這就代表著在企業(yè)購(gòu)買了安全產(chǎn)品后，依然需要啟動(dòng)這些產(chǎn)品，并且有人去操作，才能體現(xiàn)出這些產(chǎn)品的安全價(jià)值。其次，是安全產(chǎn)品的協(xié)同。無(wú)論是態(tài)勢(shì)感知，還是XDR,都需要多款產(chǎn)品協(xié)同，才能產(chǎn)生效果。事實(shí)上，無(wú)論是國(guó)內(nèi)還是國(guó)外，每家企業(yè)都有大量不同的安全工具，來自多家不同的安全廠商，需要一個(gè)中間集成的安全平臺(tái)，對(duì)這些安全產(chǎn)品進(jìn)行協(xié)同，才能更為直觀地了解自己企業(yè)的安全狀況，從而將自己已有的安全產(chǎn)品能力最大化。最后，是對(duì)外部安全資源的協(xié)調(diào)。正如人生病了無(wú)法自愈時(shí)，會(huì)選擇服用藥物、進(jìn)行手術(shù)等外部輔助的方式進(jìn)行治療，企業(yè)也需要在自身無(wú)法完全解決威脅的時(shí)候，借助外部安全資源的幫助。當(dāng)前，由于安全預(yù)算和人才數(shù)量匱乏的因素，國(guó)內(nèi)企業(yè)依然處于自身安全人才缺乏的情況。這一前提下，企業(yè)必然會(huì)需要向外尋求安全能力，包括漏洞懸賞、安全托管、安全咨詢等一系列外部的安全力量。企業(yè)也應(yīng)當(dāng)意識(shí)到到自身是安全的第一責(zé)任人，從而避免一個(gè)誤區(qū)，即“尋求外部的安全能力之后，自己的任務(wù)就完成了”。實(shí)際上，如果企業(yè)自身不明確自己的安全需求，給外部安全人員制定清晰的安全目標(biāo)，那就無(wú)法做好對(duì)外部安全能力供應(yīng)商的管理，導(dǎo)致外部的“藥物”無(wú)法治愈當(dāng)前數(shù)字安全免疫力最終還是企業(yè)自身的能力，如果企業(yè)無(wú)法妥善使用購(gòu)買的安全工具，或者無(wú)法管理好自己的安全供應(yīng)商，那這些安全資源始終都是“外部”的，而非企業(yè)自核心四安全無(wú)感知比照人體的免疫系統(tǒng)，企業(yè)的安全免疫體系應(yīng)該實(shí)現(xiàn)感覺不到免疫力“正在”運(yùn)轉(zhuǎn)，強(qiáng)大的數(shù)字安全免疫力也應(yīng)該在非安全人員沒有意識(shí)到的時(shí)候，就解決了絕大部分的安全威脅。企業(yè)安全能力的建設(shè)也應(yīng)該盡量避免給員工的日常工作造成額外的負(fù)擔(dān)，這就要求企業(yè)的安全體系要達(dá)到無(wú)感知的狀態(tài)，具體而言有三大特點(diǎn)。第一，足夠高的安全水位。企業(yè)安全體系與業(yè)務(wù)體系相容并進(jìn)，不存在顯著短板和死角，安全能力全面覆蓋企業(yè)業(yè)務(wù)和內(nèi)部流程，能阻隔絕大部分安全攻擊和風(fēng)險(xiǎn)，例如針對(duì)線上業(yè)務(wù)布局用戶注冊(cè)、用戶互動(dòng)、支付等流程的風(fēng)險(xiǎn)防范體系；對(duì)涉及數(shù)據(jù)流動(dòng)的供應(yīng)鏈建好“籬笆”;對(duì)每一個(gè)接近企業(yè)數(shù)字資產(chǎn)的ID都能準(zhǔn)確驗(yàn)證和管理等等。第二，自迭代能力。安全攻擊與威脅變化每一天都在進(jìn)行，企業(yè)不僅要能識(shí)別和防御已知的、常態(tài)的安全攻擊，還要能根據(jù)每一次攻防汲取經(jīng)驗(yàn)，持續(xù)迭代自身的安全能力，反哺整體安全體系建設(shè)。例如引入機(jī)器學(xué)習(xí)，對(duì)惡意攻擊、樣本、特征進(jìn)行學(xué)習(xí)，能從每一次攻擊中提取對(duì)同類型攻擊的知識(shí)沉淀，實(shí)現(xiàn)舉一反三，保證企業(yè)安全能力處在持續(xù)動(dòng)第三，非交互式驗(yàn)證。安全無(wú)感知的一種實(shí)踐方式就是從安全技術(shù)入手。比如在零信任的架構(gòu)中提到了“持續(xù)驗(yàn)證”的理念，并非在用戶側(cè)持續(xù)要求用戶進(jìn)行一些操作，而是在技術(shù)層面對(duì)用戶行為進(jìn)行快速分析，判斷行為是否正常，再?zèng)Q定是否使用額外的驗(yàn)證手段。在安全上增加了一道防線，但是對(duì)用戶使用而言，并未出現(xiàn)明顯的干擾。同樣，對(duì)于新發(fā)現(xiàn)的安全漏洞，能否做一些臨時(shí)的安全防護(hù)，防止漏洞被攻擊者利用，在常規(guī)更新時(shí)一起修復(fù)，從而盡量減小對(duì)業(yè)務(wù)的影響，這也是一種安全的無(wú)感知行為。安全往往是給流程增加更多的步驟，但是步驟的增加會(huì)導(dǎo)致效率的降低和人員的反感。安全無(wú)感知需要的就是加入“隱形”的步驟。盡管安全無(wú)感知對(duì)絕大部分企業(yè)而言是一個(gè)非常難以企及的目標(biāo)，但是我們也應(yīng)該將其作為發(fā)展的方向。只有安全無(wú)感知，IT團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)才能更順暢地推動(dòng)企業(yè)發(fā)展，安全才不會(huì)成為又一個(gè)“影子IT”。精確安全度量運(yùn)用安全評(píng)測(cè)工具評(píng)估自身水位安全評(píng)估企業(yè)的安全預(yù)算是有限的，安全負(fù)責(zé)人往往面臨常態(tài)化預(yù)算匱乏的狀況，所以需要將預(yù)算用在最需要投入的地方。因此，在開始打造自己的數(shù)字安全免疫力體系之前，首先要知道企業(yè)當(dāng)前的安全水位，才能做到“知己知彼”。一般而言，安全評(píng)估可以通過尋求外部專業(yè)的安全咨詢團(tuán)隊(duì)來進(jìn)行，但這也就意味著更高的安全成本。所以，對(duì)于一些預(yù)算有限的企業(yè)，也可以使用一些免費(fèi)的安全評(píng)估工具來進(jìn)行自測(cè)。比如騰訊安全提供的數(shù)字安全免疫力測(cè)評(píng)，通過填寫調(diào)研問卷的方式，了解數(shù)字安全免疫力建設(shè)的一些關(guān)鍵要點(diǎn)，同時(shí)能夠和自己目前的狀態(tài)進(jìn)行比對(duì)，發(fā)現(xiàn)自己的不足。同時(shí)，評(píng)估的報(bào)告也會(huì)將企業(yè)的評(píng)分情況和行業(yè)的平均水平進(jìn)行對(duì)比，從而讓企業(yè)更清晰地掌握自身在行業(yè)中的安全水平位置。盡管說我們期望能將安全盡可能做到最好，但是即使掃描上方二維碼，評(píng)測(cè)企業(yè)安全水位不過，需要提醒的是，大部分自測(cè)用的模型都是相對(duì)普適性的，以覆蓋絕大部分企業(yè)需求為目標(biāo)；但不同企業(yè)會(huì)有自己獨(dú)特的環(huán)境，獨(dú)特的安全需求，或者暫時(shí)完全不需要一些安全能力。因此，對(duì)于當(dāng)前評(píng)分低的一些項(xiàng)目，企業(yè)也應(yīng)該深入思考相關(guān)安全能力對(duì)目前以及企業(yè)近期規(guī)劃的價(jià)值，而不是盲目地將預(yù)算浪費(fèi)在補(bǔ)足一些短期內(nèi)不會(huì)過多涉及的安全領(lǐng)域。實(shí)現(xiàn)當(dāng)前的“等保價(jià)值”盡管近年來，國(guó)內(nèi)法律法規(guī)的完善，驅(qū)動(dòng)企業(yè)的安全能力快速提升，但是效果依然并不盡如人意；很重要的一個(gè)因素在于，企業(yè)對(duì)“等?！钡睦斫庖廊痪窒抻凇昂弦?guī)”層面，只是滿足了“等保要求”,并沒有體現(xiàn)出“等保價(jià)值”。等保體系是由大量專家基于實(shí)踐構(gòu)建的，所以等保當(dāng)中提出的安全要求是需要相關(guān)安全產(chǎn)品真正在企業(yè)環(huán)境中被正確使用，才能產(chǎn)生等保匹配的安全價(jià)值。企業(yè)往往只將等保合規(guī)作為維持運(yùn)營(yíng)必須進(jìn)行的手段，因此只為滿足等保要求對(duì)安全產(chǎn)品進(jìn)行采購(gòu)，卻沒有在企業(yè)的運(yùn)營(yíng)過程中將相關(guān)產(chǎn)品投入使用，或者沒有對(duì)安全產(chǎn)品進(jìn)行正確的配置——導(dǎo)致表面上符合了“等保要求”,但實(shí)際上卻沒有實(shí)現(xiàn)“等保價(jià)值”。這是因?yàn)槠髽I(yè)本身往往將滿足等保要求完全交由合規(guī)企業(yè)進(jìn)行，自身卻缺乏對(duì)等保建設(shè)的深刻理解，結(jié)果空有一系列的安全產(chǎn)品，企業(yè)卻不具備對(duì)應(yīng)的“安全能力”。只求過等保，而不實(shí)現(xiàn)“等保價(jià)值”無(wú)疑也是對(duì)安全預(yù)算的一種浪費(fèi)，無(wú)論是合規(guī)咨詢的服務(wù)，還是安全產(chǎn)品的采購(gòu)，都不應(yīng)成為企業(yè)在安全建設(shè)中的沉沒成本。企業(yè)在建設(shè)自己的數(shù)字安全免疫力時(shí)，不僅要評(píng)估自己當(dāng)前的安全水位，也要評(píng)估自己基于等保合規(guī)所采購(gòu)的安全產(chǎn)品的使用效果——在預(yù)算有限的情況下，優(yōu)先將已有的安全產(chǎn)品的價(jià)值徹底釋放，就能夠初步形成企業(yè)對(duì)外部各類威脅的抵抗力。著手完善人員的安全能力企業(yè)人員的安全能力可以從兩個(gè)方面來看：一個(gè)是安全團(tuán)隊(duì)人員，一個(gè)是非安全團(tuán)隊(duì)對(duì)于企業(yè)的非安全人員，談?wù)撟疃嗟木褪侨藛T安全意識(shí)的培訓(xùn)。企業(yè)人員的行動(dòng)如果是安全的，那么企業(yè)自身的防風(fēng)險(xiǎn)能力就會(huì)大大增加。但是，僅僅靠安全意識(shí)的教育是不足的，同樣需要一些安全意識(shí)演練、流程和制度的完善，多管齊下才能加深企業(yè)人員的安全意識(shí)。當(dāng)然，同樣，安全意識(shí)的培養(yǎng)也需要業(yè)務(wù)部門一定程度的參與，因?yàn)檫^于敏感的安全制度和技術(shù)，會(huì)導(dǎo)致業(yè)務(wù)效率的下降。數(shù)字安全免疫力建設(shè)指南-18而對(duì)于企業(yè)的安全團(tuán)隊(duì)，最重要的能力就是對(duì)企業(yè)安全資源的協(xié)調(diào)：當(dāng)前企業(yè)中有哪些安全產(chǎn)品(比如EDR、防火墻、DLP等)?有哪些安全技能(比如應(yīng)急響應(yīng)、滲透測(cè)試、漏洞挖掘等)?有哪些外部合作的安全能力(比如漏洞懸賞、安全托管、安全意識(shí)培訓(xùn)等)?安全團(tuán)隊(duì)需要清楚自己當(dāng)前需要和缺失的安全資源，同時(shí)管理現(xiàn)有安全資源，針對(duì)不同的風(fēng)險(xiǎn)配置相關(guān)安全資源。由于企業(yè)有自己的特性，也就意味著并非任何一名外部的安全專家都能馬上掌握這些情況，需要給相關(guān)人員時(shí)間去熟悉和了解，才能順暢地對(duì)企業(yè)的安全資源進(jìn)行有效的利用和調(diào)配。同時(shí)，企業(yè)的安全團(tuán)隊(duì)要反向融入到業(yè)務(wù)團(tuán)隊(duì)和公線團(tuán)隊(duì)中，建立一個(gè)能夠俯視企業(yè)業(yè)務(wù)流數(shù)據(jù)流的“上帝視角”,以俯視的姿態(tài)觀察企業(yè)的運(yùn)行，而董事會(huì)也要賦予安全管理者“插旗擺陣”的權(quán)限和團(tuán)隊(duì)。關(guān)注以AIGC為首的新興技術(shù)的安全企業(yè)為了更為高效地運(yùn)營(yíng)業(yè)務(wù)，會(huì)自然地關(guān)注新的技術(shù)——即使是非企業(yè)層面的應(yīng)用，一些員工出于提升工作效率的目的，也會(huì)使用外部的新興技術(shù)輔助自己的工作。這一點(diǎn)在今年隨著ChatGPT的大規(guī)模應(yīng)用，顯得尤為明顯。AIGC的應(yīng)用層出不窮，許多企業(yè)的員工都會(huì)自發(fā)尋找、使用相關(guān)工具提升自己的工作效率—但是，這些外部應(yīng)用是缺乏安全管控的，也為企業(yè)的安全帶來了隱患。員工在使用AIGC相關(guān)工具的過程中，容易無(wú)意中輸入一些企業(yè)的敏感信息，從而導(dǎo)致敏感信息的泄露。另一方面，許多AIGC的工具來源不明，因此本身就存在一定的安全漏洞，成為企業(yè)的安全威脅。在使用能夠提升效率的新技術(shù)方面，員工的速度會(huì)比企業(yè)更快；而企業(yè)對(duì)新技術(shù)的應(yīng)用也往往快于安全部門——這就留下了巨大的安全缺口。針對(duì)性的安全產(chǎn)品部署或許可以延后，但是安全團(tuán)隊(duì)對(duì)相關(guān)威脅的認(rèn)知，尤其是自身企業(yè)中這類新技術(shù)應(yīng)用的情況，必須及時(shí)了解，避免出現(xiàn)未知的攻擊面。在沒有針對(duì)性安全產(chǎn)品的情況下，通過全面禁止使用相關(guān)產(chǎn)品、引導(dǎo)使用來源安全的相關(guān)產(chǎn)品、利用現(xiàn)有安全工具填補(bǔ)主要威脅點(diǎn)等方式，防范因新技術(shù)的應(yīng)用導(dǎo)致的安全問題。夯實(shí)安全建設(shè)為企業(yè)量身定制的六個(gè)建設(shè)指南指南——數(shù)據(jù)安全篇數(shù)據(jù)無(wú)疑是企業(yè)寶貴的IT資產(chǎn)之一。無(wú)論從合規(guī)要求的角度，還是從企業(yè)自身重要機(jī)密保護(hù)的角度，數(shù)據(jù)安全都是必做的課題。在傳統(tǒng)的數(shù)據(jù)安全中，加密幾乎是“萬(wàn)金油”一般的存在，只需要對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，就能很大程度保證數(shù)據(jù)的安全性。然而，隨著技術(shù)的發(fā)展，人們開始意識(shí)到“密封”的數(shù)據(jù)是不足以真正為企業(yè)帶來價(jià)值的，數(shù)據(jù)需要進(jìn)行分析和流動(dòng)才能產(chǎn)出有價(jià)值的結(jié)果。因此，企業(yè)的數(shù)據(jù)防護(hù)已經(jīng)不能局限在靜態(tài)的存儲(chǔ)數(shù)據(jù)，更需要關(guān)注數(shù)據(jù)在流動(dòng)、使用過程中的安全情況。另一方面，數(shù)據(jù)的所在環(huán)境也有所變化。隨著云計(jì)算的普及和被接納，云端數(shù)據(jù)的安全性又為企業(yè)帶來了新的風(fēng)險(xiǎn)。建設(shè)意見在數(shù)據(jù)安全建設(shè)中，必不可少的就是數(shù)據(jù)的分類分級(jí)，這也是讓大部分企業(yè)頭疼的地方。在實(shí)踐過程中，企業(yè)可以通過分解“分類分級(jí)”的方式來一定程度簡(jiǎn)化海量、繁雜的數(shù)據(jù)：“分類”是根據(jù)數(shù)據(jù)的屬性和特征進(jìn)行區(qū)分和歸類，更多是從業(yè)務(wù)的角度出發(fā)，更好地利用數(shù)據(jù)；“分級(jí)”則是從數(shù)據(jù)的敏感性出發(fā)，考慮數(shù)據(jù)安全的屬性被破壞之后會(huì)造成什么樣的影響。因此，在“分類”的時(shí)候，安全部門如果能得到業(yè)務(wù)部門的支持，工作效果從長(zhǎng)遠(yuǎn)來看會(huì)更有價(jià)值；而對(duì)于“分級(jí)”,在各類合規(guī)要求的指導(dǎo)下，能夠?qū)Υ蟛糠謹(jǐn)?shù)據(jù)進(jìn)行有效的規(guī)整。不過，企業(yè)同樣需要注意的是，除去合規(guī)要求的信息外，企業(yè)內(nèi)部一些商業(yè)機(jī)密、財(cái)務(wù)信息、合作方信息等，一旦被泄露或者篡改，也會(huì)給企業(yè)帶來巨大損害，在“分級(jí)”的時(shí)候同樣要匹配對(duì)應(yīng)策略。隨著企業(yè)業(yè)務(wù)的變化和法律法規(guī)的修訂，“分級(jí)分類”本身也是一個(gè)持續(xù)性的運(yùn)營(yíng)工作，并不是一勞永逸的。除此以外，企業(yè)對(duì)云的使用同樣會(huì)給數(shù)據(jù)安全建設(shè)帶來新的變化。只要企業(yè)將“云數(shù)據(jù)”作為未來發(fā)展的一環(huán)，安全團(tuán)隊(duì)就需要了解云數(shù)據(jù)的流動(dòng)方式、涉及的數(shù)據(jù)范圍、數(shù)據(jù)應(yīng)用的目的等，從而提前預(yù)備云數(shù)據(jù)的安全方案。根據(jù)等保的要求，企業(yè)已經(jīng)有一定的數(shù)據(jù)安全產(chǎn)品的積累，最重要的依然是前文所提到的“實(shí)現(xiàn)等保價(jià)值”,將已有的安全產(chǎn)品投入使用，并評(píng)估其效果，從而打造數(shù)據(jù)安全的防護(hù)基線。在這個(gè)過程中，企業(yè)可能會(huì)面臨的另一個(gè)問題，是數(shù)據(jù)安全產(chǎn)品線的復(fù)雜性，營(yíng)體系。有這方面需求的企業(yè)，可以尋求集成型的數(shù)據(jù)安全平臺(tái)進(jìn)行統(tǒng)一化管理；而對(duì)于云端的數(shù)據(jù)安全，則能和云安全能力的結(jié)合，從云安全角度進(jìn)行統(tǒng)一的管控。其次，將數(shù)據(jù)安全作為一項(xiàng)長(zhǎng)期的安全運(yùn)營(yíng)內(nèi)容，需要協(xié)同業(yè)務(wù)持續(xù)地對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。無(wú)論是持續(xù)性的要求，還是當(dāng)前龐大的數(shù)據(jù)量，這一工程顯然是無(wú)法完全依靠人力完成的。建議企業(yè)將自動(dòng)化數(shù)據(jù)分類分級(jí)的產(chǎn)品納入到企業(yè)的日常安全產(chǎn)品當(dāng)中。指南——業(yè)務(wù)安全篇業(yè)務(wù)是企業(yè)實(shí)現(xiàn)其價(jià)值的最直接途徑，不同企業(yè)有自己獨(dú)特的業(yè)務(wù)。而不同的業(yè)務(wù)場(chǎng)景，如金融、票務(wù)、工業(yè)生產(chǎn)、數(shù)據(jù)、信息、服務(wù)等等，也會(huì)帶來不同的業(yè)務(wù)風(fēng)險(xiǎn)，而對(duì)應(yīng)的業(yè)務(wù)安全(風(fēng)控)應(yīng)對(duì)措施也各有特點(diǎn)。相對(duì)其他領(lǐng)域的安全而言，業(yè)務(wù)安全往往是業(yè)務(wù)部門更為在意的一塊，因?yàn)獒槍?duì)業(yè)務(wù)的威脅與破壞會(huì)導(dǎo)致業(yè)務(wù)的效果不達(dá)標(biāo)——這是和業(yè)務(wù)部門的業(yè)績(jī)直接掛鉤的。缺乏安全能力護(hù)航的業(yè)務(wù)，甚至可能成為黑灰產(chǎn)的“提款機(jī)”。業(yè)務(wù)安全是業(yè)務(wù)部門理論上面對(duì)安全態(tài)度最積極的一個(gè)領(lǐng)域，安全部門可以以此為契機(jī)拉近和業(yè)務(wù)部門的協(xié)作，從而推動(dòng)整體數(shù)字安全免疫力的建設(shè)。然而幾乎所有企業(yè)的安全部門對(duì)業(yè)務(wù)具體流程都知之甚少，繼而無(wú)法提前預(yù)知潛在風(fēng)險(xiǎn)，只能基于現(xiàn)有的安全能力和安全資源進(jìn)行防護(hù)。因此，安全團(tuán)隊(duì)需要和業(yè)務(wù)團(tuán)隊(duì)一起，了解業(yè)務(wù)的具體流程、業(yè)務(wù)成功的評(píng)估標(biāo)準(zhǔn)、需要重點(diǎn)防范的業(yè)務(wù)風(fēng)險(xiǎn)、現(xiàn)有的安全措施數(shù)字安全免疫力建設(shè)指南-22一些安全能力可以作為企業(yè)常駐的數(shù)字安全免疫力功能，包括人機(jī)識(shí)別、風(fēng)控引擎、內(nèi)容安全、業(yè)務(wù)安全合規(guī)等；另一些安全能力可以在特定業(yè)務(wù)場(chǎng)景通過外部力量協(xié)助，比如營(yíng)銷活動(dòng)中針對(duì)反黑灰產(chǎn)的額外安全服務(wù)等。工具建議相當(dāng)數(shù)量的企業(yè)不具備自己處理業(yè)務(wù)安全的能力。正如上文提到的，業(yè)務(wù)安全和傳統(tǒng)的純技術(shù)層面的攻防對(duì)抗存在不小的差異。這就要求安全團(tuán)隊(duì)必須同時(shí)具備業(yè)務(wù)的理解和敏感度，一般的安全團(tuán)隊(duì)是難以滿足這樣的要求的。對(duì)于大部分企業(yè)而言，業(yè)務(wù)安全方面的工作需要從外部獲取一定的協(xié)助。金融行業(yè)是業(yè)務(wù)風(fēng)險(xiǎn)控制的“重災(zāi)區(qū)”,因此其業(yè)務(wù)安全相比其他行業(yè)，是更為日常的高頻剛性需求。一定程度上，金融行業(yè)的“業(yè)務(wù)安全”很難將“業(yè)務(wù)”和“安全”完全剝離開。以金融行業(yè)的借貸場(chǎng)景為例，其業(yè)務(wù)風(fēng)險(xiǎn)可以劃分為“能力風(fēng)險(xiǎn)”和“欺詐風(fēng)險(xiǎn)”:能力風(fēng)險(xiǎn)是指借方本身由于各種原因可能無(wú)力償還貸款；而欺詐風(fēng)險(xiǎn)則是指借方通過偽造、欺騙等手段假裝有償還貸款的能力，從而騙取高額貸款。從原因上來看，“能力風(fēng)險(xiǎn)”可能更傾向于傳統(tǒng)的金融風(fēng)險(xiǎn)管理，即業(yè)務(wù)層面的風(fēng)險(xiǎn)，而“欺詐風(fēng)險(xiǎn)”則傾向于業(yè)務(wù)安全層面的風(fēng)險(xiǎn)；但是從日常應(yīng)用出發(fā)，企業(yè)需要的是能夠快速判斷綜合風(fēng)險(xiǎn)的產(chǎn)品，而不是“分類討論”風(fēng)險(xiǎn)來源。因此，金融行業(yè)，尤其是銀行業(yè)，一定會(huì)需要一個(gè)能夠綜合評(píng)判業(yè)務(wù)風(fēng)險(xiǎn)的風(fēng)控引擎。這一類日常使用的業(yè)務(wù)安全風(fēng)控引擎，面臨的最大挑戰(zhàn)是實(shí)時(shí)的對(duì)抗。傳統(tǒng)的風(fēng)控引擎是基于業(yè)務(wù)，以及用戶行為習(xí)慣變化不頻繁的情況下，可以通過策略來判斷業(yè)務(wù)風(fēng)險(xiǎn)。但是其在當(dāng)下業(yè)務(wù)快速迭代，同時(shí)用戶習(xí)慣和行為隨著社會(huì)環(huán)境變化而改變的情況下，企業(yè)需要轉(zhuǎn)變思路，用更為動(dòng)態(tài)的自適應(yīng)風(fēng)控模型來對(duì)抗，而不是依賴于相對(duì)固定的模型和規(guī)則。企業(yè)必須和業(yè)務(wù)安全的供應(yīng)商協(xié)同，結(jié)合企業(yè)的數(shù)據(jù)源積累、供應(yīng)商的平臺(tái)模型、配合雙方團(tuán)隊(duì)的分析能力，打造出基于業(yè)務(wù)理解的動(dòng)態(tài)模型。當(dāng)然，由于模型的對(duì)抗會(huì)更具有定制化的屬性，相比于傳統(tǒng)的規(guī)則對(duì)抗，成本也會(huì)更高，但是如果企業(yè)本身面臨較多的日常業(yè)務(wù)風(fēng)險(xiǎn)，風(fēng)控引擎是一筆必要的投入。指南——邊界安全與端點(diǎn)安全篇隨著云計(jì)算的發(fā)展，“邊界模糊化”甚至“無(wú)邊界”的說法從來沒有停止過。從網(wǎng)絡(luò)拓?fù)涞慕嵌葋砜矗@無(wú)疑是正確的：傳統(tǒng)的內(nèi)外網(wǎng)拓?fù)?，邊界涇渭分明；而到了云?jì)算環(huán)境中，公有云、混合云的出現(xiàn)，使得企業(yè)的內(nèi)外網(wǎng)分界越來越模糊。隨著數(shù)字化轉(zhuǎn)型的加速，云計(jì)算在越來越多企業(yè)被應(yīng)用是大勢(shì)所趨，因此“邊界模糊化”的問題會(huì)越來越嚴(yán)重。在這個(gè)大前提下，與其說繼續(xù)討論“邊界模糊化”的問題，不如重新思考“什么是邊界”。如果一定程度拋棄網(wǎng)絡(luò)拓?fù)淠Ｐ陀^念下的邊界，將邊界理解為企業(yè)IT環(huán)境“入口”的集合，這種概念層面的“邊界”或許會(huì)讓已經(jīng)模糊化的邊界更加抽象，但是從企業(yè)入手解決邊界安全的角度來看，卻能有一定的指導(dǎo)價(jià)值。比如隨著遠(yuǎn)程辦公、移動(dòng)辦公的興起，員工自身的計(jì)算機(jī)、移動(dòng)設(shè)備都有可能接入企業(yè)的內(nèi)網(wǎng)，而這些設(shè)備就成了進(jìn)入企業(yè)內(nèi)網(wǎng)的“入口”,也就是端點(diǎn)成為了企業(yè)的“新邊界”。類似情況，還包括了身份準(zhǔn)入——進(jìn)入企業(yè)的IT環(huán)境是需要身份的，而對(duì)于身份的鑒別，同樣可以構(gòu)成企業(yè)安全的新邊界。相較于模糊化的安全邊界，大部分企業(yè)已經(jīng)基于等保做了一定程度的端點(diǎn)安全加固：尤其是在PC這類傳統(tǒng)終端設(shè)備上。但是，隨著技術(shù)的發(fā)展和業(yè)務(wù)場(chǎng)景的拓展，端點(diǎn)環(huán)境開始出現(xiàn)異構(gòu)的特點(diǎn)，對(duì)于傳統(tǒng)單一類型終端的防護(hù)方式出現(xiàn)了不小的挑戰(zhàn)：不僅僅是企業(yè)中使用的計(jì)算機(jī)設(shè)備，員工自身的計(jì)算機(jī)和移動(dòng)設(shè)備、公司內(nèi)的一些物聯(lián)網(wǎng)設(shè)備、企業(yè)的云環(huán)境，都會(huì)為端點(diǎn)安全帶來新的挑戰(zhàn)。盡管在討論安全產(chǎn)品的時(shí)候，我們依然會(huì)將邊界安全產(chǎn)品和端點(diǎn)安全產(chǎn)品分開分析，但是在安全建設(shè)的時(shí)候，不妨試著將兩者相結(jié)合：端點(diǎn)本身承載了員工日常辦公和企業(yè)IT運(yùn)作的職能，同時(shí)又構(gòu)建成為了新安全邊界的一部分；而新的安全邊界則還包含了流量、身份等入口。任何一個(gè)單獨(dú)的存在都無(wú)法真正守護(hù)好企業(yè)的邊界，需要統(tǒng)一協(xié)同才能成為新的企業(yè)安全護(hù)城河——正如在XDR的體系中，無(wú)論是EDR還是NDR,都是不可或缺的。大部分企業(yè)已經(jīng)在傳統(tǒng)PC端的安全能力上有了一定的積累，無(wú)論是傳統(tǒng)的反病毒，還是針對(duì)過去幾年比較盛行的勒索病毒進(jìn)行一定程度的應(yīng)對(duì)，甚至對(duì)傳統(tǒng)PC端進(jìn)行統(tǒng)一管理的層面，都具備相關(guān)的安全產(chǎn)品。下一步在PC端上要解決的風(fēng)險(xiǎn)，一方面是能否應(yīng)對(duì)未知風(fēng)險(xiǎn)，比如APT攻擊，另一方面是如果有移動(dòng)辦公需求，如何滿足員工遠(yuǎn)程使用自己設(shè)備接入企業(yè)內(nèi)部系統(tǒng)和信息的威脅。安全團(tuán)隊(duì)需要在這兩個(gè)方面衡量如何提升當(dāng)前而在異構(gòu)結(jié)構(gòu)角度，云安全是企業(yè)在未來一兩年內(nèi)都需要開始考慮的問題。無(wú)論是私有云，還是公有云，在安全層面都有其優(yōu)劣：私有云需要企業(yè)更高的技術(shù)能力去運(yùn)維，但是也更明確了責(zé)任方，企業(yè)能夠更為自由地選擇安全解決方案；公有云成本更低，同時(shí)供應(yīng)商也需要承擔(dān)一部分的責(zé)任，但是相對(duì)而言，企業(yè)可能會(huì)在解決方案的采用上面臨一些困難，同時(shí)也會(huì)有企業(yè)依然對(duì)公有云本身的安全性存在顧慮。同理，混合云、行業(yè)云等也會(huì)有類似的問題出現(xiàn)。還未上云的企業(yè)的安全部門應(yīng)當(dāng)提前對(duì)云安全進(jìn)行規(guī)劃，而已經(jīng)上云的企業(yè)則需要持續(xù)關(guān)注當(dāng)前自身云環(huán)境的安全態(tài)勢(shì)。這些對(duì)云安全的把控，不僅僅有助于打造更為安全的云計(jì)算環(huán)境，同時(shí)也增強(qiáng)了安全新邊界的強(qiáng)度。另外，移動(dòng)安全也可以成為安全團(tuán)隊(duì)提前關(guān)注的方向，這很有可能成為企業(yè)IT的下一在傳統(tǒng)邊界安全層面，防火墻已經(jīng)幾乎是所有企業(yè)的安全標(biāo)配產(chǎn)品，從傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)來看，防火墻已經(jīng)能承擔(dān)不少的邊界防護(hù)工作。但是，隨著攻擊的模式日益豐富，單單靠防火墻可能都無(wú)法對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全拓?fù)溥M(jìn)行保護(hù)。所以，即使是在傳統(tǒng)的安全拓?fù)湎?，企業(yè)依然要先評(píng)估當(dāng)前防火墻效果的局限性，從而計(jì)劃進(jìn)一步加強(qiáng)邊界的防護(hù)效果。企業(yè)對(duì)待邊界安全和端點(diǎn)安全的態(tài)度需要一個(gè)轉(zhuǎn)變：邊界的模糊化帶來的不僅僅是一個(gè)更加延展的邊界，同時(shí)也是一個(gè)更為動(dòng)態(tài)的邊界；因此，邊界安全不能再以靜態(tài)的思維去固守一道長(zhǎng)城，而是需要綜合各種因素來判斷—有哪些入口?誰(shuí)會(huì)用那些入口?這些入口會(huì)有什么風(fēng)險(xiǎn)?而端點(diǎn)的復(fù)雜化又會(huì)給自己的邊界帶來什么樣的變化?首選工具端點(diǎn)檢測(cè)與響應(yīng)(EndpointDetectionandResponse,EDR)能夠?qū)ζ髽I(yè)端點(diǎn)，尤其是電腦端進(jìn)行安全檢測(cè)以及響應(yīng)處置和溯源分析的安全產(chǎn)品。EDR在EPP(EndpointPro-tectionPlatform,端點(diǎn)防護(hù)平臺(tái))對(duì)端點(diǎn)能夠進(jìn)行統(tǒng)一管理的基礎(chǔ)上，同時(shí)增加了對(duì)未知威脅的檢測(cè)和響應(yīng)。在人工智能必然會(huì)被用于攻擊行為的情況下，企業(yè)面臨未知攻擊的概率將極大提升，基于規(guī)則庫(kù)、病毒庫(kù)的終端防護(hù)能力肯定是無(wú)法完全防護(hù)的。終端安全一定會(huì)需要EDR來彌補(bǔ)基于人工智能的攻擊行為。近年來提出的XDR觀念，同樣是基于EDR單個(gè)產(chǎn)品能力不足的原因。但是，這并不意味著企業(yè)可以忽視EDR的使用。恰恰相反，XDR是基于EDR已有的能力而構(gòu)建的解決方案，EDR在其中擔(dān)任著對(duì)終端安全舉足輕重的意義。企業(yè)如果沒有EDR的能力，是很難真正建設(shè)完整的XDR或者相關(guān)安全運(yùn)營(yíng)體系。云工作負(fù)載保護(hù)平臺(tái)(CloudWorkloadProtectionPlatform)針對(duì)虛擬機(jī)和容器設(shè)置安全防護(hù)，兼具端點(diǎn)安全和便捷安全防護(hù)的屬性。目前，CWPP已經(jīng)細(xì)分出十余種產(chǎn)品形態(tài)，功能十分豐富。在當(dāng)前從單云到多云、混合云演進(jìn)的采購(gòu)策略下，如何面對(duì)業(yè)務(wù)橫跨多個(gè)公有云平臺(tái)，或是在混合云的情況下，保持安全的均衡、一致，是一個(gè)突出的挑戰(zhàn)。其風(fēng)險(xiǎn)不僅在于不同業(yè)務(wù)面臨不均衡的安全防御，更在于安全不均衡所帶來的敞口放大，可能會(huì)使整個(gè)云上安全策略崩塌。應(yīng)用CWPP,可以通過資產(chǎn)管理、系統(tǒng)加固、配置和漏洞管理，從企業(yè)自身云上資產(chǎn)出發(fā)，前置化地解決潛在風(fēng)險(xiǎn)，從而進(jìn)一步與EDR相配合，完成事前-事中-事后的全面響應(yīng)能力。流量檢測(cè)與響應(yīng)(NetworkDetectionandResponse,NDR)能夠?qū)W(wǎng)絡(luò)流量進(jìn)行檢測(cè)，并且發(fā)現(xiàn)異常行為的產(chǎn)品。NDR的優(yōu)勢(shì)在于能夠在流量入口處對(duì)流量進(jìn)行深入分析，從而基于上下文發(fā)現(xiàn)潛在的攻擊。相比較于防火墻，NDR能夠在其原有的防護(hù)和過濾基礎(chǔ)上，進(jìn)一步進(jìn)行分析；同時(shí)由于NDR一般都以旁路模式進(jìn)行部署，對(duì)業(yè)務(wù)幾乎不會(huì)有影響，能夠極大程度地滿足“業(yè)務(wù)優(yōu)先”的數(shù)字安全免疫力建設(shè)需求。同時(shí)，在流量出入口部署的NDR還能夠?qū)袈窂竭M(jìn)行追溯和復(fù)現(xiàn)，實(shí)現(xiàn)主動(dòng)防御的效果。另一方面，NDR的輕量化部署也不會(huì)給企業(yè)的安全預(yù)算增加太多負(fù)擔(dān)。當(dāng)然，NDR當(dāng)前也存在一些劣勢(shì)，比如越來越多的攻擊會(huì)使用加密流量，這無(wú)疑對(duì)NDR的分析能力而言增加了更多的挑戰(zhàn)。另外，NDR作為單獨(dú)產(chǎn)品也僅僅只能針對(duì)邊界上的流量進(jìn)行檢測(cè)，并不能進(jìn)行完整的防護(hù)，因此也需要其他產(chǎn)品協(xié)同，才能應(yīng)對(duì)更多、更復(fù)雜的攻擊事件。安全服務(wù)邊緣(SecurityServiceEdge,SSE)脫胎于SASE(SecureAccessServiceEdge,安全訪問服務(wù)邊緣),可以理解為不具備SD-WAN能力的SASE。SSE主要由三部分組成：SWG(SecureWebGate,安全網(wǎng)關(guān))、CASB(CloudAccessSecurityBroker,云訪問安全代理)、ZTNA(ZeroTrustNetworkAccess,零信任網(wǎng)絡(luò)訪問),從傳統(tǒng)的流量入口、SaaS入口、私有應(yīng)用訪問入口等進(jìn)行安全管理和防護(hù)。正如前文所提到的，新的安全邊界不應(yīng)理解為單純的一堵墻或者一道門，而是一系列入口的集合，相對(duì)應(yīng)的新的安全邊界解決方案也應(yīng)該不再拘泥于單一的安全產(chǎn)品，而是各個(gè)相關(guān)入口的安全產(chǎn)品的集合。SSE的建設(shè)是需要一定的時(shí)間以及IT基礎(chǔ)的，因此可以當(dāng)企業(yè)的IT以及安全能力到達(dá)一定成熟度的時(shí)候，再考慮進(jìn)行。由于不少企業(yè)的IT規(guī)劃中，暫時(shí)不需要建設(shè)SD-WAN,因此會(huì)采用SSE的解決方案，而對(duì)于那些決定使用SD-WAN技術(shù)的企業(yè)，則會(huì)進(jìn)行SASE的安全瀏覽器安全瀏覽器并不是一個(gè)新的領(lǐng)域，但是過去兩年在國(guó)外得到了極大的關(guān)注。安全瀏覽器的出現(xiàn)也是順應(yīng)了數(shù)字化轉(zhuǎn)型下，企業(yè)IT環(huán)境的變化。傳統(tǒng)IT辦公環(huán)境下，大量的應(yīng)用程序都是使用者在計(jì)算機(jī)本地進(jìn)行操作的；但是，隨著SaaS使用的普及，越來越多的辦公場(chǎng)景需要通過在線應(yīng)用實(shí)現(xiàn)，而瀏覽器則成為了新辦公場(chǎng)景的入口。事實(shí)上，瀏覽器辦公由來已久。無(wú)論是郵件的收發(fā)，還是OA系統(tǒng)，甚至是一些在線會(huì)議的場(chǎng)景，都離不開瀏覽器的支持。而在員工更為頻繁地通過SaaS應(yīng)用進(jìn)行辦公的前提下，讓瀏覽器成為員工訪問企業(yè)IT資源的唯一入口，無(wú)疑能夠極大地控制風(fēng)險(xiǎn)的源頭。一款合格的安全瀏覽器產(chǎn)品，不僅能夠防止用戶端的異常行為，在入口處防止攻擊，同時(shí)也能夠?qū)γ舾袛?shù)據(jù)的傳輸、瀏覽、使用進(jìn)行一定的防護(hù)。不過，安全瀏覽器當(dāng)前的落地場(chǎng)景可能更多還是在工作內(nèi)容相對(duì)單一的企業(yè)內(nèi)部—因?yàn)闉g覽器本身不需要具備太多功能。但是，安全瀏覽器真正能夠落地的場(chǎng)景，應(yīng)該是各個(gè)員工都可以通過一個(gè)瀏覽器入口，使用幾乎所有日常工作所需要涉及的軟件、系統(tǒng)的時(shí)候——而這個(gè)前提本身也是對(duì)企業(yè)的數(shù)字化建設(shè)，有一定的要求。云原生應(yīng)用保護(hù)平臺(tái)(CloudNativeApplicationProtectionPlatform,CNAPP)結(jié)合了CWPP和CSPM(CloudSecurityPostureManagement,云安全態(tài)勢(shì)管理),能夠?yàn)槠髽I(yè)的云端提供一個(gè)全方面的防護(hù)，包括CI/CD的管理、云配置安全、云身份安全、云端數(shù)據(jù)安全等。CNAPP作為云安全的中心管控平臺(tái)，也允許用戶自由搭配相關(guān)的安全工具，減少對(duì)當(dāng)前企業(yè)不必要的安全產(chǎn)品，或者增加必須滿足的額外安全能力。考慮到這一點(diǎn)，CNAPP的使用也要求企業(yè)對(duì)自己的云計(jì)算和云安全有更為成熟的建設(shè)。指南——應(yīng)用開發(fā)安全篇對(duì)于大部分有在線業(yè)務(wù)的企業(yè)而言，應(yīng)用可以說是企業(yè)業(yè)務(wù)的“門面”應(yīng)用是客戶和企業(yè)業(yè)務(wù)系統(tǒng)進(jìn)行交互的入口，也是企業(yè)打造數(shù)字安全免疫力的前沿陣線。但是，在傳統(tǒng)的應(yīng)用開發(fā)安全中，負(fù)責(zé)開發(fā)的IT團(tuán)隊(duì)和安全團(tuán)隊(duì)之間往往是割裂的存在：相較于業(yè)務(wù)安全當(dāng)中，安全能夠相對(duì)直觀地幫助業(yè)務(wù)規(guī)避大量的風(fēng)險(xiǎn)，保障業(yè)務(wù)的順利開展，在應(yīng)用開發(fā)安全中，安全團(tuán)隊(duì)的工作往往會(huì)被IT團(tuán)隊(duì)認(rèn)為是“拖后腿”的行為，是阻礙開發(fā)進(jìn)程的“攔路虎”。在數(shù)字安全免疫力倡導(dǎo)的應(yīng)用開發(fā)安全建設(shè)中，我們需要將免疫的能力植入到開發(fā)團(tuán)隊(duì)當(dāng)中，而不是總通過安全部門來應(yīng)對(duì)——免疫系統(tǒng)難免會(huì)因?yàn)閷?duì)抗風(fēng)險(xiǎn)導(dǎo)致本體的損傷；但是如果本體本身就足夠強(qiáng)壯，不容易出現(xiàn)風(fēng)險(xiǎn)，那自然免疫系統(tǒng)就會(huì)更少地介入?；谶@個(gè)方向，數(shù)字安全免疫力的應(yīng)用開發(fā)安全建設(shè)，可以從以下方面入手。建設(shè)意見無(wú)論當(dāng)前企業(yè)在使用何種開發(fā)模式，安全團(tuán)隊(duì)都需要先了解當(dāng)前開發(fā)團(tuán)隊(duì)的開發(fā)流程，包括當(dāng)前的技術(shù)工具、開發(fā)效率、除安全以外的問題等——是的，開發(fā)團(tuán)隊(duì)往往已經(jīng)因?yàn)槠浔旧泶嬖诘囊恍﹩栴}導(dǎo)致他們深陷泥潭，如果安全再給他們?cè)黾右坏?，甚至多道額外的難題，那只會(huì)導(dǎo)致安全效果的下降。應(yīng)用開發(fā)的安全建設(shè)需要避開開發(fā)團(tuán)隊(duì)的“逆鱗”,所以從這個(gè)角度來看，應(yīng)用開發(fā)的安全建設(shè)也不應(yīng)當(dāng)是快速地堆砌大量的應(yīng)用安全產(chǎn)品，因?yàn)槟浅私o開發(fā)團(tuán)隊(duì)添堵之外，可能并不能真正解決安全問題。明確開發(fā)團(tuán)隊(duì)當(dāng)前的困難后，應(yīng)用開發(fā)安全的建設(shè)需要結(jié)合當(dāng)前應(yīng)用的主要風(fēng)險(xiǎn)點(diǎn)，進(jìn)行安全工具的部署和使用。如果已經(jīng)有相關(guān)的安全工具了，那依然需要和開發(fā)團(tuán)隊(duì)溝通，評(píng)估當(dāng)前安全工具的使用效果，以及需要馬上改進(jìn)的地方。最終，需要讓開發(fā)團(tuán)隊(duì)有能力最低限度地使用相關(guān)安全工具。安全團(tuán)隊(duì)也需要潛移默化地改變開發(fā)團(tuán)隊(duì)一些固有的思維。開發(fā)團(tuán)隊(duì)考慮的是應(yīng)用是否能夠正常運(yùn)行，從而承載業(yè)務(wù)的正常運(yùn)作，因此開發(fā)團(tuán)隊(duì)考慮的重點(diǎn)是“功能正?！?但是安全團(tuán)隊(duì)考慮的是非常規(guī)操作是否會(huì)引發(fā)額外的風(fēng)險(xiǎn)，包括但不局限于數(shù)據(jù)泄露、內(nèi)部入侵、功能濫用等后果，哪怕表面上應(yīng)用仍然“功能正常”。這個(gè)情況下，安全團(tuán)隊(duì)需要做的，不是單純地證明“應(yīng)用存在漏洞”,而是需要通過反復(fù)證明“安全漏洞導(dǎo)致應(yīng)用的功能異?！被蚰暵┒疵媾R的巨大成本，逐步讓開發(fā)團(tuán)隊(duì)理解安全漏洞的危害性，從意識(shí)上開始重視安全漏洞。當(dāng)然，如有可能，相關(guān)的漏洞責(zé)任歸屬機(jī)制也需要建立，從組織上形成安全敏感度，提升數(shù)字安全免疫的效果。無(wú)論是相對(duì)傳統(tǒng)的SDLC,還是DevOps體系，如果企業(yè)希望將數(shù)字安全免疫力融入到自身的應(yīng)用開發(fā)過程中，這一部分都是值得去實(shí)踐的。在流程和組織的基礎(chǔ)上，安全工具的使用就顯得非常重要：如果安全工具的使用效果和使用體驗(yàn)不佳，就會(huì)使得安全工具成為另一種“影子IT”,甚至破壞開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)之間千辛萬(wàn)苦建立的良好關(guān)系。首選工具靜態(tài)應(yīng)用安全測(cè)試(StaticApplicationSecurityTesting,SAST)是直接針對(duì)源碼進(jìn)行自動(dòng)化安全測(cè)試的工具，因此又稱白盒測(cè)試。SAST是數(shù)字安全免疫力在應(yīng)用開發(fā)安全部分建設(shè)時(shí)，部署優(yōu)先級(jí)最高的核心安全工具。SAST由于其覆蓋面廣，對(duì)整個(gè)應(yīng)用的代碼進(jìn)行測(cè)試，因此在理論上可以發(fā)現(xiàn)整個(gè)應(yīng)用中的代碼層漏洞，進(jìn)而對(duì)整個(gè)應(yīng)用進(jìn)行安全修復(fù)。AST工具很重要的一個(gè)特性在于“自動(dòng)化”,考慮到當(dāng)前的代碼規(guī)模，依賴人工檢測(cè)既不經(jīng)濟(jì)，也不高效，因此自動(dòng)化是SAST,甚至所有應(yīng)用開發(fā)安全產(chǎn)品的必備屬性。但是，由于SAST是一款有相當(dāng)歷史的安全工具，其基礎(chǔ)架構(gòu)已經(jīng)沿用多年，已經(jīng)越來越難以跟上當(dāng)前開發(fā)的需求，從而存在著高誤報(bào)的問題。因此，SAST產(chǎn)品的演化方向也必然是向著從底層引擎開始重新構(gòu)建。SAST的另一個(gè)潛在需求點(diǎn)，在于SAST的檢測(cè)速度。雖然對(duì)于傳統(tǒng)的SDLC而言，SAST的檢測(cè)速度能夠在一定程度上，通過流程來彌補(bǔ)，因此對(duì)于速度的要求并不那么強(qiáng)烈，但是隨著越來越多的企業(yè)進(jìn)行DevOps建設(shè)，在此之上的DevSecOps建設(shè)則對(duì)SAST的檢測(cè)速度提出了挑戰(zhàn)。SAST需要能夠柔性地嵌入CI/CD流水線進(jìn)行自動(dòng)化操作，因此不能使SAST成為開發(fā)效率的瓶頸。即使當(dāng)前并未應(yīng)用DevSecOps,如果未來有相關(guān)規(guī)劃：企業(yè)也應(yīng)該提前準(zhǔn)備。軟件成分分析(SoftwareCompositionAnalysis,SCA)是近年來特別熱門的安全產(chǎn)品之一，尤其是在Log4j漏洞爆發(fā)后，許多企業(yè)都開始關(guān)注軟件供應(yīng)鏈安全層面的問題。SCA的主要價(jià)值，在于幫助企業(yè)弄清自己環(huán)境中所使用的軟件到底有哪些組件組成，無(wú)論是企業(yè)內(nèi)部開發(fā)的軟件，還是外部的供應(yīng)商軟件；在厘清自身環(huán)境中的軟件組成部分的基礎(chǔ)上，能夠追蹤潛在的風(fēng)險(xiǎn)，包括組件中的漏洞，以及一些許可證的使用問題等。尤其當(dāng)Oday漏洞爆發(fā)時(shí)，企業(yè)可以通過創(chuàng)建的軟件物料清單(SoftwareBillofMaterial,SBOM)來判斷自己環(huán)境中是否存在受影響組件，以及組件位置；有依賴性管理功能的SCA還能分析相關(guān)組件的影響面，從而幫助企業(yè)分析0day漏洞對(duì)自身業(yè)務(wù)的嚴(yán)重性以及具體涉及的業(yè)務(wù)、系統(tǒng)、功能。SCA本質(zhì)上依然是應(yīng)用開發(fā)安全目標(biāo)實(shí)現(xiàn)的工具，所以雖然在當(dāng)前的應(yīng)用開發(fā)安全中是關(guān)鍵工具，但是依然需要基于企業(yè)的需求來選擇。企業(yè)需要首先完善自己的第三方軟件成分的管理機(jī)制，比如自身開發(fā)中對(duì)開源組件的引入規(guī)范，包括開源組件的來源控制等，以及對(duì)于第三方供應(yīng)商的SBOM要求等。在這些基礎(chǔ)上，企業(yè)梳理出自身對(duì)SCA產(chǎn)品的核心需求，從而選購(gòu)合適的SCA產(chǎn)品。數(shù)字安全免疫力建設(shè)指南-31由于當(dāng)前軟件供應(yīng)鏈本身并沒有形成行業(yè)范圍內(nèi)的規(guī)范化管理，因此絕大部分的第三方軟件供應(yīng)商都不會(huì)提供自己產(chǎn)品中的SBOM,而這就對(duì)需要建立自身數(shù)字安全免疫力的企業(yè)帶來了一定的挑戰(zhàn)。這個(gè)情況下，通過二進(jìn)制文件進(jìn)行組件分析的功能就顯得尤其重要，企業(yè)能夠自己通過SCA對(duì)軟件供應(yīng)商的產(chǎn)品進(jìn)行檢測(cè)，從而盡可能防止因第三方供應(yīng)商漏洞導(dǎo)致的“暗箭傷人”。即使在未來，第三方供應(yīng)商開始提供SBOM材料，二進(jìn)制的SCA依然可以基于SBOM進(jìn)行驗(yàn)證。因此，SCA中的二進(jìn)制檢測(cè)功能，從長(zhǎng)遠(yuǎn)來看，是值得關(guān)注的。但是，同樣需要意識(shí)到的是，無(wú)論是國(guó)內(nèi)，還是國(guó)外，SCA二進(jìn)制檢測(cè)的功能依然是在逐漸成熟的，其效果需要時(shí)間來逐步優(yōu)化。另一方面，盡管大部分企業(yè)依然很難接受云部署的策略，但是從當(dāng)前來看，本地部署的檢測(cè)通過云端知識(shí)庫(kù)進(jìn)行協(xié)同，是能夠最快獲取最新漏洞信息的手段。對(duì)于追求高效的DevSecOps環(huán)境而言，在深入分析相關(guān)的風(fēng)險(xiǎn)后，選擇SaaS化的云端知識(shí)庫(kù)作為支持，也不失為一個(gè)不錯(cuò)的選擇。補(bǔ)充工具動(dòng)態(tài)應(yīng)用安全測(cè)試(DynamicApplicationSecurityTesting,DAST)則是從外部視角對(duì)Web應(yīng)用進(jìn)行測(cè)試的安全工具。由于其使用對(duì)應(yīng)用本身的內(nèi)部結(jié)構(gòu)幾乎沒有任何信息，因此又被稱為“黑盒測(cè)試”。DAST同樣是一款存在時(shí)間較長(zhǎng)的應(yīng)用開發(fā)安全工具，其特點(diǎn)是能夠從外部的攻擊者視角進(jìn)行測(cè)試。當(dāng)然，其缺點(diǎn)也很明顯：首先是測(cè)試的漏洞范圍有限，往往是已知的特定類型漏洞；其次，是相當(dāng)依賴有安全能力的人員進(jìn)行，自動(dòng)化能力較弱，同時(shí)需要安全人因此，DAST的建設(shè)的優(yōu)先級(jí)相對(duì)可以降低，甚至對(duì)于一些安全人員不足的企業(yè)，可以采用外部安全測(cè)試服務(wù)，或者漏洞懸賞等方式進(jìn)行外包。交互式應(yīng)用安全測(cè)試(InteractiveApplicationSecurityTesting,IAST)通過觀測(cè)運(yùn)行時(shí)的應(yīng)用行為，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。數(shù)字安全免疫力建設(shè)指南-32IAST一定程度上兼具SAST和DAST的優(yōu)勢(shì)，能夠高效集成進(jìn)CI/CD管道，同時(shí)在發(fā)現(xiàn)安全漏洞的效果方面也較為不錯(cuò)。但是，IAST的使用本身會(huì)對(duì)使用者產(chǎn)生一定的要求，同時(shí)會(huì)基于不同業(yè)務(wù)產(chǎn)生不少定制化需求，落地成本較高。對(duì)于大型企業(yè)而言，在企業(yè)內(nèi)大規(guī)模落地難度較高，因此當(dāng)前的部署優(yōu)先級(jí)則相對(duì)靠后。模糊測(cè)試(FuzzTesting/Fuzzing)是讓軟件去運(yùn)行無(wú)效、異?；蛘叻浅Ｒ?guī)的輸入，來檢測(cè)軟件是否存在問題。從功能測(cè)試的角度，F(xiàn)uzzing其實(shí)已經(jīng)被不少開發(fā)人員所接受。但是，如何在現(xiàn)有功能測(cè)試的Fuzzing之上，融入安全測(cè)試，這對(duì)企業(yè)而言會(huì)是一項(xiàng)挑戰(zhàn)。當(dāng)然，這一過程同樣是將數(shù)字安全免疫力融入企業(yè)的過程，需要提升開發(fā)人員的安全意識(shí)和安全能力。不過，F(xiàn)uzzing的使用很大程度上也依賴于產(chǎn)品的成熟度和使用者的水平，因此其建設(shè)和效果的顯現(xiàn)也并非是短期內(nèi)能看到的，優(yōu)先級(jí)會(huì)相對(duì)靠后。指南——安全運(yùn)營(yíng)管理篇數(shù)字安全免疫力的建設(shè)不應(yīng)該將不同領(lǐng)域的安全部署相互切割獨(dú)立，而是需要將其統(tǒng)一、聯(lián)動(dòng)起來。這一過程中，涉及到的不僅僅有技術(shù)、產(chǎn)品的要素，同樣還有人才的要素—而這，正是許多企業(yè)所急缺的。沒有人使用的安全產(chǎn)品，在目前人工智能尚未完全成熟的情況下，依然只是一堆器械和程序，需要專業(yè)的人才真正體現(xiàn)其價(jià)值。安全運(yùn)營(yíng)管理在數(shù)字安全免疫力建設(shè)中，擔(dān)任著“串聯(lián)”不同安全領(lǐng)域的重要責(zé)任：作為“中心指揮部”,運(yùn)行邊界安全、端點(diǎn)安全和應(yīng)用安全組成的外層防御，實(shí)現(xiàn)守護(hù)企業(yè)核心的數(shù)據(jù)安全和業(yè)務(wù)安全。安全運(yùn)營(yíng)是一個(gè)非常復(fù)雜的話題，所以導(dǎo)致安全運(yùn)營(yíng)效果不佳的因素也相當(dāng)繁多，甚至很多時(shí)候相互之間都缺乏關(guān)聯(lián)。在面臨安全運(yùn)營(yíng)管理建設(shè)問題的時(shí)候，安全負(fù)責(zé)人可以先整理一份自己的問題清單，從而確認(rèn)自己當(dāng)前安全運(yùn)營(yíng)失敗的原因在哪里，比如：·安全人才缺乏：幾乎每個(gè)企業(yè)都認(rèn)為自己安全人才匱乏，但是安全人才的匱乏有兩種可能：一種是安全工作本身太多，安全人員數(shù)量不夠當(dāng)然，數(shù)量不夠也可能是因?yàn)榘踩a(chǎn)品能力不足，需要人力去彌補(bǔ)；另一種可能則是缺乏一些關(guān)鍵的安全技能，比如特定場(chǎng)景的漏洞挖掘、應(yīng)急事件的響應(yīng)能力等?！ぐ踩a(chǎn)品協(xié)同不足：企業(yè)往往會(huì)用多家安全供應(yīng)商的產(chǎn)品，但是單獨(dú)的安全產(chǎn)品效果往往是有限的，安全產(chǎn)品協(xié)同才能形成價(jià)值。當(dāng)安全產(chǎn)品協(xié)同出現(xiàn)問題的時(shí)候，需要考慮是有安全產(chǎn)品無(wú)法集成，還是某些安全產(chǎn)品本身安全效果就有所不足。·無(wú)法及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)：如果企業(yè)會(huì)對(duì)突如其來的風(fēng)險(xiǎn)手足無(wú)措，那很可能這些問題并不在之前的預(yù)料之中。這個(gè)原因可能是企業(yè)原本就缺乏對(duì)自己當(dāng)前IT資產(chǎn)的認(rèn)知，也可能是無(wú)法快速捕捉到外部變化的威脅信息。此外，安全運(yùn)營(yíng)管理具有極強(qiáng)的擴(kuò)展性和兼容性，非常適合作為企業(yè)整體統(tǒng)一的安全管理中樞，再在其上構(gòu)建更多的擴(kuò)展安全能力。例如，威脅情報(bào)包括攻擊者的動(dòng)向、攻擊手段、攻擊資產(chǎn)以及如何與防守者相結(jié)合、梳理攻擊面，建立有效的防護(hù)閉環(huán)等。從乙方視角來看，希望通過場(chǎng)景化建立統(tǒng)一性，通過場(chǎng)景上的引導(dǎo)形成具體的解決方案，進(jìn)而實(shí)現(xiàn)輕量化部署。在SOC基礎(chǔ)上嵌連威脅情報(bào)能力，能夠?qū)崿F(xiàn)“威脅不出邊界”。而進(jìn)一步集成NDR/MDR等擴(kuò)展組合應(yīng)用，能夠進(jìn)一步加強(qiáng)產(chǎn)品服務(wù)的深度協(xié)同，基于企業(yè)的特性提供精準(zhǔn)或柔性的擴(kuò)展安全組合。數(shù)字安全免疫力建設(shè)指南-34首選工具企業(yè)將大量安全產(chǎn)品集成的需求是必然的趨勢(shì)，不僅僅是為了便于管理不同的安全產(chǎn)品，同樣也是為了打破安全孤島的問題：以一個(gè)統(tǒng)一集成的平臺(tái)處理各個(gè)安全產(chǎn)品來源的信息，并進(jìn)行分析，從而發(fā)現(xiàn)真正對(duì)企業(yè)有價(jià)值的風(fēng)險(xiǎn)信息，然后采取措施。以SOC為基礎(chǔ)的統(tǒng)一安全管理平臺(tái)經(jīng)常產(chǎn)生大量的誤報(bào)，導(dǎo)致安全人員無(wú)法有效處理真正有價(jià)值的告警。誤報(bào)率高一方面確實(shí)是SOC平臺(tái)的問題：SOC平臺(tái)不應(yīng)該只是單純的產(chǎn)品集成平臺(tái)，SOC平臺(tái)本身應(yīng)該具備非常強(qiáng)大的分析引擎，從而能從大量的安全信息、系統(tǒng)信息中梳理出有價(jià)值的風(fēng)險(xiǎn)信息，并且基于預(yù)備的策略提供響應(yīng)和處置的建議。當(dāng)然，另一方面，集成的安全產(chǎn)品的能力也是誤報(bào)高的另一大因素：如果相關(guān)位置的安全產(chǎn)品僅僅起到一個(gè)數(shù)據(jù)采集的作用，就會(huì)對(duì)SOC平臺(tái)帶來極大的分析壓力，或者更直接地來看，如果其他安全產(chǎn)品的誤報(bào)率高，也很難降低SOC平臺(tái)的誤報(bào)率。因此，安全產(chǎn)品的能力和SOC平臺(tái)本身的分析能力都是安全運(yùn)營(yíng)管理成功的重要因素。以XDR為例，EDR、NDR以及其他安全產(chǎn)品都能提供相當(dāng)豐富的威脅信息，但由于其單點(diǎn)產(chǎn)品的局限性，只能有限呈現(xiàn)出威脅信息的價(jià)值；而SOC平臺(tái)則能將這些安全產(chǎn)品提供的真正有價(jià)值的信息進(jìn)一步關(guān)聯(lián)分析，呈現(xiàn)出完整的威脅視圖，實(shí)現(xiàn)XDR的價(jià)值。生物免疫系統(tǒng)如果能夠基于外界的額外信息進(jìn)行