一语中的丨高对抗重实战攻防视角下，企业安全运营到底该怎么做？

---

 

从2016年**部第一次举办正式的攻防演练行动已经经过了六个年头，作为国家应对网络安全问题所做的重要布局之一，攻防演练行动也在这几年的开展过程中得到了长足的发展，逐渐演变成现在的高对抗、重实战、常态化的安全活动。也正是随着防演练行动的不断演变，攻防双方的不断碰撞，各个企业开始发现自身网络安全建设中的不足，谋求新时代下的网络安全建设新模式。

实战对抗过程中的企业的最外围防线往往是安全设备，通过安全设备处理大批量的攻击流量并进行自动化阻断往往是网络防守中的基础工作，缺少了安全设备的基础防线去谈攻防工作本身就是不切实际的。同时，在传统的企业安全建设过程中，往往趋向于建立以多重堆叠的安全防护设备构成多道安全防线的纵深防御体系，使得即使是某一道安全防线失效也能被其他防线弥补纠正，即通过增添多维度的安全防护设备加固基础防线或者将各层漏洞错开防御降低差错发生的方式进行基础化纵深防御建设。

然而以攻防实战的视角来看，往往攻击者的手段呈现手段复杂化、武器先进化、数据收集的多元化趋势，单纯的依靠安全设备防线想要完成在攻防实战等重压环境下的网络安全工作是十分困难的。这就要求我们需要采用智能化、先进化的安全架构，从预测与发现、监测与分析、防御与控制、响应与管理四个维度互相支撑，互相转化，真正形成可持续的安全运营体系。结合安全专家人工定制化服务的特色，将防御、检测、响应、预测适应于客户不同业务不同系统的运行模式，并且进行不断的优化，不断的自我调整来适应多变、新型的网络攻击手段。与此同时企业内部需要引进实战化攻击对抗的新模式。一方面可以锻炼自身信息安全团队在实际的防演练行动等攻击场景中的技战术水平与对抗能力，另一方面可以有效的自我摸排现有安全体系是否可以支撑常态化攻防实战场景的需要，找出差距提高企业的整体安全运营能力。

具体来看，从安全策略和安全设备、安全服务、实训演练三个方面展开企业安全运营思路。

智能化、先进化的安全架构，需要一种体系化的安全策略建设思路。此前，山石网科曾就可持续安全运营理念展开探讨过，一个是基于“PPDR”模型，做到持续的监控和动态的调整。这实际上是需要建立一个常态化的机制，这就相当于战备状态拉长，可以迅速缩短战时。另一个则是做好一个战略（以业务为导向来设计）和五个维度（工具、团队、管理、时间、资源）。在此之下，用可持续的安全运营体系，解决我们多重堆叠的安全设备构成的防御体系在应对攻防实战重压环境下，多元且灵活的攻击手段带来的风险。

 

 

 

辅助于我们下文和后续会谈到的，在实际攻防环境下，云安全产品、边界安全产品、安全运营产品、数据安全产品操作指南和使用策略，以思想和产品结合，多维一体的应对攻防问题。

 

 

当然，我们也看到，很多企业在真正的攻防实际较量上，缺乏安全意识，安全设备的调度，员工的培训，更多是的自上而下的体系化作战思路。目前来看，很多安全服务可以提供这样的需求。山石网科全生命周期安全保障方案，从保障前期的资产梳理、风险评估、安全加固、应急演练，到重保期间的实时监控、应急处置，山石网科均能提供贴合客户现状的完整解决方案，确保客户在重要敏感时期的网络安全。

在很多场景下，安全服务很容易落成具体且分散的工作类别，比如软件版本漏洞月度检查、软件逻辑漏洞年度检查、业务系统风险评估、单次蜜罐蜜网构建等。但实际上，如果需要在应急保障阶段做到有序应战，安全服务也应该从业务逻辑出发，做体系化，个性化的配备。

要实现以上两方面的举措，还需要企业内部引进实战化的攻击对抗演练。在攻防实战中，可以分为重复性工作比如，告警系统巡检、安全防护软件和硬件巡检等，另外还有一部分可划为一次性工作，比如情报共享、人员保障、现场保护、攻击溯源、优化加固、争议处置、人员值守等。重复性工作在日常或者解决方案上已经相对成熟，而一次性工作，必须要靠实际的攻防对抗来练兵。从人员保障和人员值守来看，很多企业在攻防前期是可以做一个初步的规划，但是随着实际的攻防对抗情况，攻击手段的变化，人员调配在迎战过程中会发生各种各样的变化，这必须要通过实战来练兵。

在攻防过程中，往往是24小时待命，人员在交接过程中，对情报共享、攻击溯源、优化加固等环节，能否做好配合，也是需要实际的训练来培养。从实训中得经验，串联起安全策略、安全设备、安全服务的开展思路，企业安全运营就更能有的放矢。