董晓琼-安全运营之能力升级（16页）.pdf

1、再谈“安全运营”之能力升级董晓琼董晓琼 平安科技平安科技再谈”安全运营“在哪儿：安全运营的今天去哪儿：安全运营的展望如何去：安全运营的发展再谈“安全运营”在企业中，我们所追求的安全“目标”是什么？再谈“安全运营”安全运营团队的职能再谈“安全运营”的今天安全运营团队的“日常”安全产品的运营：安全措施的推进：安全措施的改进：安全预警的处置：如何评价“安全运营”价值主动发现的预警占比：风险资产敞口比例：资产风险敞口时间：Mean Time to Response：再谈“安全运营”的今天与未来“安全运营”效能1D/3D-7D20%Platform3+自动化处置比率检测和响应处理时长平台效率安全投入成本

2、“安全运营”效能50%50%Platform1+自动化处置比率检测和响应处理时长平台效率MTTR-智能化-可统筹再谈“安全运营”-痛点和障碍NetworkingApplication Layer ProtocolsOS-Unix/Windows Web Application APPs（IOS/Android)Cloud Computing Data Encryption/Masking Security Monitoring ToolsBusiness Fraud Regulatory ComplianceSecurity ComplianceS-SDLC Security Investig

3、ationsData GoveranceVRM Communication&WritingCritical Thinking Creativity&Curiosity MotivationData AnalysisHard to findCapabilities Metrix再谈“安全运营”武器很多协同性不足分析能力和工具支撑资源稀缺缺少合力通用性业务场景事件跟踪生命周期Baby-Steps响应机制数据价值转换不足Effectiveness&Efficiency？武器很多，检测效果-可靠和可见性？预警太多，人力/时间不匹配预警调查，事件优先级，调查路径预警处置，无法实现响应的运营化再谈“安全运

4、营”-思维的变革安全人员能力助力“风险管理”能力安全专业能力“数据分析”能力通用能力平台能力自信、快速的识别和响应处置威胁再谈“安全运营”再谈“安全运营”数据采集及预警质量1、预警数据-数量与质量2、预警数据-跨产品间的场景关联3、情报数据-不同情报体系的应用响应与强制执行1、安全产品的接口丰富度/性能2、跨平台和跨功能的团队响应3、剧本可以重复利用、嵌套和共享数据富化1、数据富化（手动-自动化）2、数据调查能基于多种数据源-上下文3、高质量/高自动化的预警处理4、不同情报源的校验和参考事件调查和处理1、事件调查的手段和行为积累2、跨产品搜索的事件回溯和检索的机制3、事件处理流程可视化，且和编

5、辑4、重建事件时间线5、Case管理和积累-每类事件处理流程高效利用痛点：1、检测机制导致的预警准确问题2、预警量过大，收敛能力不足3、产品接口自身的能力4、庞大的业务环境、可你到底有多了解它，资产风险变化的动态性痛点：1、不同产品或工具-怎么组合，让支离破碎的信息更有价值2、预警信息-优先级的定义3、事件调查-路径长、操作成本高、决策成本高4、大量的响应处置-无法实现响应的运营化5、处置标准的固化和优化情报及人工智能驱动变革挑战：业务环境复杂、威胁环境特征及变化太快动机不清：个体、团伙、国家队的威胁，多方遇敌数据挖掘成本过高，模型结果在不同场景中表现不同 决策大脑智能化 1、“源头”-安全预

6、警萃取 2、场景化的情报数据应用及加工 3、资产及员工行为-风险属性标签化 4、场景化的AI辅助检测 Web应用攻击模型检测 接口异常监控 异常账户行为监控 恶意攻击链识别 WEBSHELL识别等优势：来自不同层面的、丰富的安全数据数据的计算能力Log：HTTP Access LogTCP SessionsDNS LogTI：Malware HashIP、Domain、DarkwebCVEVulnerabilityAssets ProfileAssets VulnerabilityHoney potSec Data