愛加密程智力：如何設計重感知、重響應、輕防護的 MSOC

以前，雷鋒網客頻道曾撰文稱「CSO（首席安全官）是企業的背鍋俠」。玩笑歸玩笑，事實上，企業打造安全框架有三類人：高管層、中間管理層、一線技術人員，這三類人各司其職，也有不同的安全需求。

不久前，剛剛獲得新一輪融資的愛加密召開了一場媒體溝通會，愛加密技術副總裁程智力重新介紹了其已發布半年的重磅產品 MSOC，並對雷鋒網闡述了他對企業三類人的安全需求以及打造企業安全網路的看法。

口述：程智力 | 整理：李勤

對高管層來說，他們主要關心的其實就是法規遵從或法律免責，企業做安全，本身不產生任何經濟效益，所以，他們第一關心的是如果出現問題，是否需要承擔責任。

管理層關心的是，保證企業的核心業務不受到安全威脅的影響，上線新業務後，如何與原有安全架構整合，是否需要運用新技術打造彈性可拓展的安全平台。

如果真的要建設一種這樣的平台，還要考慮兩點，第一，安全工作的量化——彙報時能明明白白告訴老闆安全投入在哪裡，產生了什麼效果。第二，優化運維，讓看上去一團雜亂的安全工作高效、有序。

對於技術人員，他們關心的是，出現風險後，如何跟蹤問題，直到解決問題；如果要建立移動互聯網的安全，如何與傳統的IT架構整合。

基於這個需求，建立企業安全的防護體系，我們通常分為三個層次。任何一個防護安全體系都不是一蹴而就建設而來，需要一個統一的規劃，再逐步建設。

第一，建立從靜態到動態再到實時的防護防護體系，符合國家網安法和等級保護2.0的基本要求。

去年頒布的網安法明確要求企業建立威脅預警和響應機制，本質就是要求企業建立主動實時的安全防護體系。而等保2.0通過對移動互聯網、雲計算、大數據、物聯網和工業控制的擴展，要求企業建立管理和技術並重的實時安全防護架構。。

第二，動態保護就是企業運轉起來。

第三，實時保護就是要做主動和提前防禦。實時保護實際落地就是實踐從被動到主動的原則，這個原則說起來很簡單，是一個指導規範，但是應該怎麼落地？要做基礎建設，即從終端到網路再到伺服器，整體安全保護架構要是齊全的，而這要求我們要有一個基本的平台。

我們要建立一個基本的平台，平台是企業統一的標準、介面和入口，其意義在於，企業一開始規劃這樣一個安全計劃規範時，就要通過平台建立統一的標準或者統一的介面，所有的安全建設都在這個平台之上，通過模塊化的方式增加，就可以保障所有的投資在每一步都可以得到保護。

也就是說投資之後，只要是基礎沒有變化，它可以一直用，不會被淘汰，所以這是我們要建設的基礎架構。當然，缺什麼還要建什麼。比如，移動安全從安全開發到安全應用，中間的所有的環節都需要進行保護，那麼需要去進行建設包括物聯網、雲、大數據等方面的安全。

建設時，強調的是把異構的安全防護系統融合在統一的平台上，形成異構管理。

我們還要做融合，因為我們要保護的不是基於某一個的單一系統，它是基於業務的，安全保護要基於業務進行防護，針對終端、網路、伺服器和後台資料庫的防護的系統在底層都要融合。

這種融合主要是數據的融合，只有把數據融合在一起，才能夠有主動防禦的前提和可能。所謂的數據融合，就是要和傳統 IT 框架融合，在移動互聯網環境，或是物聯網雲計算環境下給我們帶來新的防護體系，新的防護體系如何和原來的 IT 防護的系統進行融合，包括對用戶的融合，還有跟安全風險管理流程的融合，問題跟蹤的融合，這些都需要考慮，在底層設計的時候一併考慮。

除了保護內部之外，還需要考量外部互聯網環境的風險。所以需要跟第三方威脅庫融合，通過引入第三方威脅情報來獲取外部的相關風險情況。

舉個很簡單的例子，假如客戶是一個銀行，銀行在看內部風險時，如果說有一個第三方風險情報告訴你，銀行業相關的應用目前正在遭受某一種惡意代碼的攻擊，雖然你沒有遭受這種攻擊，但是由於企業自身的行業歸屬，遭受這個攻擊的可能性比較高，如果拿到這些數據，可以提前對威脅進行預防式防禦，未來可能出現這種風險時，免遭危害。

我們要跟安全態勢進行融合，這種怎麼做？在展示風險時，要做到對現在的移動端、雲端、物聯網端的風險進行統一展示，所以這種融合要打通數據底層。

第四，要做智能防禦，因為讓所有的安全系統在一個平台之上進行管理，所有數據做了融合，然後就是利用機器學習相關的技術幫助我們主動從數據中分析潛在的風險和威脅，智能防禦或者主動防禦的前提就是要能感知威脅。除了收集數據，我們需要通過人工智慧技術幫助我們做感知的這種操作，進行自動化響應。

總結一下，其實就是重感知、重響應、全防護。

針對 MSOC 的設計，結合上述的想法，需要遵循四個原則。

第一，因為傳統 SOC 的融合是通過 API 的方式，通過 API 的融合其功能是有限制的，只能局限於 API 範圍之內，第二，融合時間很長，一般來說，API 的融合少則1、2周，多則一個月，而且它會涉及到修改兩個系統的架構。

不通過 API ，那用什麼？我們使用一個個類似虛擬機的容器，把系統直接裝在這個容器里，實現安全系統的融合和集成。這樣可以打到「使用 API 的痛處」，短時間內實現平台和底層數據層面的融合。

所以，我們做的統一融合可以實現非常簡單的融合，只要半天的時間，就可以部署一個新系統的融合，這種融合賦予了平台一個非常強大的擴展能力。

第二，做彈性的擴展，以後企業的系統越來越多，我要達到的是功能和性能上的擴展，通過拋棄 API 的模式，可以形成無縫的擴展，不管是用 BS 的架構、CS 的架構，甚至是一個命令行的架構，都沒關係，我們要求這個擴展實現起來非常快和簡單。

第三，平台的管理都是數據驅動。例如，當我們自動掃描一個APP，出現風險時，我們會自動要求這個 APP 進行加固，這個加固策略基於掃描的報告自動形成，我們的架構策略是抵禦這樣一種檢測中的問題和漏洞，這個過程不要求有人工干預。

如果發現外部的攻擊，比如來自雲端 WAF 的設備，這個設備來自於一個移動端，攻擊來了之後要把風險對應到 APP，如果有問題要求它自動進行修復，外部的風險驅動同樣也是數據驅動。

不管是對內還是對外，我們要求它都是數據驅動，完全自動化。所以，我們就要有數據，這個數據一是自己產生的，第二就是感知來的數據，所以感知數據越全面，對風險或者威脅的預警能力越強。

第四步，智能連接。很早就有很多企業提出要建立安全聯盟，安全聯盟當時要做的就是不同的異構設備之間的聯動，但是這麼長時間過去了，我沒有看到基於 SOC 的很成功的聯動案例。

為什麼沒有？因為他們的數據沒辦法無縫融合在一起，不同安全的威脅架構，其數據的格式是異構的，只有同一廠商才能做到一定程度上的連接，但是現在講智能連接，就是要打通移動企業的各個環節，要求底層的產品做到無縫連接，我們要做數據層面的融合，把所有數據都融合在一起，通過這種方式才能做到智能。

了解更多網路安全的信息？歡迎關注雷鋒網旗下微信公眾號「宅客頻道」（微信ID：letshome）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！