天生的技术属性，网络安全领域的数字化变革总是走在时代前沿，我们正在经历从设备堆积的纵深防御阶段，到以大数据分析技术为核心的智能安全时代。

智慧安全运营中心，成为这一变革下的典型代表和必然产物，其需要建立在大数据分析、人工智能技术的基础上，通过数据收集、数据处理、持续优化三个建设步骤，掌握整体安全态势，建立安全运营数据中台，综合分析研判，覆盖每个节点，实现安全运营工作“智慧化”。来应对愈加隐秘化、持久化、未知威胁的网络攻击。本文将对以上提到的三个建设步骤进行详细展开，并尝试以沙盘推演的方式，模拟还原安全运营中心对一起APT攻击事件的响应处理过程。

进行完整、独立、必要的数据采集

智慧安全运营中心的核心能力在于对各组织单位的各项网络安全数据，进行大数据分析从而感知和判断安全威胁并响应。因此，数据采集是安全运营的第一项工作，其关键在于保证采集的完整性、独立性和必要性：

1.完整性。数据采集的完整度，决定了智慧安全运营中心对安全事件监测发现的速度与准确率，确保能够对整体网络安全态势进行分析预判，在发生信息安全事件时，能够精准锁定入侵来源，封堵攻击路径。数据采集的完整性，不仅包括全面的采集对象，同时，也包括采集方式的完整性，除了传统的采集日志之外，还包括各网络节点的流量采集，服务器、终端电脑上部署agent进行网络安全攻击数据采集，agent需要监控进程级别异常，对无文件病毒等攻击方式数据也需要采集。

2.独立性。数据收集保证独立性，不重复收集，如核心设备上已经收集了互联网进出口流量，在汇聚设备上只需要收集汇聚层以下终端互相访问的流量即可，可以在流量探针上进行初步筛选，减少数据分析平台计算资源压力。

3.必要性。保持有效数据最大化、无效数据最小化的原则，收集信息安全相关的数据，其他如系统bug产生的调试数据不需要收集。

通过多种手段进行数据处理

在完成数据收集后，对数据进行集中处理，通过规则匹配、威胁情报、关联分析等方式，准确发现安全隐患，包括已知威胁攻击、未知威胁攻击、高级可持续性威胁攻击等。

1.安全威胁发现。根据规则库、威胁情报，发现安全隐患，产生告警信息。

2.数据分类汇总。将原始的机器数据分类汇总，方便工程师查阅检索，如：在5分钟内的同一攻击源和攻击目标，采用同样的攻击方式，这种多次尝试的攻击将汇总成一条告警信息。

3.用户行为模型建立。通过机器学习建立用户行为模型，如：每天上班时间9:00-17:00，办公区域访问服务器区域OA、ERP、邮件系统比较多。但是，如果在凌晨2:00有DMZ区域访问服务器区域的流量，而且之前没有类似的行为，这可能就是一次网络攻击。用户行为模型需要不断收集学习，在网络或业务有大变动时，会有很多误报产生，需要安全运营工程师人工干预调整。工程师也可以根据自己对组织网络环境的掌握情况，手工录入规则，在规则触发时，产生告警。

信息安全的核心是保密性、完整性、可用性，其最终目标是信息系统稳定正常运行。所以，数据处理过程中，需要以业务为中心，业务系统运行过程中需要的数据流向和资源获取为正常行为，其他为异常疑似攻击行为。智慧运营中心在日常运营工作中，需要安全部门与业务部门跨部门协作，安全工作与业务系统运营工作融合，在不断提升业务系统运行效率的同时，融入安全能力。

持续优化安全策略

对于监测发现的安全隐患，及时处置，同时，根据已经发现的安全威胁类型，持续优化安全策略：

1.暴露面优化。分析网络攻击路径，优化安全策略，减少暴露面。只开放最小访问策略，尽量减少暴露在互联网的资产和服务。根据业务系统特性，筛选出高危访问行为，如：后台页面等，可以限制源地址。

2.账号安全优化。对于暴露在互联网的账号口令登录功能，根据受到的攻击情况，加强安全策略，如：验证码、登录失败锁定等，为避免影响用户体验，可以将密码安全策略部署上，暂时先不开启，根据访问流量情况，如有暴力破解，使用脚本刷票等行为时，开启密码安全策略。

3.越权行为。通过监测发现的越权行为，说明在技术约束和管理制度上存在漏洞，可以分析越权行为，加强管理和调整安全策略。

4.系统失陷。分析失陷原因，如：漏洞、弱口令、横向渗透等，及时调整安全策略，避免因同样的原因再次失陷。

5.数据泄露。分析数据权限获取方式，数据泄露途径，更新数据安全策略，同时，补充到行为模型中，如：即将离职员工访问公司资料的频率比较高。

在持续优化过程中，安全运营中心会不断学习本组织信息系统特性，越来越智能化，网络攻击会精准的筛选出来。在如今大规模扫描转向APT高级可持续性攻击的情况下，越来越多的未知威胁没有规则可以使用，没有防御手段可以借鉴，只有智能化的安全运营中心，才能与之一战。

沙盘推演对震网病毒的防御效果

这里进行一次简单的沙盘推演，模拟一起著名的APT攻击事件，尝试验证智慧安全运营中心的组织单位，能否有相应的防御效果。

震网病毒是公认的首例APT攻击事件，震网病毒成功攻击了伊朗核设施，病毒通过修改程序命令，让生产浓缩铀的离心机的异常加速，超越设计极限，致使离心机报废。

由于当时使用了Windows系统在当时尚未被发现的2个漏洞，再结合西门子控制系统的7个漏洞。加上潜伏期较长，震网病毒的C2服务器在2005年11月就被注册了，直到2010年7月攻击了伊朗核设施。在攻击真正目标，即核设施前，只感染不攻击，在这期间，仅伊朗境内感染的计算机就达500万台以上，在这种使用了未知威胁攻击技术以及长时间潜伏的情况下，基于策略的安全检测方式无法发现，传统安全运营措施也未能及时响应。

震网病毒最重要的两个过程：

1.携带病毒的U盘能够进入核设施区域。

2.之后在内部网络通过多个系统漏洞失陷连网主机的传播，最后抵达安装了winCC系统的离心机控制主机，展开攻击。

在智慧安全运营中心的组织中，首先U盘插入到内网时，除了杀毒外，还会监控U盘里面文件的行为。在已经建立了用户行为模型的组织中，U盘中的文件行为模型都已经固定，如果有新的行为，需要管理员手动开通。同时，在内部网络传播横向移动时，就算使用了未被发现的漏洞，通过当前的规则库无法发现，但是收集了流量信息的安全运营中心，通过分析各区域之间的传输流量，也是有可能发现该异常行为的。

震网病毒能够成功攻击，还有一个很重要的原因：安全管理问题。携带病毒的U盘能够进入核设施区域，并且插在设备上，伊朗核设施在安全管理方面，肯定存在疏漏。智慧安全运营中心会定期对安全工作评价体系进行指标打分，对不符合安全要求的行为，及时披露，持续优化，避免安全管理工作“三分钟热度”，时间越长越懈怠的情况。

伊朗在离心机大面积损毁，整个核设施已经无法正常运转之时，依然没有意识到是因为网络攻击引起的，直到国际网络安全公司“赛门铁克”发布“震网”病毒的报告，伊朗才知晓自己被黑客攻击。

智慧安全运营中心的另一个重要能力在于问题的溯源分析，在离心机异常加速的情况下，安全运营人员可以对收集的全网数据进行分析，包括关联分析、原始数据检索，在未知威胁的攻击下，安全分析工作没有抓手和明确的目标，只能通过大数据的分析能力，筛选出异常行为数据，然后对异常行为数据进行原始数据分析，最终有可能溯源出攻击路径。

智慧安全运营中心是数字化经济时代衍生的技术产物，也是面对现代化网络攻击的有效措施。在网络攻击者对攻击目标长时间分析，深入了解其组织架构、业务流程、网络环境下，可以做到很精准的网络攻击，不触发任何安全告警。智慧安全运营中心是组织网络安全不断学习、持续优化、越来越智能的过程，也是面对现代网络攻击最好的方式。以数据分析、机器学习的方式来对抗精准、未知威胁攻击，从而保障组织在数字经济时代的网络安全。