大数据和云计算的时代，数据和个人信息成了“云上的金子”，因为其堪比石油的巨大价值，针对企业和个人的数据泄露、网络攻击等安全事件时有发生。这个时候，新一代 SOC（Security Operation  Center）应运而生，在网络与信息安全保护中充当着越来越重要的角色。

在 2021 年 3 月 27 日举办的腾讯安全思享会上，来自上海雾帜智能科技有限公司 CTO 傅奎，绿盟科技集团股份有限公司 天枢实验室 高级安全研究员 张润滋，天融信大数据分析产品线 总监 鲍青波，腾讯安全 SOC 产品负责人 肖煜，腾讯安全SOC产品总监 刘桂泽等腾讯及其合作伙伴安全领域专家，以“云时代下SOC的变革与演进”为主题，通过技术解读与案例实践分享和各自在 SOC 建设上的丰富经验，探讨了从被动式防御到自适应实时监测与响应、智能安全编排与自动化，到新一代网络安全运营架构等热门话题，并在圆桌论坛上共探 SOC 的技术演进与未来发展趋势，吸引了众多业内外人的关注。 

在思享会上，专家们都“传授”了哪些安全运营之道？本文将带领大家一起回顾活动中专家的精彩观点分享，快来一睹为快！

Cloud SOC—云时代让安全运营工作焕发新生

在题为《Cloud SOC—云时代让安全运营工作焕发新生》的演讲中，腾讯安全 SOC 产品负责人 肖煜为大家带来了云时代下 SOC 运营存在的问题与解决秘诀：

腾讯安全 SOC 产品负责人 肖煜

云时代安全运营面临的问题大家不陌生，还是会存在事多、人杂、不好管的状况。

其中，“事多”体现在事件量大，云时代之后这个问题依然存在，大量安全事件堆积难以处置，让安全运营人员疲于奔命。“人杂”是因为涉及到一些第三方帐号，用户行为对于安全运营人员来说是一个新的挑战，不久前 Solarwinds 事件爆发，原因可能就在于供应链管理上存在大量不可追溯的帐号问题，供应链管理、人员帐号管理没有做到位。“不好管”，在指云时代的资产有着快速消亡与新建的特点，相对传统环境来说更灵活，但更容易出现再衍资产，做好资产管理梳理也是云时代所面临的问题。

由此，云时代出现了一些新需求，比如平台模式下服务方、消费方都会产生安全诉求，服务方要求自身安全管理和消费者安全有保障，消费方也希望自身安全管理做到位。

此外，云场景下平台与租户的责任划分也是一个新的需求。腾讯为此提出一个新概念，叫做 Cloud SOC，它要解决的就是安全和管理上的问题。

租户和多环境两个模块是要解决管理问题，而处理安全问题的思路则是进行监测和深挖，利用可视化和开放平台等技术手段来解决问题。

总的来说，Cloud SOC 会把相关安全信息，包括云上日志、第三方数据汇集到体系中进行运营，安全体系包括防御、检测、相应、预测模式，同时兼顾平台和租户。

这个体系的安全思路，在防御方面，强化自身就是最好的防御策略，同时在检测和相应模块打造一个有机闭环，以可靠的服务作为支撑整个体系运转的基础保障。

其中，防御要解决“不好管”的问题，腾讯 Cloud SOC 可以做到通过端、API 对原生资产与第三方资产进行打通，而在这一点上，腾讯拥有多年从端、流量中获取资产数据的经验。

在云这方面，Cloud SOC 的 CSPM（云安全态势管理）是指云安全风险配置化的管理检查，利用此机制对云上资产进行自动化检查，不符合要求的配置会被平台识别为风险资产，并提醒安全运营人员。

针对“人员杂”的问题，Cloud SOC 会在检测和相应两个环节，通过腾讯自己提出的 XDR 小闭环，SIEM，以及智能 UEBA 模式，针对可靠流量和端点，获得精准的情报信息，进而归纳总结，抓取真实的威胁信息，提高安全运营覆盖，以此进行有质量的告警及响应。 

从管理思路上来说，Cloud SOC 模式的驱动整体上还是平台+人，依赖于监控、分析响应和总结报告等服务，加上运营专家/攻防专家，让平台高效运转起来。 

另一方面，在平台方和租户的责任划分上，Cloud SOC 天然地从兼顾双方的视角来看问题，在平台侧和租户侧打上一些鲜明的标签对数据进行区分，利用经典和成熟的 RBAC 进行功能相关的控制 。此外，这个数据标签还可以拓展到所有平台模式上，将相关数据责任人归属于平台方或租户，并利用云平台的优势，对相关数据功能进行统一纳管和运营。

如今，腾讯 Cloud SOC 已经在实践中经过检验，比如在某企事业单位，Cloud SOC 利用强检测响应闭环构建“演练”最佳防护，在某大型金融组织机构中，Cloud SOC 可在专有云或 IDC 部署，实现多环境数据统一纳管，并适配上下级联，实现全局可管、可控安全运营。

安全运营 SOAR Easy！

接下来，上海雾帜智能科技有限公司 CTO 傅奎带来了《安全运营 SOAR Easy》的主题分享：

上海雾帜智能科技有限公司 CTO 傅奎

我之前也做过一线的安全运营人员，切身体会到一些痛苦的现状，比如每天接到四千万条事件运营，但真正能有效处理的事件不到 10 个。安全运营过程中的人工交互太多，费时费力。虽然过去二十多年，安全运营在安全理论、技术、产品、客户运营水平上有所提高，检测时间越来越短，但是安全运营人员同时还面临着自动化、智能化、网络武器作战平台的“对手”，而绝大多数用户只能徒手应急响应——沟通靠吼，响应靠手。为改变现状，我们用  SOAR 帮助我们快速开展安全运营。

目前，国内外已经有不少厂商在跟进 SOAR 相关技术，并做到了分钟级和秒级响应。大家的基本思路都是通过图形化的剧本编排界面，使用低代码或无代码实现安全事件响应过程的编排，支持数据交互和任务调度。

SOAR 可以是独立平台，也可以是内置模块。在实际落地中，SOAR 的应急响应快准稳，其出色的表现已经得到业界的认可。今天我们可以依靠系统，实现 通用安全事件响应场景80% 以上步骤的落地。以一个典型的威胁IP处置过程为例，经过与人工操作的对比会发现，SOAR 自动化处置可以实现分钟级和秒级，仅时间效率就提升了 84 倍，这还不包括人员成本的加工地。实际上，SOAR 在实际应用中可以在不同场景里产生不同的效果，不仅在应急响应中，在事件分析、诊断、协同、写报告等才做中，也可以快速完成，避免了人工的浪费。而且，这种“套路”一旦沉淀就可以重复使用。

目前，雾帜在 HoneyGuide 中通过虚拟作战式和 AI 机器人解决事件响应过程中协同问题，用编排和自动化帮助客户实现加速安全运营。此外，除了自动化响应，雾帜还希望能够用自然语言与机器人进行交互，提高安全运营效率。基于安排编排自动化响应以及 AI 人机协同的安全运营，雾帜SOAR可实现分钟级或秒级的应急响应，大幅节约了人工操作时间。

SOAR 是数字化经验帮助安全团队实现运营传承和技能积累的有效手段，通过充分发挥人类工程师的智慧和机器的智能与速度，最终让“安全防护超越攻击的速度规模”成为可能。

最后，不得不提的是，自动化永远都是手段，持续运营才是灵活。运营团队要有思想，主动采取战略，主动思考，借助自动化手段实现目标，不能完全依赖工具，这才是最重要的。

智能安全运营技术发展思考与实践

绿盟科技集团股份有限公司 天枢实验室的张润滋还分享了主题为《智能安全运营技术发展思考与实践》的主题演讲：

绿盟科技集团股份有限公司 天枢实验室的张润滋

安全运营团队的痛苦都是相似的，虽然解决思路和方法略有不同，但大的趋势都是依靠自动化来对抗信息爆炸带来的困难。

安全专家数量有限，告警疲劳和痛苦的作战方式，倒逼安全运营技术迭代式地发展，从传统的单点攻防到边界防御，再到安全运营中心，安全运营的下一步是智能化运营。

Gartner 为安全运营打上了一些关键的技术标签，比如 SIEM、UEBA 等，最近 SOAR、XDR 等也是比较热门的话题，但似乎这些都缺乏内在安全机制，隐私防护需求也造成系统黑盒。目前，安全运营的还面临着一些关键挑战，如运营需要细节与态势并重，数据膨胀找到安全威胁犹如大海捞针，召回模型高误报，技术/平台低交互或无交互，以及缺乏鲁邦安全性等。

为应对这些问题，我们提出了 AISecOps，就是广泛地把人、机器和流程资源结合起来做运营。

实际上，国外和国内已经形成了智能运维的研究生态，我们要做的就是把自动化、智能化带到运营中。

从概念上来说，AISecOps 包含四大要素，即“智能驱动安全运营，以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节，构建具有高自动化水平的可信任安全智能，以辅助甚至代替人提供各类安全运营服务的能力，”我们的最终目标，是用技术支持运营，且技术自身可运营。

为了让技术本身可运营，我们需要做一个模型来指导方向，思考自己在做的事情覆盖到了运营的哪些阶段。从上图可以看到，我们离自动化运营还很远，处于 L2-L3 阶段，只是在有限场景下，运用数据分析手段，把情报打通。

为了支撑完整的自动化运营，我们需要把从感知识别到认知产生，再到产生策略的全流程串联起来，打通人机协同循环。这是我们的工作模型和思考，目标是希望人机协同能够在未来 5-10 年间在很多场景下是此案完全自动化运营。

上图为 AISecOps 的 16 个前沿技术图谱，能为我们下一步应该做什么提供指导。

目前，我们在做的一些工作包括超融合知识图谱，在底层建立可以支撑全数据、多场景的 DSL 语言设计，建立融合的数据分析机制。

在此基础上，打造可以针对不同场景下所需的不同检测单元、召回单元、风险评估单元、反馈解释单元的可编排推荐引擎，让引擎学习专家或运营的不同偏好。

此外，我们还初步基于开源的文本类型解释模型创建了可解释引擎，可以实现自动化提取关键词，目前仅支持文本，但后续将支持图。

为了做到以数据驱动的方式支持人机协同，我们利用规则提取引擎，通过可解释模型将学习成果告诉专家，并在推荐引擎中提取的知识中找出规律，形成规则和策略，然后通过搜索引擎，用统一的语言抽象进行知识固化。

总结起来，安全专家的经验难以复制，人的精力有限，但是机器可以做到。第一，数据驱动的方式只是缓兵之计，面临关键决策，要分具体情况，但以数据支撑决策和策略是我们技术路线的根本出发点；可编排能力要支撑不同业务场景，在每个运营环节做响应；“授人以鱼不如授人以渔”，要能解释清楚为什么用数据驱动能解决一切问题；最后一点是要打造可信任的安全智能“战友”，保证 AI 的安全性。

安全运营无法一步到位，我们希望将安全运营中的知识固化下来，形成打造机器的战甲，不能要求每个人都是超人，我们要做的就是要打造机器型的战甲。

构建智能化纵深安全分析体系

天融信大数据分析产品线 总监 鲍青波分享了主题为《构建智能化纵深安全分析体系》的精彩演讲：

我的分享主要聚焦于安全分析，两个关键词分别是“智能化”和“纵深”。

首先介绍一下我国网络安全现状。据 CNCERT 统计，2019 年，面向我国工业控制系统的网络资产嗅探事件约有 14,900 万起，较 2018 年的约 4,451 万起有显著增长。经分析，嗅探行为源自于美国、瑞士、法国等境外 130 个国家和地区，目标涉及我国能源、制造、电信等重点行业的联网工业控制设备和系统。大量关键信息基础设施和联网控制系统的网络资产信息被境外嗅探，给我国网络空间安全带来隐患。对此国家非常重视，从十三五规划到《网络安全法》、《等级保护 2.0》到“十四五规划”，国家要求建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力，特别是要加快人工智能的安全技术创新。

人工智能赋能安全分析，是此次演讲的核心。不得不说，当前 AI 在特定场景下赋能安全分析，还面临着一些困境，如数据标注、特征处理、结果评估，以及工程化难题，特别是针对零日、APT 高级攻击、长周期潜伏的未知威胁时，AI 不一定能发挥很好的作用。这时，通常情况下会采取行为分析的手段，通过时序分析等方式发现异常。

网络安全分析场景可分为“已知的已知”、“已知的未知”和“未知的未知”三个部分，为应对不同程度的分析需求，我们建立了一套智能化纵深安全分析体系。

这套智能化纵深安全分析体系，主要包括智能检测、自动化处置和智能研判三个部分。

从最左侧典型的数据处理流程之后，进入智能检测，这是纵深分享的第一步，也是最核心的一步。这里，系统会通过关联分析、AI 分析、行为分析、专项分析等分析引擎手段，利用深度学习、机器学习和图分析等方法，建立深度学习模型，以串联或组合的方式进行智能检测。 

之后进入自动化处置流程，这一步可以做到误报去除和告警智能归并，把单点告警以更高维度的指令聚合起来进行智能化处置。

而对于规定后无法自动化处置的，就进入下一步的智能研判，经过研判可视化和全域数据分析发现重点数据的步骤后，系统会从重点数据出发，以人机交互的方式提供利于专家做智能研判的依据，如内置各种数据处理算子、机器学习、特征处理、结果评估和模型部署算子等，研判后再连接 SOAR 进行响应。

总结起来，通过智能检测、自动化处置和智能研判等方面的工作，我们建立了一套纵深的安全分析体系，有了这些能力之后，我们才有基础去考虑人工智能赋能网络安全究竟能带来什么样的价值。

圆桌论坛共话 SOC 未来

活动最后，几位专家还以在圆桌论坛上，探讨了 SOC 的最新演变和发展趋势，共议新时代下 SOC 的压力与机遇所在。

至此，这场汇聚安全领域专家的精彩活动圆满结束，让在座的观众与线上的网友对于 SOC 技术与严谨有了更加清晰的认知，满载而归。