企业安全运营怎么做 腾讯安全专家支招四大建设

新基建带来全新机遇的，企业如何在更加复杂的数字化环境中守好安全关？

在近日召开的“湾区创见·2020网络安全大会”上，腾讯企业IT部安全运营中心总监蔡晨基于腾讯内网的安全建设经验，分享了企业安全运营中心在大数据、行为分析、应急响应、反向校验四个方面的建设新思路和创新实践，为企业构建更加智能和高效的安全运营体系提供了腾讯样本参考。

“与看不见的攻击者对抗，注定会失败”。在海量数据充斥的网络环境中，高效的安全数据处理能力是企业安全运营中心运转的起点。蔡晨表示，安全大数据能力要兼具数据广度和深度。广度上需要全覆盖所保护资产，深度上则需要和攻击者保持同一个深度或者更深，否则就会出现看不到已有攻击情况。目前腾讯企业IT的安全运营中心已具备日处理千亿条数据、千种数据类别的处理与分析能力。

如何通过情报发现安全威胁的踪迹同样是至关重要的一步。腾讯企业IT的做法是“专家规则+机器学习”双管齐下，充分融合人脑和机器的优势，通过行为分析，让隐藏在海量威胁情报中的敌人行为动向无可藏匿。其中，腾讯专家规则经过十余年沉淀，形成了从“初始访问-执行-驻留-提权-收集-横向移动-窃密-远控”入侵全链路的覆盖，并建立了针对单行为、多行为、行为链的定制化规则。

除此之外，企业安全运营中心建设还需要构建有效及时的应急响应体系。一方面为安全人员提供规则告警、处置工具、样本分析、入侵溯源等平台化工具，支持其在每一个流程环节能实时处置安全威胁；另一方面，也需要借助SOAR的思想，支持非安全人员开展安全运营，通过内置的安全编排响应剧本，对安全事件进行自动化响应处置并提供响应报告详情，提升安全事件响应处置效率。

安全对抗终究是人与人之间的对抗，成熟的安全运营中心需要持续性的迭代和进化，而这需要引入常态化的红蓝对抗机制。蔡晨在大会现场也分享了腾讯企业IT的红蓝对抗经验——蓝军要边缘突破，迂回作战，避开正面对抗；红军要拒绝被动，反客为主，高维防御，“每一次攻防对抗演习，都完全模拟全链路的真实入侵，希望以攻促防，提升安全水位”。

基于以上四大建设思路的牵引，腾讯云安全运营中心的成功经验和能力也正在各行各业复用，通过将安全运营体系分为事前安全预防、事中威胁检测和事后响应处置三个部分，结合全局安全态势的可视体系，帮助运维人员更加简洁明了地认知和构建智能的企业安全运营体系。

在大型国企的应用实例中，腾讯云安全运营中心凭借满足合规硬性要求的安全管理和自动化评估功能，帮助该企业顺利通过了等保2.0合规测评；在智慧城市蓝图中，腾讯安全运营中心（专有云）推出了面向城市安全运营的定制化版本，在数字广东、长沙等逐步落地，从城市安全运营层面助力智慧城市的建设。