在數(shù)字化浪潮席卷全球的今天，隨著攻擊手段日益復(fù)雜化、攻擊面不斷擴(kuò)大，傳統(tǒng)的被動(dòng)防御模式已難以應(yīng)對(duì)層出不窮的安全威脅。企業(yè)亟需一場(chǎng)安全運(yùn)營(yíng)的革命性升級(jí)：從被動(dòng)響應(yīng)到主動(dòng)預(yù)測(cè)，從人工分析到智能決策，從孤立防御到協(xié)同作戰(zhàn)。數(shù)智化安全運(yùn)營(yíng)中心(ISOC)應(yīng)運(yùn)而生，它不僅是技術(shù)的升級(jí)，更是理念的革新。通過融合大數(shù)據(jù)、人工智能、自動(dòng)化編排等前沿技術(shù)，ISOC正在重塑網(wǎng)絡(luò)安全的未來。本文將揭示網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)智化升級(jí)從初始級(jí)到自主級(jí)的蛻變路徑，分享行業(yè)領(lǐng)先企業(yè)的實(shí)踐案例。

能力成熟度模型

ISOC的五級(jí)成熟度模型為組織提供了評(píng)估組織安全運(yùn)營(yíng)能力、明確未來方向發(fā)展的框架。該成熟度模型清晰地展現(xiàn)智能化安全運(yùn)營(yíng)的演進(jìn)路徑和每個(gè)階段的核心特征。組織可以根據(jù)自身的實(shí)際情況，參考該模型，制定切實(shí)可行的ISOC建設(shè)方案，逐步提升自身的安全運(yùn)營(yíng)能力。具體特征如下：

ISOC建設(shè)成熟度模型

ISOC建設(shè)原則

ISOC的建設(shè)是一個(gè)持續(xù)優(yōu)化的過程，需要根據(jù)組織的實(shí)際情況和安全需求的變化，不斷調(diào)整和完善。針對(duì)各個(gè)成熟度級(jí)提供的ISOC建設(shè)方案。組織應(yīng)結(jié)合自身的實(shí)際情況，參考方案并制定切實(shí)可行的ISOC建設(shè)路線圖，逐步提升自身的安全運(yùn)營(yíng)能力。ISOC的建設(shè)應(yīng)遵循以下關(guān)鍵原則，以確保項(xiàng)目成功落地，發(fā)揮預(yù)期價(jià)值，構(gòu)建主動(dòng)、智能、自適應(yīng)的安全防御體系。

建設(shè)原則包括：

1.戰(zhàn)略導(dǎo)向、風(fēng)險(xiǎn)導(dǎo)向

ISOC建設(shè)必須與組織的整體戰(zhàn)略、業(yè)務(wù)目標(biāo)緊密對(duì)齊，并以業(yè)務(wù)安全需求為核心驅(qū)動(dòng)力。同時(shí)，建設(shè)應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向，通過全面的風(fēng)險(xiǎn)評(píng)估確定建設(shè)重點(diǎn)和防御策略，確保安全投入聚焦于核心風(fēng)險(xiǎn)。

2.整體規(guī)劃，分步實(shí)施

ISOC建設(shè)需要進(jìn)行全面的頂層設(shè)計(jì)，包括總體架構(gòu)、技術(shù)路線、建設(shè)目標(biāo)、實(shí)施計(jì)劃等。但實(shí)施過程應(yīng)根據(jù)組織的實(shí)際情況，分階段、有重點(diǎn)地逐步推進(jìn)，可以采用“試點(diǎn)先行、逐步推廣”的方式，降低風(fēng)險(xiǎn)，積累經(jīng)驗(yàn)。

3.數(shù)據(jù)驅(qū)動(dòng)，AI賦能

數(shù)據(jù)是ISOC的基礎(chǔ)，AI是核心引擎。必須重視安全數(shù)據(jù)的全面采集、治理和利用，構(gòu)建統(tǒng)一的安全數(shù)據(jù)湖。充分利用人工智能技術(shù)提升安全運(yùn)營(yíng)的智能化水平。

4.人機(jī)協(xié)同，持續(xù)運(yùn)營(yíng)

充分發(fā)揮AI的優(yōu)勢(shì)和人類的智慧，構(gòu)建高效的人機(jī)協(xié)同安全運(yùn)營(yíng)模式。明確AI與分析師的角色分工，建立持續(xù)運(yùn)營(yíng)和優(yōu)化機(jī)制。ISOC不是一次性項(xiàng)目，而是一個(gè)需要持續(xù)投入和改進(jìn)的長(zhǎng)期過程。

5.安全合規(guī)，保障可靠

SOC建設(shè)必須符合國家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求（如等級(jí)保護(hù)、數(shù)據(jù)安全法等）。采取必要的技術(shù)和管理措施保護(hù)數(shù)據(jù)安全和隱私。對(duì)AI模型進(jìn)行充分的測(cè)試和驗(yàn)證，確保安全、可靠、可信，并建立完善的審計(jì)機(jī)制。

6.循序漸進(jìn)，注重實(shí)效

ISOC建設(shè)應(yīng)從解決最緊迫的安全問題入手，選擇能夠快速產(chǎn)生價(jià)值的場(chǎng)景進(jìn)行試點(diǎn)，逐步擴(kuò)大應(yīng)用范圍。注重實(shí)際效果，選擇適合自身需求的技術(shù)和平臺(tái)，避免盲目追求“高大上”，并定期對(duì)ISOC的建設(shè)和運(yùn)營(yíng)效果進(jìn)行評(píng)估和優(yōu)化。

一、初始級(jí)升級(jí)到管理級(jí)

1.主要目標(biāo)

建立基本的安全監(jiān)控和響應(yīng)能力，初步實(shí)現(xiàn)安全事件的集中管理和分析，提升對(duì)常見安全威脅的檢測(cè)和響應(yīng)效率，滿足基本的合規(guī)性要求。

2.建設(shè)內(nèi)容

1）組建基礎(chǔ)安全團(tuán)隊(duì)或引入服務(wù)：

配備1-2名專職或兼職安全人員，明確其日常安全監(jiān)控、事件分析和響應(yīng)職責(zé)。進(jìn)行基礎(chǔ)網(wǎng)絡(luò)安全知識(shí)和技能培訓(xùn)。對(duì)于資源有限的中小型企業(yè)，可以考慮引入MSSP提供安全服務(wù)支持。

2）部署SIEM平臺(tái)并集中日志：

• 選型：根據(jù)預(yù)算和需求選擇合適的SIEM平臺(tái)（開源或商業(yè)）。重點(diǎn)考察日志收集能力（覆蓋防火墻、服務(wù)器、核心應(yīng)用等）、存儲(chǔ)、基礎(chǔ)分析和報(bào)表功能；
• 部署：推薦采用集中式部署；
• 實(shí)施：配置數(shù)據(jù)源，確保關(guān)鍵日志（防火墻、IDS/IPS、服務(wù)器、核心業(yè)務(wù)系統(tǒng)日志、殺毒日志等）能夠被有效采集、解析和存儲(chǔ)。從SIEM平臺(tái)自帶的規(guī)則庫開始，配置針對(duì)常見威脅（如暴力破解、端口掃描、已知惡意軟件）的檢測(cè)規(guī)則，并根據(jù)實(shí)際情況逐步調(diào)優(yōu)，降低誤報(bào)。配置基礎(chǔ)的安全報(bào)表，用于日常監(jiān)控和匯報(bào)。

3） 建立基本安全運(yùn)營(yíng)流程：

• 制定清晰、簡(jiǎn)單的安全事件分類分級(jí)標(biāo)準(zhǔn)（例如按類型、影響、緊急程度分級(jí)）；
• 建立基礎(chǔ)的事件響應(yīng)流程（SOP），明確事件上報(bào)、初步分析、處置（如隔離、封禁）、記錄和報(bào)告的步驟。

3.考核指標(biāo)

• 安全團(tuán)隊(duì)（或負(fù)責(zé)人）到位，完成初步培訓(xùn)；
• SIEM平臺(tái)穩(wěn)定運(yùn)行，關(guān)鍵日志接入率達(dá)到預(yù)期；
• 事件響應(yīng)流程已建立并通過演練；
• 常見威脅的檢測(cè)率和響應(yīng)效率相比之前有明顯提升。

三、實(shí)踐案例

某公司建設(shè)案例

案例概況

某制造公司一直以來面臨著“安全無專人”的困境，網(wǎng)絡(luò)安全管理較為薄弱，缺乏專業(yè)的安全團(tuán)隊(duì)和明確的安全職責(zé)劃分。隨著業(yè)務(wù)的發(fā)展和數(shù)字化轉(zhuǎn)型的推進(jìn)，該公司意識(shí)到網(wǎng)絡(luò)安全的重要性，決定采取一系列措施提升整體安全運(yùn)營(yíng)能力。該公司希望通過建立專業(yè)的安全團(tuán)隊(duì)、部署先進(jìn)的技術(shù)平臺(tái)、采集關(guān)鍵安全數(shù)據(jù)以及規(guī)范安全運(yùn)營(yíng)流程，全面提升網(wǎng)絡(luò)安全防護(hù)能力，確保核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，同時(shí)有效應(yīng)對(duì)各類安全威脅和事件。

安全建設(shè)步驟

該制造公司安全建設(shè)包括建立安全團(tuán)隊(duì)、部署集中式SIEM平臺(tái)、采集安全數(shù)據(jù)、建立安全運(yùn)營(yíng)管理流程四個(gè)主要步驟。

1）建立具有明確職責(zé)的安全團(tuán)隊(duì)

該制造公司為了改變“安全無專人”的現(xiàn)狀，從現(xiàn)有的IT部門中，選拔了一位對(duì)網(wǎng)絡(luò)安全有興趣的人，具備一定基礎(chǔ)的員工成為安全負(fù)責(zé)人，負(fù)責(zé)安全工作的整體規(guī)劃、協(xié)調(diào)和監(jiān)督的職責(zé)，成為安全建設(shè)的“領(lǐng)頭羊”。安全負(fù)責(zé)人與IT部門溝通了安全方面的職責(zé)。例如，服務(wù)器管理員則需要負(fù)責(zé)服務(wù)器的安全配置、漏洞修復(fù)和補(bǔ)丁管理；網(wǎng)絡(luò)管理員則需要關(guān)注網(wǎng)絡(luò)設(shè)備的安全配置、流量監(jiān)控和預(yù)警檢測(cè)。通過這種方式，將安全責(zé)任劃分到各個(gè)崗位，形成“人人有責(zé)”的安全隊(duì)列。同時(shí)引入了外部安全服務(wù)，主要提供重要安全事件的事件應(yīng)急響應(yīng)服務(wù)，幫助企業(yè)快速處理緊急安全事件。并制定了安全培訓(xùn)計(jì)劃。培訓(xùn)內(nèi)容包括安全基礎(chǔ)知識(shí)、常見安全威脅、以及安全事件響應(yīng)流程等。

2）部署SIEM平臺(tái)，集中安全日志

該制造公司由于IT環(huán)境相對(duì)簡(jiǎn)單，選擇了集中式部署SIEM平臺(tái)，并在數(shù)據(jù)中心部署了SIEM服務(wù)器。部署后，根據(jù)SIEM產(chǎn)品自帶的規(guī)則庫開始配置基本的安全事件檢測(cè)規(guī)則。例如，配置針對(duì)暴力破解、端口掃描、惡意軟件、異常登錄等常見威脅的檢測(cè)規(guī)則。此外，還配置了常用的安全報(bào)表，如安全事件統(tǒng)計(jì)報(bào)表、流量分析報(bào)表、安全報(bào)表等，以便向領(lǐng)導(dǎo)匯報(bào)安全情況。

3） 采集安全數(shù)據(jù)

SIEM平臺(tái)需要采集足夠的安全數(shù)據(jù)。對(duì)于該制造公司而言，采集的關(guān)鍵數(shù)據(jù)包括：

• 網(wǎng)絡(luò)邊界數(shù)據(jù)：防火墻、IDS/IPS、WAF（Web應(yīng)用防火墻）等設(shè)備的日志和相關(guān)信息，可以幫助發(fā)現(xiàn)來自外部的網(wǎng)絡(luò)攻擊和入侵意圖；
• 核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)：ERP、MES、OA等核心業(yè)務(wù)系統(tǒng)的日志，可以幫助發(fā)現(xiàn)針對(duì)業(yè)務(wù)系統(tǒng)的攻擊和異常操作；
• 重要服務(wù)器數(shù)據(jù)：域控制器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的日志，可以幫助發(fā)現(xiàn)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊和異常行為；
• 終端安全：在員工使用的終端設(shè)備上安裝殺毒軟件，并集中收集殺毒日志。

 4）建立基本安全運(yùn)營(yíng)流程，規(guī)范事件處理

安全負(fù)責(zé)人牽頭建立了一套基本的安全運(yùn)營(yíng)流程，以規(guī)范安全事件的處理，確保安全事件得到及時(shí)、有效的響應(yīng)。首先，需要對(duì)安全事件進(jìn)行分類分級(jí)，根據(jù)安全事件的類型（如惡意軟件感染、網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露、拒絕服務(wù)攻擊、內(nèi)部威脅等）和影響范圍、緊急程度等因素，將安全事件劃分為不同的類別和級(jí)別（如高、中、低），并建立一個(gè)明確的安全事件響應(yīng)流程，包括事件上報(bào)、分析、執(zhí)行和報(bào)告等階段。一個(gè)簡(jiǎn)單的流程示例如下：安全分析師（或安全負(fù)責(zé)人）通過SIEM平臺(tái)或其他途徑獲得安全告警，安全分析師對(duì)另外進(jìn)行初步分析，確認(rèn)是否為誤報(bào)。如果確認(rèn)為安全事件，安全分析人員根據(jù)事件類型和級(jí)別，執(zhí)行相應(yīng)的響應(yīng)操作，如隔離受感染的主機(jī)、封禁惡意IP地址、通知相關(guān)人員等。事件處理完成后，安全分析師記錄事件處理過程和結(jié)果，并生成報(bào)告。

二、管理級(jí)升級(jí)到自動(dòng)化級(jí)

1.主要目標(biāo)

建立完善的安全運(yùn)營(yíng)體系，實(shí)現(xiàn)安全事件的規(guī)范化管理和處置，提升安全運(yùn)營(yíng)的效率和可靠性，并開始應(yīng)用威脅情報(bào)和自動(dòng)化技術(shù)，向主動(dòng)防御轉(zhuǎn)變。

2.建設(shè)內(nèi)容

1）SIEM平臺(tái)深化應(yīng)用：

• 關(guān)聯(lián)分析：重點(diǎn)提升SIEM的關(guān)聯(lián)分析能力。根據(jù)業(yè)務(wù)場(chǎng)景和威脅情報(bào)，編寫更復(fù)雜的關(guān)聯(lián)規(guī)則，將來自不同安全設(shè)備的告警信息進(jìn)行關(guān)聯(lián)，發(fā)現(xiàn)多階段攻擊行為；
• 規(guī)則優(yōu)化：持續(xù)優(yōu)化告警規(guī)則，降低誤報(bào)率，提高檢測(cè)準(zhǔn)確性；
• 可視化定制：定制安全運(yùn)營(yíng)儀表盤，展示關(guān)鍵指標(biāo)（KPI）和安全態(tài)勢(shì)。

2）威脅情報(bào)平臺(tái)(TIP)部署與應(yīng)用：

• 情報(bào)源選擇：根據(jù)行業(yè)特點(diǎn)和威脅態(tài)勢(shì)，選擇合適的商業(yè)或開源威脅情報(bào)源；
• TIP部署（可選）：如果情報(bào)源較多，可部署TIP平臺(tái)進(jìn)行統(tǒng)一管理；
• SIEM集成：將威脅情報(bào)（IOCs,TTPs）與SIEM集成，用于豐富事件上下文，提升檢測(cè)準(zhǔn)確性。

3）流程建立：

• 建立威脅情報(bào)的收集、評(píng)估、處理、應(yīng)用和共享流程。

4）SOAR平臺(tái)部署與應(yīng)用：

• 選型與部署：選擇合適的SOAR平臺(tái)，并與SIEM、EDR等關(guān)鍵平臺(tái)集成；
•  劇本開發(fā)：從常見的、重復(fù)性高的事件響應(yīng)場(chǎng)景（如惡意軟件感染、釣魚郵件、暴力破解）入手，開發(fā)自動(dòng)化響應(yīng)劇本；
• 逐步自動(dòng)化：先實(shí)現(xiàn)部分操作的自動(dòng)化（如告警富化、生成工單、發(fā)送通知），再逐步實(shí)現(xiàn)更復(fù)雜的響應(yīng)動(dòng)作（如隔離、封禁）。
• 關(guān)鍵技術(shù)：劇本編排、API集成、自動(dòng)化引擎。

5） 安全運(yùn)營(yíng)流程完善和優(yōu)化：

• 標(biāo)準(zhǔn)化：細(xì)化事件分類分級(jí)標(biāo)準(zhǔn)，完善事件響應(yīng)流程，并將流程固化到SOAR平臺(tái)中；
• 協(xié)同：建立與IT運(yùn)維、業(yè)務(wù)部門的協(xié)同流程，例如漏洞修復(fù)、配置變更等；
• 評(píng)估與優(yōu)化：定期對(duì)安全運(yùn)營(yíng)流程進(jìn)行演練、評(píng)估和優(yōu)化；
• 團(tuán)隊(duì)能力提升：培養(yǎng)安全分析師的關(guān)聯(lián)分析、威脅情報(bào)分析、SOAR劇本開發(fā)等能力。

3.考核指標(biāo)

• 安全團(tuán)隊(duì)能夠熟練使用SIEM、TIP和SOAR平臺(tái)；
• SIEM誤報(bào)率降低，威脅檢測(cè)準(zhǔn)確性提高；
• 威脅情報(bào)得到有效利用；
• 部分高頻、重復(fù)性事件實(shí)現(xiàn)自動(dòng)化響應(yīng)，事件響應(yīng)效率提升；
• 安全運(yùn)營(yíng)流程文檔化并有效執(zhí)行；
• 初步建立安全運(yùn)營(yíng)考核指標(biāo)體系。

4.實(shí)踐案例

某企業(yè)智能化SOAR平臺(tái)建設(shè)案例

 案例概況

某高科技企業(yè)隨著業(yè)務(wù)的快速發(fā)展和數(shù)字化轉(zhuǎn)型的推進(jìn)，面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。傳統(tǒng)的安全運(yùn)營(yíng)模式已經(jīng)難以應(yīng)對(duì)當(dāng)前的挑戰(zhàn)，企業(yè)面臨著日益增多的網(wǎng)絡(luò)安全事件和有限的安全運(yùn)營(yíng)人員。為了提升事件響應(yīng)效率，減輕安全團(tuán)隊(duì)的工作壓力，該公司決定引入智能化的SOAR（安全編排自動(dòng)化與響應(yīng)）平臺(tái)，以提升整體的安全防護(hù)能力和運(yùn)營(yíng)效率。

安全建設(shè)過程

首先該公司識(shí)別了日常安全運(yùn)營(yíng)中重復(fù)性高、耗時(shí)且易出錯(cuò)的環(huán)節(jié)作為自動(dòng)化的重要應(yīng)用場(chǎng)景，例如惡意IP的封禁、病毒告警的初步處置、釣魚郵件的響應(yīng)等。

在此基礎(chǔ)上選擇并進(jìn)行SOAR平臺(tái)的部署，選擇平臺(tái)時(shí)重點(diǎn)關(guān)注平臺(tái)的集成性，確保其能夠與目標(biāo)場(chǎng)景需要的安全基礎(chǔ)設(shè)施（如防火墻、EDR終端安全系統(tǒng)、入侵檢測(cè)系統(tǒng)、SIEM系統(tǒng)等）以及IT運(yùn)維系統(tǒng)進(jìn)行對(duì)接，利用安全組件提供的開放接口，將SOAR平臺(tái)作為指揮樞紐，協(xié)調(diào)和調(diào)度各類安全工具執(zhí)行自動(dòng)化動(dòng)作.

在完成平臺(tái)的基礎(chǔ)部署和集成后，公司針對(duì)重要應(yīng)用場(chǎng)景定義和編排安全劇本?；陬A(yù)先制定的安全事件處置預(yù)案，利用可視化流程編輯器，將人工分析和處置步驟配置為標(biāo)準(zhǔn)化的自動(dòng)化工作流程。例如，針對(duì)檢測(cè)到的惡意IP攻擊場(chǎng)景，創(chuàng)建惡意IP的封禁劇本，該劇本能夠自動(dòng)從告警列表中提取惡意IP信息，然后聯(lián)動(dòng)防火墻下發(fā)封堵策略，并記錄整個(gè)處置過程。對(duì)于挖礦告警劇本，劇本可以自動(dòng)將相關(guān)信息發(fā)送至EDR系統(tǒng)進(jìn)行風(fēng)險(xiǎn)驗(yàn)證，并根據(jù)EDR的反饋聯(lián)動(dòng)防火墻封禁相關(guān)的域名或IP地址。為了應(yīng)對(duì)不同的安全事件類型，持續(xù)開發(fā)了一系列的自動(dòng)化劇本，覆蓋了如Web攻擊、暴力破解、病毒木馬、非法外聯(lián)、漏洞利用等常見威脅。

為了保證自動(dòng)化響應(yīng)的可靠性，在劇本上線前進(jìn)行了充分的測(cè)試，并進(jìn)行監(jiān)控和調(diào)優(yōu)。此外，因?yàn)橐庾R(shí)到自動(dòng)化并非適用于所有場(chǎng)景，因此SOAR平臺(tái)也支持手動(dòng)觸發(fā)和人工干預(yù)，對(duì)于需要人工判定的復(fù)雜事件或未知事件，SOAR平臺(tái)通過下發(fā)工單并提供執(zhí)行概覽，協(xié)助人工判斷與執(zhí)行。通過SOAR平臺(tái)的應(yīng)用，該公司顯著提升了安全事件的響應(yīng)速度和準(zhǔn)確性，減輕安全運(yùn)營(yíng)人員的工作量，最終實(shí)現(xiàn)安全事件響應(yīng)流程的自動(dòng)化閉環(huán)。隨著經(jīng)驗(yàn)的積累，后期準(zhǔn)備基于SOAR平臺(tái)開發(fā)更復(fù)雜的自動(dòng)化評(píng)估，例如與威脅情報(bào)集成形成自動(dòng)化威脅狩獵劇本、與漏洞管理系統(tǒng)集成形成自動(dòng)化漏洞處置劇本.

公司建某電商企業(yè)的SOAR應(yīng)用實(shí)踐：自動(dòng)化響應(yīng)釣魚攻擊設(shè)案例

案例概況

某電商企業(yè)作為互聯(lián)網(wǎng)行業(yè)的典型代表，面臨著日益復(fù)雜和頻繁的網(wǎng)絡(luò)安全威脅，尤其是釣魚郵件攻擊。釣魚郵件攻擊不僅可能導(dǎo)致用戶數(shù)據(jù)泄露，還可能引發(fā)更嚴(yán)重的安全事件，如賬戶被盜用、惡意軟件傳播等，對(duì)企業(yè)的聲譽(yù)和業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響。為了有效應(yīng)對(duì)這些威脅，提升安全運(yùn)營(yíng)效率，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，該電商企業(yè)決定引入SOAR平臺(tái)，實(shí)現(xiàn)釣魚郵件攻擊事件的自動(dòng)化響應(yīng)。

 在SOAR平臺(tái)部署和配置過程中，該公司的首先將SOAR與已有的安全平臺(tái)進(jìn)行了深度集成。通過API接口，SOAR平臺(tái)與SIEM平臺(tái)、EDR平臺(tái)、郵件安全網(wǎng)關(guān)以及威脅情報(bào)平臺(tái)進(jìn)行對(duì)接，使SOAR平臺(tái)能夠獲取SIEM的信息、EDR的終端數(shù)據(jù)、郵件網(wǎng)關(guān)的郵件檢測(cè)結(jié)果以及TIP的威脅情報(bào)，并能夠調(diào)用這些平臺(tái)的功能執(zhí)行響應(yīng)操作。

完成集成后，安全團(tuán)隊(duì)針對(duì)釣魚郵件攻擊場(chǎng)景創(chuàng)建了一個(gè)名為“釣魚郵件自動(dòng)響應(yīng)”的流程。該流程以SIEM檢測(cè)到的釣魚郵件相關(guān)事件作為觸發(fā)，一旦觸發(fā)，就會(huì)自動(dòng)執(zhí)行一系列預(yù)定義的操作。首先，SOAR平臺(tái)會(huì)自動(dòng)從SIEM獲取有關(guān)事件的詳細(xì)信息，包括郵件主題、發(fā)件人、方案、URL鏈接、附件信息等。從郵件內(nèi)容、URL鏈接、附件中提取出關(guān)鍵詞，例如發(fā)件人郵箱地址、URL、域名等。接著，SOAR平臺(tái)會(huì)自動(dòng)查詢威脅情報(bào)平臺(tái)，判斷這些IOC是否與已知的惡意IOC匹配。如果是惡意的，那么通過IAM（身份和訪問管理）系統(tǒng)接口禁止出訪的用戶賬號(hào)，防止攻擊者利用被盜取的權(quán)限進(jìn)行非法訪問。最后，SOAR平臺(tái)會(huì)自動(dòng)向安全分析師和出訪的員工發(fā)送通知，告知事件詳情并已采取的措施。如果安全分析師判斷為中風(fēng)險(xiǎn)事件，則給用戶發(fā)送安全提醒。最后，SOAR平臺(tái)會(huì)自動(dòng)記錄所有執(zhí)行的操作和結(jié)果，并生成事件響應(yīng)報(bào)告，為安全團(tuán)隊(duì)的事后分析和審計(jì)提供響應(yīng)。在實(shí)施“釣魚郵件自動(dòng)響應(yīng)”后，該公司的釣魚郵件攻擊事件響應(yīng)效率得到了顯著提升，從收到通知到執(zhí)行完成隔離、阻止等關(guān)鍵任務(wù)。

響應(yīng)整個(gè)過程往往只需要幾十甚至幾個(gè)操作，遠(yuǎn)快于過去的人工響應(yīng)操作方式。大部分響應(yīng)操作都由SOAR提供平臺(tái)自動(dòng)執(zhí)行，安全分析師只需進(jìn)行審核和確認(rèn)，很大程度上減輕了分析師工作負(fù)擔(dān)，也有效降低了人犯錯(cuò)誤的可能性，使響應(yīng)更規(guī)范、更可靠，并且有效阻止了釣魚攻擊的進(jìn)一步泄露，降低了數(shù)據(jù)泄露和業(yè)務(wù)中斷的風(fēng)險(xiǎn)。

三、自動(dòng)化級(jí)升級(jí)為智能輔助級(jí)（當(dāng)前主流）

1.主要目標(biāo)

建立量化的安全運(yùn)營(yíng)體系，實(shí)現(xiàn)安全運(yùn)營(yíng)的精細(xì)化管理和持續(xù)改進(jìn)，引入AI技術(shù)提升對(duì)未知威脅、高級(jí)威脅和內(nèi)部威脅的檢測(cè)、分析和響應(yīng)能力，實(shí)現(xiàn)人機(jī)協(xié)同。

2.建設(shè)內(nèi)容

1）構(gòu)建安全大數(shù)據(jù)平臺(tái)：

• 數(shù)據(jù)湖/增強(qiáng)型SIEM：升級(jí)或構(gòu)建能夠處理海量、異構(gòu)數(shù)據(jù)的安全數(shù)據(jù)湖或增強(qiáng)型SIEM平臺(tái)；
• 數(shù)據(jù)治理：建立完善的數(shù)據(jù)治理體系，確保數(shù)據(jù)質(zhì)量；
• 數(shù)據(jù)處理能力：具備實(shí)時(shí)流處理和離線批處理能力。

2）引入AI安全分析平臺(tái)：

• 選擇采購商業(yè)AI安全分析平臺(tái)，或基于開源框架自建。

3）模型訓(xùn)練與優(yōu)化：

• 需要利用企業(yè)自身的安全數(shù)據(jù)對(duì)AI模型進(jìn)行訓(xùn)練和優(yōu)化。從成熟的AI應(yīng)用場(chǎng)景（如告警降噪、惡意軟件檢測(cè)）開始試點(diǎn)，逐步擴(kuò)展應(yīng)用范圍。

4）部署UEBA平臺(tái)：

• 接入足夠的數(shù)據(jù)源（如AD日志、VPN日志、數(shù)據(jù)庫日志、EDR數(shù)據(jù)等），確保基線模型的準(zhǔn)確性；將UEBA告警與SIEM、SOAR集成，實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)。

5）深化SOAR應(yīng)用與智能化：

• 復(fù)雜劇本：開發(fā)更復(fù)雜的自動(dòng)化響應(yīng)劇本，例如自動(dòng)化威脅狩獵、自動(dòng)化漏洞修復(fù)等；
• AI輔助決策：AI Agent可以根據(jù)事件上下文推薦最佳響應(yīng)劇本或響應(yīng)措施；
• 自適應(yīng)響應(yīng)：AI Agent可以根據(jù)響應(yīng)效果動(dòng)態(tài)調(diào)整響應(yīng)策略。

6） 建立量化指標(biāo)體系與持續(xù)改進(jìn)：

• 指標(biāo)定義與采集：定義關(guān)鍵安全運(yùn)營(yíng)指標(biāo)(KPIs)，如MTTD,MTTR,告警準(zhǔn)確率,漏洞修復(fù)時(shí)間等，并利用平臺(tái)自動(dòng)化采集；
• 分析與優(yōu)化：利用AI技術(shù)對(duì)指標(biāo)數(shù)據(jù)進(jìn)行分析，識(shí)別瓶頸，驅(qū)動(dòng)流程和策略的持續(xù)改進(jìn)；
• 績(jī)效關(guān)聯(lián)：將量化指標(biāo)與團(tuán)隊(duì)績(jī)效掛鉤，激勵(lì)團(tuán)隊(duì)提升。

3.考核指標(biāo)

• 安全團(tuán)隊(duì)具備較強(qiáng)的安全分析、事件調(diào)查和基礎(chǔ)AI應(yīng)用能力；
• SOAR平臺(tái)廣泛應(yīng)用，大部分安全事件響應(yīng)流程實(shí)現(xiàn)自動(dòng)化；
• UEBA平臺(tái)有效運(yùn)行，能夠檢測(cè)到內(nèi)部威脅和未知威脅；
• 量化的安全運(yùn)營(yíng)指標(biāo)體系建立并常態(tài)化運(yùn)行；
• 安全運(yùn)營(yíng)效率和效果（如MTTD、MTTR、準(zhǔn)確率）得到顯著提升。

4.構(gòu)建威脅情報(bào)平臺(tái)案例

某能源企業(yè)的威脅情報(bào)應(yīng)用實(shí)踐

案例概況

某能源企業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的代表，面臨著日益復(fù)雜和嚴(yán)峻的網(wǎng)絡(luò)安全威脅。為了有效應(yīng)對(duì)這些威脅，提升整體的安全防護(hù)能力，該企業(yè)決定在安全運(yùn)營(yíng)中引入威脅情報(bào)，并采取分階段、分步驟的方式進(jìn)行部署和應(yīng)用。目標(biāo)是通過威脅情報(bào)的引入和應(yīng)用，提升威脅檢測(cè)的準(zhǔn)確性和效率，減少誤報(bào)和漏報(bào)，增強(qiáng)安全運(yùn)營(yíng)的主動(dòng)防御能力，并優(yōu)化安全策略和監(jiān)控措施。同時(shí)，該企業(yè)希望借助威脅情報(bào)實(shí)現(xiàn)更高效的威脅狩獵，主動(dòng)發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡(luò)中的威脅，從而更好地保護(hù)企業(yè)資產(chǎn)和業(yè)務(wù)安全。

某能源企業(yè)在部署威脅情報(bào)時(shí)，他們采取了分階段、分步驟的方式：

情報(bào)源接入：該能源企業(yè)首先梳理了自身需要的威脅情報(bào)類型，包括惡意IP地址、惡意域名、惡意文件哈希、漏洞信息、攻擊組織信息（APT）、行業(yè)威脅情報(bào)等。然后，他們逐步接入了多個(gè)威脅情報(bào)源，如購買了某商業(yè)威脅情報(bào)、訂閱了某開源威脅情報(bào)、并加入了能源行業(yè)的信息安全共享聯(lián)盟，獲取行業(yè)內(nèi)的威脅情報(bào)，并且將安全團(tuán)隊(duì)在日常安全運(yùn)營(yíng)和事件響應(yīng)流程中發(fā)現(xiàn)的威脅情報(bào)，也記錄到威脅情報(bào)平臺(tái)中，平臺(tái)會(huì)自動(dòng)對(duì)來自不同情報(bào)源的數(shù)據(jù)進(jìn)行清洗、去重、標(biāo)準(zhǔn)化處理，將不同格式的情報(bào)數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的格式，并提取出關(guān)鍵的IOC。

情報(bào)分析與評(píng)估：該能源企業(yè)的安全團(tuán)隊(duì)利用威脅情報(bào)平臺(tái)提供的分析工具，對(duì)收集到的威脅情報(bào)進(jìn)行分析與評(píng)估。如分析不同情報(bào)源之間的關(guān)聯(lián)關(guān)系，例如，某個(gè)惡意IP地址是否與某個(gè)已知的攻擊組織相關(guān)聯(lián)。分析威脅情報(bào)的時(shí)間分布和變化趨勢(shì)，了解當(dāng)前的威脅。并根據(jù)威脅信息的類型、來源、可信度等因素，評(píng)估其對(duì)企業(yè)資產(chǎn)的潛在威脅。

情報(bào)應(yīng)用：該能源企業(yè)將威脅情報(bào)與SIEM平臺(tái)、SOAR平臺(tái)以及防火墻、EDR等安全設(shè)備進(jìn)行了集成。首先，威脅情報(bào)平臺(tái)將經(jīng)過處理和評(píng)估的威脅情報(bào)（例如惡意IP地址、惡意域名、惡意文件等）提供給SIEM平臺(tái)。SIEM平臺(tái)利用這些威脅情報(bào)，可以提升威脅檢測(cè)的準(zhǔn)確性和效率。例如，當(dāng)SIEM平臺(tái)檢測(cè)到某個(gè)IP地址與企業(yè)內(nèi)部主機(jī)通信時(shí)，會(huì)自動(dòng)查詢威脅情報(bào)，判斷該IP地址是否為已知的惡意IP地址。其次，威脅情報(bào)平臺(tái)為SOAR平臺(tái)的自動(dòng)化響應(yīng)腳本提供威脅情報(bào)支持。例如，在處理釣魚郵件攻擊事件時(shí)，SOAR平臺(tái)可以自動(dòng)查詢威脅情報(bào)，判斷郵件中的URL或附件是否為惡意。 

實(shí)際效果：在威脅情報(bào)平臺(tái)投入使用后，通過與SIEM集成，威脅情報(bào)平臺(tái)提供的威脅情報(bào)幫助SIEM平臺(tái)更準(zhǔn)確地識(shí)別出不良流量和不良行為，減少了誤報(bào)和漏報(bào)。通過與SOAR集成，威脅情報(bào)平臺(tái)為自動(dòng)化響應(yīng)提供了關(guān)鍵的威脅情報(bào)，使SOAR平臺(tái)能夠更快、更準(zhǔn)確地執(zhí)行響應(yīng)操作。通過對(duì)威脅情報(bào)的分析，該能源企業(yè)的安全團(tuán)隊(duì)能夠更早地了解威脅現(xiàn)狀，并采取主動(dòng)的防御措施，例如調(diào)整安全策略、加強(qiáng)安全監(jiān)控等?；谕{情報(bào)中豐富的威脅情報(bào)信息，安全分析師可以更有效地進(jìn)行威脅狩獵，主動(dòng)發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡(luò)中的威脅。

5.構(gòu)建AI分析平臺(tái)案例

某銀行構(gòu)建AI分析平臺(tái)案例

 案例概況

某銀行作為一家大型金融機(jī)構(gòu)，隨著數(shù)字化轉(zhuǎn)型的加速，其業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資產(chǎn)面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。傳統(tǒng)的安全運(yùn)營(yíng)中心（SOC）在應(yīng)對(duì)海量告警、人工分析壓力以及新型威脅方面逐漸顯得力不從心。為了提升威脅檢測(cè)和響應(yīng)的效率與智能化水平，該銀行決定對(duì)其現(xiàn)有的安全運(yùn)營(yíng)中心進(jìn)行升級(jí)，構(gòu)建一個(gè)強(qiáng)大的AI分析平臺(tái)，以更好地應(yīng)對(duì)當(dāng)前的安全挑戰(zhàn)。AI分析平臺(tái)建設(shè)目標(biāo)是實(shí)現(xiàn)智能化的告警處理、威脅情報(bào)分析和安全事件響應(yīng)，從而提升整體的安全運(yùn)營(yíng)效率和智能化水平。

實(shí)施過程示意圖

首先，針對(duì)銀行當(dāng)前安全運(yùn)營(yíng)面臨海量告警、人工分析壓力大、新型威脅不斷涌現(xiàn)等挑戰(zhàn)，確定了AI平臺(tái)的幾個(gè)關(guān)鍵應(yīng)用方向，包括智能化的告警分診和研判，自動(dòng)化的威脅情報(bào)分析和管理，以及輔助安全事件的智能調(diào)查和響應(yīng)。

在規(guī)劃和設(shè)計(jì)時(shí)，銀行考慮到數(shù)據(jù)安全和合規(guī)性要求，以及對(duì)性能的較高需求，選擇了部署本地化的大模型，并關(guān)注到AI智能體結(jié)合大模型和各種安全工具，實(shí)現(xiàn)更智能化的自動(dòng)化任務(wù)執(zhí)行，因此計(jì)劃構(gòu)建一個(gè)混合的AI平臺(tái)，包含通用的大語言模型，也包含針對(duì)安全領(lǐng)域垂直優(yōu)化的子模型或基礎(chǔ)AI技術(shù)架構(gòu)。功能包括利用知識(shí)圖譜技術(shù)關(guān)聯(lián)不同來源的安全數(shù)據(jù)，展示完整的攻擊鏈路；通過自然語言交互實(shí)現(xiàn)智能化搜索、威脅推演，以及AI報(bào)告生成、安全策略建議等方面。

由于該銀行已構(gòu)建的數(shù)據(jù)中臺(tái)，因此該銀行根據(jù)具體目標(biāo)場(chǎng)景，著手進(jìn)行數(shù)據(jù)平臺(tái)的數(shù)據(jù)接入，并采集、存儲(chǔ)和處理來自各種安全設(shè)備（防火墻、入侵檢測(cè)系統(tǒng)、終端安全產(chǎn)品）和IT系統(tǒng)的日志、告警和流量數(shù)據(jù)，進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化和清洗，為AI模型提供高質(zhì)量數(shù)據(jù)。

然后，該銀行與專業(yè)的安全廠商合作，將大模型和垂直領(lǐng)域基礎(chǔ)AI技術(shù)對(duì)接安全廠商的安全知識(shí)庫、威脅情報(bào)和惡意樣本數(shù)據(jù)，優(yōu)先在告警分診、威脅情報(bào)分析和安全報(bào)告生成等相對(duì)成熟的AI應(yīng)用場(chǎng)景進(jìn)行試點(diǎn)測(cè)試。計(jì)劃收到效果后，再逐步開發(fā)異常行為分析、威脅狩獵、漏洞優(yōu)先級(jí)排序和輔助事件調(diào)查等更復(fù)雜的AI應(yīng)用。

在AI應(yīng)用開發(fā)過程中，該銀行非常重視AI的可解釋性和信任度問題。嘗試探索利用更多數(shù)據(jù)進(jìn)行訓(xùn)練、提供結(jié)果的同時(shí)提供思考過程等手段來提高AI決策過程的透明度，并進(jìn)行充分的驗(yàn)證和測(cè)試，以確保AI分析結(jié)果的準(zhǔn)確性。

最后，該銀行認(rèn)為AI雖然能自動(dòng)化處理大量重復(fù)性任務(wù)，但最終的決策和復(fù)雜事件的處理仍然應(yīng)該由安全專家進(jìn)行審核和決策。因此，在自動(dòng)化處理流程環(huán)節(jié)增加專家審核和反饋的環(huán)節(jié)，以提升安全運(yùn)營(yíng)的準(zhǔn)確性和提高學(xué)習(xí)能力。

通過以上步驟，該銀行逐步構(gòu)建起了一個(gè)為其智能化安全運(yùn)營(yíng)中心提供強(qiáng)大支持的AI平臺(tái)，實(shí)現(xiàn)了更有效地應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅。

四、智能輔助級(jí)升級(jí)為自主級(jí)（未來主流）

1.主要目標(biāo)

實(shí)現(xiàn)高度智能化、自動(dòng)化和自適應(yīng)的安全運(yùn)營(yíng)，AI成為安全運(yùn)營(yíng)的核心引擎，安全系統(tǒng)具備自學(xué)習(xí)、自演進(jìn)能力，能夠自主預(yù)測(cè)、檢測(cè)、響應(yīng)和防御威脅，安全運(yùn)營(yíng)成為組織的核心競(jìng)爭(zhēng)力。

2.建設(shè)內(nèi)容

1） AI技術(shù)的全面深度應(yīng)用：

• 將AI技術(shù)深度融入安全運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)全方位的智能化；
• 廣泛應(yīng)用深度學(xué)習(xí)、可解釋AI(XAI)等更前沿的AI技術(shù)；
•  構(gòu)建更復(fù)雜、更精準(zhǔn)的AI模型，例如多模態(tài)融合分析模型、自適應(yīng)安全策略模型等。

2） AI Agent的自主化應(yīng)用：

• AI Agent不僅提供建議，更能自主決策和行動(dòng)；
• 實(shí)現(xiàn)多Agent協(xié)同，Agent負(fù)責(zé)不同任務(wù)，共同完成復(fù)雜的安全運(yùn)營(yíng)目標(biāo)；
• AI Agent具備強(qiáng)大的自主學(xué)習(xí)和進(jìn)化能力，能夠根據(jù)環(huán)境變化自動(dòng)調(diào)整策略。

3）安全運(yùn)營(yíng)平臺(tái)的自適應(yīng)能力建設(shè)：

• 安全平臺(tái)能夠根據(jù)當(dāng)前的威脅態(tài)勢(shì)、風(fēng)險(xiǎn)評(píng)估結(jié)果、業(yè)務(wù)變化等因素，自動(dòng)調(diào)整安全策略和檢測(cè)規(guī)則；
• 實(shí)現(xiàn)預(yù)測(cè)性安全，能夠基于數(shù)據(jù)和知識(shí)預(yù)測(cè)未來的安全威脅，并提前采取預(yù)防措施；
• 構(gòu)建自愈合的安全系統(tǒng)，能夠自動(dòng)發(fā)現(xiàn)和修復(fù)安全漏洞或配置錯(cuò)誤。

4）安全數(shù)據(jù)湖的智能化應(yīng)用：

• 安全數(shù)據(jù)湖不僅用于存儲(chǔ)數(shù)據(jù)，更成為AI模型訓(xùn)練、知識(shí)圖譜構(gòu)建、威脅狩獵的智能分析平臺(tái)；
• 利用AI技術(shù)對(duì)數(shù)據(jù)湖中的數(shù)據(jù)進(jìn)行深度挖掘，發(fā)現(xiàn)隱藏的模式和關(guān)聯(lián)。

5）人機(jī)協(xié)同模式的高度進(jìn)化：

• AI系統(tǒng)能夠像專家一樣思考和行動(dòng)，承擔(dān)絕大部分安全運(yùn)營(yíng)任務(wù)；
• 安全分析師的角色轉(zhuǎn)變?yōu)閼?zhàn)略規(guī)劃者、創(chuàng)新研究者、復(fù)雜決策者和AI監(jiān)督者；
• 人機(jī)交互更加自然流暢，例如通過自然語言進(jìn)行深度對(duì)話和協(xié)作。

6） 安全知識(shí)體系的自主演進(jìn)：

• 構(gòu)建動(dòng)態(tài)的安全知識(shí)圖譜和知識(shí)庫，AI Agent能夠自動(dòng)學(xué)習(xí)、更新和應(yīng)用安全知識(shí)。

3.考核指標(biāo)

• 安全團(tuán)隊(duì)具備強(qiáng)大的AI研發(fā)r和創(chuàng)新能力；
• AI Agent高度自主化運(yùn)行，能夠有效提升安全運(yùn)營(yíng)的各個(gè)方面；
• 安全運(yùn)營(yíng)平臺(tái)具備強(qiáng)大的自適應(yīng)能力；
• 安全運(yùn)營(yíng)的智能化水平達(dá)到業(yè)界領(lǐng)先；
• 能夠有效防御各種已知和未知的復(fù)雜攻擊；
• 安全運(yùn)營(yíng)能力成為企業(yè)的核心競(jìng)爭(zhēng)力。

4.關(guān)注點(diǎn)

隨著人工智能技術(shù)在安全運(yùn)營(yíng)中心（ISOC）的深入應(yīng)用，安全分析師的角色將逐步從傳統(tǒng)的“規(guī)則工程師”“告警分析師”轉(zhuǎn)變?yōu)椤癆I訓(xùn)練師”“AI監(jiān)督員”和“安全策略架構(gòu)師”。這不僅需要高效具備傳統(tǒng)的安全技能，還需要掌握人工智能相關(guān)的知識(shí)和技能。企業(yè)需要加強(qiáng)對(duì)安全分析師的培訓(xùn)，幫助他們實(shí)現(xiàn)角色轉(zhuǎn)型，才能充分運(yùn)用人工智能技術(shù)，構(gòu)建更智能的安全運(yùn)營(yíng)體系。