精品-2025网络安全运营自动化实践与智能化探索.pptx

安全运营自动化实践

与智能化探索

思考逻辑V2.2十字思维基于天地人物四个主要对象，向上思考三个层次。事出因（输入）果（输出），方（静态结构）法（动态逻辑）。V4.0太极有出入，有循环。可宏观，可微观。可代入，有重点。生态，天地。关系，生克。对象，人物。V4.1辩证思维一花一世界永恒变化、动态平衡普遍联系、对立统一自循环、自调用。归纳演绎、分析综合

安全运营时代1.0安全运营手工2.0安全运营自动化3.0安全运营数字化4.0安全运营智能化

安全运营管理逻辑因（输入）：合规、事件、风险、规划、研究。果（输出）：平安（风险全覆盖、及时发现，及时处置），行业贡献、国家贡献。

安全运营技术逻辑

安全运营自动化-环境基础革新服务器虚拟机IaaS/PaaSSaaS/FaaS运营革新SIEM+人工设备+人工设备+脚本设备+自动攻击革新手工攻击工具攻击自动攻击机器学习协作革新人机手工单向收集单向自动双向自动智能革新ChatGPTAutoGPT人类已经成为机器协作的瓶颈

安全运营自动化-痛点安全运营系统增加和安全运营工作的深入细化，存在的问题也日益凸显。其一，每日安全运营流程中闭环流转/沟通、安全设备之间的联动/数据加工已占工作总时长70%左右，不能依赖加人解决。其二，随着自动化技术的大量应用，安全漏洞被公开后攻击者针对特定目标可实现小时级攻击。其三，安全运营工作的日常管理、状态监控、统计分析等工作量过大，数据统计复杂，无法有效保障安全运营工作质量和安全能力有效。以上三点成为安全运营工作当前突出的问题，急需解决

1、安全系统量多30+2、安全告警量大1000+3、人员数量少3-5人4、RCE漏洞情报获取不及时5、应急响应多系统间协作6、多人协作、等待时间长7、运营工作闭环跟踪困难安全运营自动化-痛点

安全运营与自动化-收益进入安全运营2.0时代的钥匙安全度量-指标自动化计算自动处置-人力费用节省高效处置-缩小风险暴露时长灵活作战-统一协作所有人员和设备

1、建设形式自主自研VS采购VS开源2、系统接入web/ssh/RPC/API/爬虫/验证码/加解密3、剧本设计无限剧本VS剧本授权4、网络接入直连VS正向代理VS反向代理5、系统定位禁忌在系统中安全能力6、剧本复用父子剧本调用7、快速命令元子功能调用自定义节点（代码）安全运营自动化-设计思考

安全运营自动化-架构设计

安全运营自动化-功能设计自动化功能模块持久化模块执行模块触发管理模块告警管理模块响应管理模块数据仪表盘安全运营度量指标图形化界面多维度图表展示剧本/工作流管理剧本查询详情查看任务编排功能调试限定查看触发方式多样化定时触发事件触发手工触发插件管理设备实例配置一键测试连通性实时调用攻防作战室快速命令快速剧本命令自动补全聊天室记录保存能力有效性验证服务检活检活方式异常告警用户权限和审计用户统一管理权限最小化会话保持传输加密日志审计

1、这个系统对接不了？2、这个系统接口权限太高？3、收集不到自动化需求？4、这个需求无法自动化？5、这个流程无法自动化？6、自动化需求一改再改？7、没有人开发自动化剧本？安全运营自动化-挑战

安全运营自动化-逻辑运营需求来源新上线的安全设备安全设备的新功能制定的新告警规则运营过程中新发现运营项外部获取的经验和方法内部事件、告警总结的经验和要加强的不足项识别日常运营工作过程中告警、事件等复盘会议中领导、外部学习中月度需求收集会议上登记在每月的运营需求收集会上进行说明并在登记表中进行登记实践按造思路进行运营实践将实践经验整理到各自领域的标准文档中自动化需求来源能自动化标准化的工作都需要自动化标准化要求运营需求中已经实践过至少3次的需求需求自动化产生的收益流程：申请自动化评估ROI评估ROI通过转自动化评估ROI未通过转人工运营

威胁情报事件响应告警分析漏洞修复数据安全有效性验证设备巡检运维告警授权巡检离职审计安全运营自动化-场景

安全运营自动化-成果

安全运营智能化-痛点面对自动化传播类攻击，抑制速度跟不上。如勒索软件、蠕虫病毒等。面对通用高危漏洞利用，响应速度跟不上。如通用RCE、信息泄露等。利用漏洞短时间内感染大量计算机利用域控内自动传播的能力

安全运营智能化-思考为什么传统SOC、SEIM、XDR无法解决？基于对象OR基于五元组主动响应和被动响应的区别是什么？局部信息VS全局信息VS历史信息VS当下信息智能决策或快速决策的前提条件是什么？主动加固=历史信息+当前安全隐患事前加固主动阻断=历史信息+当下攻击行为主动响应+预阻断

安全运营智能化-愿景80%的应急处置工作智能化完成80%的告警分析工作智能化完成80%的漏洞管理工作智能化完成

安全运营智能化-