路雖遠(yuǎn)，行則將至 ---京東方安全運(yùn)營中心的5年探索路

“京東方不僅僅是傳統(tǒng)認(rèn)知的一家科技制造企業(yè)，而且擴(kuò)展出很多的業(yè)態(tài)，既包括小課屏、畫屏等面向C端的創(chuàng)新產(chǎn)品，也包括互聯(lián)網(wǎng)醫(yī)院、移動(dòng)健康等智慧醫(yī)療服務(wù)。這就意味著我們的信息系統(tǒng)和數(shù)據(jù)開放性更強(qiáng)，暴露面更廣，因此網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也越來越嚴(yán)峻。”京東方安全中心負(fù)責(zé)人李楠這樣表示。

京東方科技集團(tuán)股份有限公司(BOE)創(chuàng)立于1993年4月，是一家領(lǐng)先的物聯(lián)網(wǎng)創(chuàng)新企業(yè)，形成了以半導(dǎo)體顯示為核心，物聯(lián)網(wǎng)創(chuàng)新、傳感器及解決方案、MLED、智慧醫(yī)工融合發(fā)展的“1+4+N+生態(tài)鏈”業(yè)務(wù)架構(gòu)。目前京東方在全國多個(gè)城市擁有制造基地，子公司遍布全球20個(gè)國家和地區(qū)，服務(wù)體系覆蓋歐、美、亞、非等全球主要地區(qū)。

更開放的業(yè)態(tài)拓展，更廣泛的全球布局、更龐大的IT系統(tǒng)規(guī)模……都給京東方信息系統(tǒng)的網(wǎng)絡(luò)安全提出了嚴(yán)峻挑戰(zhàn)。在這種情況下，從2018年起，京東方就啟動(dòng)安全運(yùn)營中心(SOC)建設(shè)，是國內(nèi)最先部署SOC類產(chǎn)品的大型企業(yè)之一。經(jīng)過多年建設(shè)，SOC的成熟度已經(jīng)走在了行業(yè)前列，并屢獲權(quán)威機(jī)構(gòu)的推薦。

啟動(dòng)篇：以資產(chǎn)為抓手 破解“安全孤島”難題

據(jù)李楠回憶，京東方從早期就非常重視網(wǎng)絡(luò)安全，并在各個(gè)模塊都有齊全的防護(hù)措施，如數(shù)據(jù)安全方面有特權(quán)賬號(hào)管理，終端防御、網(wǎng)絡(luò)防御、主機(jī)防御都有安全部署，可以應(yīng)對(duì)常規(guī)的病毒木馬、數(shù)據(jù)泄露、非授權(quán)訪問等常規(guī)威脅。

然而，隨著集團(tuán)信息化建設(shè)不斷深入，業(yè)務(wù)系統(tǒng)資產(chǎn)及漏洞暴露面越來越大、大量日志數(shù)據(jù)孤島叢生缺少關(guān)聯(lián)及分析、安全措施各自為戰(zhàn)難以協(xié)同等問題也日益凸顯。同時(shí)，隨著各類安全產(chǎn)品的不斷部署，海量安全日志無法得到合規(guī)存儲(chǔ)，不僅存在合規(guī)風(fēng)險(xiǎn)，也存在日志無法有效利用的運(yùn)營瓶頸。

面對(duì)千絲萬縷、紛繁龐雜的集團(tuán)網(wǎng)絡(luò)安全狀況，該如何破題?李楠團(tuán)隊(duì)給出的答案是“著眼資產(chǎn)”，即以資產(chǎn)為抓手，盤清家底、統(tǒng)攬全局。

“選擇資產(chǎn)為切入口，基于兩層原因，首先是2016年4月19日習(xí)近平總書記主持召開的網(wǎng)絡(luò)安全和信息化工作座談會(huì)中，重點(diǎn)提到‘要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改?！硪环矫妫褪蔷〇|方在終端安全方面已經(jīng)有了良好基礎(chǔ)，將終端資產(chǎn)作為安全管理的切入口，就變得順理成章、水到渠成。”

在這種情況下，奇安信剛推出不久的態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)(NGSOC)，走進(jìn)了京東方的視野。尤其是該平臺(tái)在資產(chǎn)發(fā)現(xiàn)、日志收集、關(guān)聯(lián)分析、服務(wù)器脆弱性管理等功能，吸引了京東方的極大關(guān)注。

在李楠看來，資產(chǎn)是網(wǎng)絡(luò)安全運(yùn)營管理非常重要的環(huán)節(jié)，第一階段的核心工作，是以資產(chǎn)為中心收集資產(chǎn)、脆弱性、日志、流量等基礎(chǔ)數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行分類梳理，對(duì)安全事件進(jìn)行管理，以實(shí)現(xiàn)基礎(chǔ)運(yùn)行，為運(yùn)行可控打好基礎(chǔ)。從2018年到2019年，京東方依托態(tài)勢(shì)感知平臺(tái)完成了SOC建設(shè)的第一階段。

第一階段的建設(shè)從幾個(gè)層面展開：在資產(chǎn)層面，通過人工錄入、模板導(dǎo)入、流量探針、主機(jī)安全管理、漏掃等措施，實(shí)現(xiàn)了梳理資產(chǎn)、摸清家底;在漏洞層面，通過定期脆弱性掃描、漏洞與資產(chǎn)自動(dòng)匹配、資產(chǎn)風(fēng)險(xiǎn)評(píng)估等機(jī)制，找出漏洞并有效管理;在日志留存層面，通過態(tài)勢(shì)感知平臺(tái)完成日志匯聚、資產(chǎn)安全事件回溯分析、審計(jì)合規(guī)等基礎(chǔ)性工作;在威脅發(fā)現(xiàn)層面，通過建立有效而全面的流量分析，有效發(fā)現(xiàn)大量透過防御體系的安全風(fēng)險(xiǎn);而在事件管理層面，通過大數(shù)據(jù)處理技術(shù)及威脅情報(bào)匹配，以及資產(chǎn)數(shù)據(jù)信息查詢責(zé)任人等，大大提高了安全事件的分析處置效率。

該階段建設(shè)的效果可謂立竿見影：在運(yùn)營方面，實(shí)現(xiàn)了所有已知資產(chǎn)對(duì)應(yīng)責(zé)任到人，高危漏洞有效管理，資產(chǎn)、漏洞、告警有效關(guān)聯(lián)，關(guān)鍵安全事件閉環(huán)解決率100%，安全事件響應(yīng)時(shí)間節(jié)約90%以上，并可通過儀表板、大屏等方式數(shù)字化展示集團(tuán)網(wǎng)絡(luò)安全各維度關(guān)鍵指標(biāo)。在合規(guī)方面，實(shí)現(xiàn)日志留存6個(gè)月以上，完全符合法規(guī)及等保要求，并支撐HR、ERP、畫屏及郵箱等系統(tǒng)順利完成等級(jí)保護(hù)測(cè)評(píng)。

完善篇：“多平臺(tái)互聯(lián)互通 構(gòu)建安全中樞大腦”

“第一階段建設(shè)顯著提升了集團(tuán)的安全水平，但隨著SOC發(fā)揮的作用越來越大，我們也發(fā)現(xiàn)了新的問題，例如部分告警資產(chǎn)無法找到責(zé)任人，子公司告警無法有效定位，告警量大，告警流程手工處理慢等?！崩铋硎?。為此，從2019年開始，集團(tuán)決定啟動(dòng)SOC第二階段，即功能完善建設(shè)階段。

根據(jù)規(guī)劃，SOC第二階段的任務(wù)，主要是完善并實(shí)時(shí)了解資產(chǎn)屬性信息變化，屬地公司部署流量探針,集團(tuán)完成平臺(tái)擴(kuò)容，和周邊設(shè)備做數(shù)據(jù)打通，對(duì)關(guān)聯(lián)規(guī)則告警進(jìn)行優(yōu)化降噪，網(wǎng)絡(luò)安全數(shù)字化展示等，進(jìn)而支撐資產(chǎn)、事件、漏洞全生命周期管理。主要圍繞以下幾個(gè)方面：

首先是更精細(xì)化的資產(chǎn)管理。一期工程盡管實(shí)現(xiàn)了有效的資產(chǎn)發(fā)現(xiàn)及資產(chǎn)管理，但由于所管理的組織過于龐大，資產(chǎn)責(zé)任部門及責(zé)任人時(shí)常動(dòng)態(tài)變化，故存在一些在網(wǎng)設(shè)備無法實(shí)時(shí)準(zhǔn)確對(duì)應(yīng)責(zé)任部門及責(zé)任人的問題。同時(shí)資產(chǎn)缺少入網(wǎng)、退網(wǎng)狀態(tài)管理。該階段，京東方通過定制化開發(fā)完成SOC平臺(tái)和CMDB(資產(chǎn)管理系統(tǒng))數(shù)據(jù)的實(shí)時(shí)打通，給每個(gè)資產(chǎn)賦予BMC編號(hào)，并通過API接口完成態(tài)勢(shì)感知平臺(tái)及CMDB資產(chǎn)數(shù)據(jù)之間的實(shí)時(shí)同步，以應(yīng)對(duì)組織及人員變化對(duì)資產(chǎn)準(zhǔn)確性的影響。通過自定義資產(chǎn)屬性字段增加入網(wǎng)、退網(wǎng)標(biāo)簽，并通過“資產(chǎn)發(fā)現(xiàn)確認(rèn)”流程，對(duì)入網(wǎng)/退網(wǎng)資產(chǎn)進(jìn)行管理。真正實(shí)現(xiàn)了從看見發(fā)現(xiàn)，到清晰識(shí)別和實(shí)時(shí)掌控。

其次是建立集團(tuán)化安全運(yùn)營。作為分支機(jī)構(gòu)遍布全國各地的大型集團(tuán)企業(yè)，京東方對(duì)于大型屬地公司和小型屬地公司采取不同的部署、運(yùn)營和賬號(hào)權(quán)限策略。集團(tuán)可通過級(jí)聯(lián)管理及分權(quán)分域管理向?qū)俚貑挝幌掳l(fā)針對(duì)性關(guān)聯(lián)分析規(guī)則及預(yù)警通報(bào)，以對(duì)下級(jí)單位進(jìn)行賦能。基于平臺(tái)計(jì)算存儲(chǔ)所需資源，態(tài)勢(shì)感知平臺(tái)服務(wù)器集群也在隨著數(shù)據(jù)量的增加而增加。

　再次是和周邊設(shè)備完成數(shù)據(jù)拉通，夯實(shí)安全大腦定位。通過定制化開發(fā)及API接口的對(duì)接，京東方先后完成和多個(gè)產(chǎn)品間的數(shù)據(jù)打通。例如，和主機(jī)CWPP對(duì)接自動(dòng)獲取服務(wù)器資產(chǎn)及配置基線數(shù)據(jù);和資產(chǎn)管理系統(tǒng)對(duì)接完成全集團(tuán)資產(chǎn)數(shù)據(jù)信息的實(shí)時(shí)同步;和漏掃設(shè)備對(duì)接，實(shí)現(xiàn)直接在態(tài)勢(shì)感知平臺(tái)調(diào)用漏掃設(shè)備下發(fā)掃描策略進(jìn)行掃描并自動(dòng)導(dǎo)入漏掃結(jié)果;和第三方威脅情報(bào)平臺(tái)對(duì)接，完成雙威脅情報(bào)匹配，為自動(dòng)化處置打下基礎(chǔ);和ITSM系統(tǒng)對(duì)接，實(shí)現(xiàn)手動(dòng)或部分確認(rèn)性告警及脆弱性風(fēng)險(xiǎn)自動(dòng)派單，縮短人員處置響應(yīng)時(shí)間;和用戶中臺(tái)對(duì)接，從用戶中臺(tái)同步用戶信息實(shí)現(xiàn)SOC平臺(tái)的單點(diǎn)認(rèn)證登錄;和短信及移動(dòng)門戶平臺(tái)對(duì)接，實(shí)現(xiàn)告警及風(fēng)險(xiǎn)的消息提醒;和工控安全產(chǎn)品對(duì)接，實(shí)現(xiàn)IOT設(shè)備數(shù)據(jù)一體化分析、管理和展現(xiàn)等。

再者是更加持續(xù)優(yōu)化的安全運(yùn)營。李楠做了一個(gè)比喻，NGSOC在整個(gè)安全運(yùn)營中就如同“大腦中樞”，它一方面“眼觀六路、耳聽八方”，打通集團(tuán)各類平臺(tái)并匯聚分析集團(tuán)資產(chǎn)、漏洞、日志、流量、告警等各類數(shù)據(jù)。另一方面，要“知行合一”，通過新增“告警處理流程”、“漏洞處置流程”，實(shí)現(xiàn)對(duì)告警處理閉環(huán)和漏洞生命周期管理，避免對(duì)安全風(fēng)險(xiǎn)出現(xiàn)“跟丟跑飛”的情況。對(duì)于告警量過大的通病，京東方通過各種技術(shù)手段進(jìn)行篩選，結(jié)合長時(shí)間的風(fēng)險(xiǎn)修復(fù)運(yùn)營，告警量已從最初的每日上萬級(jí)下降到每日上百級(jí)，達(dá)到人工可逐一分析處理的水平。

最后是更為靈活多維的安全態(tài)勢(shì)展現(xiàn)。一期工程由于缺少相應(yīng)數(shù)據(jù)及功能支撐， 僅有外部威脅態(tài)勢(shì)、內(nèi)部威脅態(tài)勢(shì)、資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)、安全運(yùn)營態(tài)勢(shì)等部分大屏。持續(xù)優(yōu)化之后，增加了包括資產(chǎn)態(tài)勢(shì)、全網(wǎng)脆弱性態(tài)勢(shì)、攻擊者態(tài)勢(shì)、業(yè)務(wù)外聯(lián)態(tài)勢(shì)、威脅預(yù)警態(tài)勢(shì)、攻防演練態(tài)勢(shì)、綜合安全態(tài)勢(shì)、漏洞生命周期態(tài)勢(shì)、全球BOE設(shè)備及流量監(jiān)控態(tài)勢(shì)、應(yīng)用系統(tǒng)安全態(tài)勢(shì)等大屏展示場(chǎng)景，從而更加數(shù)字化、專題化、精細(xì)化的展示京東方整體網(wǎng)絡(luò)安全態(tài)勢(shì)。

通過該階段的功能完善，京東方SOC的資產(chǎn)管理更加契合自身安全管理屬性，并實(shí)現(xiàn)了告警處理閉環(huán)和漏洞生命周期管理。尤其在告警準(zhǔn)確及風(fēng)險(xiǎn)閉環(huán)方面，京東方走在了國內(nèi)前列。

優(yōu)化篇：深入業(yè)務(wù)威脅建模 夯實(shí)風(fēng)險(xiǎn)管理屏障

階段一和階段二建設(shè)完成后，整體安全運(yùn)營框架搭建完畢，安全運(yùn)營體系基本形成。但隨著集團(tuán)數(shù)字化轉(zhuǎn)型的持續(xù)開展，業(yè)務(wù)系統(tǒng)和安全要素的融合越來越密切，各類新的問題也開始出現(xiàn)，比較明顯的主要是兩方面：基于業(yè)務(wù)場(chǎng)景的關(guān)聯(lián)規(guī)則分析能力不足，SOC特定的告警處置占用了安全人員大量時(shí)間。

“安全人員不懂業(yè)務(wù)，業(yè)務(wù)建模有難度，是紅藍(lán)雙方共同的痛點(diǎn)?！本〇|方SOC建設(shè)負(fù)責(zé)人張森對(duì)打通安全和業(yè)務(wù)的難度，有著深刻理解。為了強(qiáng)化基于業(yè)務(wù)場(chǎng)景的關(guān)聯(lián)規(guī)則分析能力，京東方開展業(yè)務(wù)建模工作，通過深入分析業(yè)務(wù)安全需求，實(shí)現(xiàn)了業(yè)務(wù)指標(biāo)和IT指標(biāo)的深度綁定。

以釣魚郵件為例，過去僅有釣魚郵件告警這一粗粒度的IT指標(biāo)，業(yè)務(wù)建模之后，細(xì)化為釣魚郵件收取率、打開率、URL點(diǎn)擊率等業(yè)務(wù)指標(biāo);同樣，邊界安全的防火墻IP阻斷/允許次數(shù)，轉(zhuǎn)化為關(guān)鍵業(yè)務(wù)攻擊量?；跇I(yè)務(wù)場(chǎng)景制定了大量關(guān)聯(lián)分析及基線分析規(guī)則，包括賬號(hào)新增、賬號(hào)鎖定、釣魚郵件、運(yùn)維審計(jì)等等。通過該項(xiàng)工作，最終實(shí)現(xiàn)了以資產(chǎn)、業(yè)務(wù)為核心的全集團(tuán)風(fēng)險(xiǎn)管理并積累了大量安全運(yùn)營知識(shí)庫。

除了推動(dòng)業(yè)務(wù)建模之外，京東方運(yùn)營團(tuán)隊(duì)和奇安信一起，重點(diǎn)推動(dòng)了海量告警的合并降噪。具體采取了定期梳理資產(chǎn)、告警歸并、告警降噪、建立運(yùn)營模式等多項(xiàng)措施，通過明確責(zé)任人以治降噪，對(duì)具有相同屬性的告警數(shù)據(jù)根據(jù)特定邏輯進(jìn)行歸并，過濾明顯的無效數(shù)據(jù)，通過威脅情報(bào)進(jìn)行二次校驗(yàn)，對(duì)運(yùn)營知識(shí)積累形成知識(shí)庫等措施，大幅度減少低價(jià)值告警數(shù)量，實(shí)現(xiàn)了運(yùn)營效率的顯著提升。

效率篇： NGSOC+SOAR雙劍合璧 自動(dòng)化響應(yīng)提質(zhì)增效

完成前三個(gè)階段之后，京東方SOC已經(jīng)具備了體系運(yùn)營的基礎(chǔ)，在成熟度層面逐漸成為行業(yè)翹楚。從2022年開始，京東方將安全自動(dòng)化響應(yīng)提上了日程?！鞍踩\(yùn)營人員的精力和時(shí)間是寶貴的，我們希望他們從繁瑣事務(wù)中解放出來，投入到事件研判、溯源追蹤等更高價(jià)值、更高技術(shù)含量的工作之中?！?/p>

具體實(shí)現(xiàn)上，京東方針對(duì)通用的、大批量的、固定流程的告警，以及運(yùn)維人員告警處置過程等形成SOP。并在NGSOC基礎(chǔ)上，通過定制安全自動(dòng)化編排與響應(yīng)工具(SOAR)，集成多類自動(dòng)化通知，將人工處理的過程定義成劇本，實(shí)現(xiàn)告警自動(dòng)化處理。

通過SOAR劇本的編排，最終大幅度縮短了SOC響應(yīng)和處置時(shí)間，提升了效率。從實(shí)際效果來看，自動(dòng)化處置和人工處置相比，在NGSOC中發(fā)現(xiàn)同類告警，時(shí)間從3分鐘縮短到不到10秒鐘;根據(jù)告警查詢文件信譽(yù)/文件信息，時(shí)間從5分鐘縮短到5秒;下載文件和上傳文件檢測(cè)內(nèi)容，時(shí)間從5分鐘縮短到10秒以內(nèi);而發(fā)送告警處置結(jié)果通知，時(shí)間從2分鐘縮短到5秒以內(nèi))，整體的響應(yīng)處置時(shí)間從15分鐘縮短至30秒，效率提升幅度達(dá)到96.7%。

更重要的是，NGSOC和SOAR的強(qiáng)強(qiáng)聯(lián)合，可形成“采集-分析-響應(yīng)-復(fù)盤-總結(jié)”的持續(xù)動(dòng)態(tài)閉環(huán)，解決了安全運(yùn)營的最后一公里落地問題。對(duì)于漏洞管理可以實(shí)現(xiàn)全流程閉環(huán)管理，能夠追責(zé)到資產(chǎn)漏洞責(zé)任人，并進(jìn)行告警狀態(tài)調(diào)整。針對(duì)自動(dòng)工單派發(fā)，在NGSOC中產(chǎn)生的告警，由人工派單轉(zhuǎn)換為自動(dòng)下發(fā)處置工單，并可通過郵件、短信、內(nèi)部通信工具等方式通知資產(chǎn)責(zé)任人，加快整體派單效率，相關(guān)方可持續(xù)跟蹤工單處置狀態(tài)。

李楠總結(jié)道：“通過自動(dòng)化響應(yīng)、自動(dòng)派單的安全運(yùn)營模式，我們可以在實(shí)踐中不斷的復(fù)盤整改，讓運(yùn)營人員騰出精力去做更隱蔽的攻擊行為分析或漏洞研究，反哺平臺(tái)的告警分析規(guī)則，最終形成一個(gè)‘告警處置越來越智能，平臺(tái)運(yùn)營越來越省心，風(fēng)險(xiǎn)識(shí)別越來越精準(zhǔn)’的良性循環(huán)，推動(dòng)SOC真正邁入高成熟度的體系運(yùn)營階段?！?/p>

　結(jié)束語：

根據(jù)賽迪顧問發(fā)布的《2021-2022中國安全運(yùn)營中心調(diào)研分析報(bào)告》(簡稱：《報(bào)告》)顯示，國內(nèi)企業(yè)安全運(yùn)營中心建成率已接近九成，但有高達(dá)65.5%的受訪企業(yè)僅處于一、二級(jí)成熟度區(qū)間”，大多數(shù)企業(yè)安全運(yùn)營中心的成熟度還比較低?！秷?bào)告》重點(diǎn)推薦了京東方的安全運(yùn)營中心的建設(shè)案例，按照賽迪顧問的成熟度模型，京東方已接近實(shí)現(xiàn)了四級(jí)的體系運(yùn)營，并向最高級(jí)——五級(jí)的深度運(yùn)營逐步靠近，在國內(nèi)大型企業(yè)中處于領(lǐng)先水平。

“路雖遠(yuǎn)，行則將至;事雖難，做則必成”。京東方SOC能取得安全運(yùn)營成熟度行業(yè)領(lǐng)先的成績，歸其原因，不僅僅是布局早、規(guī)劃清晰，更重要的是將規(guī)劃目標(biāo)的每一項(xiàng)任務(wù)分解都落到了實(shí)處，每一個(gè)細(xì)微工作都做到了極致，拾級(jí)而上、聚沙成塔, 經(jīng)過5年持之以恒、日積月累的分階段建設(shè)，分步驟實(shí)施，京東方的安全運(yùn)營中心，最終成為全行業(yè)的重要標(biāo)桿。