爱加密程智力：如何设计重感知、重响应、轻防护的 MSOC

以前，宅客频道曾撰文称“CSO（首席安全官）是企业的背锅侠”。玩笑归玩笑，事实上，企业打造安全框架有三类人：高管层、中间管理层、一线技术人员，这三类人各司其职，也有不同的安全需求。

不久前，刚刚获得新一轮融资的爱加密召开了一场媒体沟通会，爱加密技术副总裁程智力重新介绍了其已发布半年的重磅产品 MSOC，并对宅客频道阐述了他对企业三类人的安全需求以及打造企业安全网络的看法。 

口述：程智力 | 整理：李勤

三类人的安全需求

对高管层来说，他们主要关心的其实就是法规遵从或法律免责，企业做安全，本身不产生任何经济效益，所以，他们第一关心的是如果出现问题，是否需要承担责任。

管理层关心的是，保证企业的核心业务不受到安全威胁的影响，上线新业务后，如何与原有安全架构整合，是否需要运用新技术打造弹性可拓展的安全平台。

如果真的要建设一种这样的平台，还要考虑两点，第一，安全工作的量化——汇报时能明明白白告诉老板安全投入在哪里，产生了什么效果。第二，优化运维，让看上去一团杂乱的安全工作高效、有序。

对于技术人员，他们关心的是，出现风险后，如何跟踪问题，直到解决问题；如果要建立移动互联网的安全，如何与传统的IT架构整合。

三个层次的防护体系

基于这个需求，建立企业安全的防护体系，我们通常分为三个层次。任何一个防护安全体系都不是一蹴而就建设而来，需要一个统一的规划，再逐步建设。

第一，建立从静态到动态再到实时的防护防护体系，符合国家网安法和等级保护2.0的基本要求。

去年颁布的网安法明确要求企业建立威胁预警和响应机制，本质就是要求企业建立主动实时的安全防护体系。而等保2.0通过对移动互联网、云计算、大数据、物联网和工业控制的扩展，要求企业建立管理和技术并重的实时安全防护架构。。

第二，动态保护就是企业运转起来。

第三，实时保护就是要做主动和提前防御。实时保护实际落地就是实践从被动到主动的原则，这个原则说起来很简单，是一个指导规范，但是应该怎么落地？要做基础建设，即从终端到网络再到服务器，整体安全保护架构要是齐全的，而这要求我们要有一个基本的平台。

我们要建立一个基本的平台，平台是企业统一的标准、接口和入口，其意义在于，企业一开始规划这样一个安全计划规范时，就要通过平台建立统一的标准或者统一的接口，所有的安全建设都在这个平台之上，通过模块化的方式增加，就可以保障所有的投资在每一步都可以得到保护。

也就是说投资之后，只要是基础没有变化，它可以一直用，不会被淘汰，所以这是我们要建设的基础架构。当然，缺什么还要建什么。比如，移动安全从安全开发到安全应用，中间的所有的环节都需要进行保护，那么需要去进行建设包括物联网、云、大数据等方面的安全。

建设时，强调的是把异构的安全防护系统融合在统一的平台上，形成异构管理。

我们还要做融合，因为我们要保护的不是基于某一个的单一系统，它是基于业务的，安全保护要基于业务进行防护，针对终端、网络、服务器和后台数据库的防护的系统在底层都要融合。

这种融合主要是数据的融合，只有把数据融合在一起，才能够有主动防御的前提和可能。所谓的数据融合，就是要和传统 IT 框架融合，在移动互联网环境，或是物联网云计算环境下给我们带来新的防护体系，新的防护体系如何和原来的 IT 防护的系统进行融合，包括对用户的融合，还有跟安全风险管理流程的融合，问题跟踪的融合，这些都需要考虑，在底层设计的时候一并考虑。

除了保护内部之外，还需要考量外部互联网环境的风险。所以需要跟第三方威胁库融合，通过引入第三方威胁情报来获取外部的相关风险情况。

举个很简单的例子，假如客户是一个银行，银行在看内部风险时，如果说有一个第三方风险情报告诉你，银行业相关的应用目前正在遭受某一种恶意代码的攻击，虽然你没有遭受这种攻击，但是由于企业自身的行业归属，遭受这个攻击的可能性比较高，如果拿到这些数据，可以提前对威胁进行预防式防御，未来可能出现这种风险时，免遭危害。

我们要跟安全态势进行融合，这种怎么做？在展示风险时，要做到对现在的移动端、云端、物联网端的风险进行统一展示，所以这种融合要打通数据底层。

第四，要做智能防御，因为让所有的安全系统在一个平台之上进行管理，所有数据做了融合，然后就是利用机器学习相关的技术帮助我们主动从数据中分析潜在的风险和威胁，智能防御或者主动防御的前提就是要能感知威胁。除了收集数据，我们需要通过人工智能技术帮助我们做感知的这种操作，进行自动化响应。

总结一下，其实就是重感知、重响应、全防护。

四个原则

针对 MSOC 的设计，结合上述的想法，需要遵循四个原则。

第一，因为传统 SOC 的融合是通过 API 的方式，通过 API 的融合其功能是有限制的，只能局限于 API 范围之内，第二，融合时间很长，一般来说，API 的融合少则1、2周，多则一个月，而且它会涉及到修改两个系统的架构。

不通过 API ，那用什么？我们使用一个个类似虚拟机的容器，把系统直接装在这个容器里，实现安全系统的融合和集成。这样可以打到“使用 API 的痛处”，短时间内实现平台和底层数据层面的融合。

所以，我们做的统一融合可以实现非常简单的融合，只要半天的时间，就可以部署一个新系统的融合，这种融合赋予了平台一个非常强大的扩展能力。

第二，做弹性的扩展，以后企业的系统越来越多，我要达到的是功能和性能上的扩展，通过抛弃 API 的模式，可以形成无缝的扩展，不管是用 BS 的架构、CS 的架构，甚至是一个命令行的架构，都没关系，我们要求这个扩展实现起来非常快和简单。

第三，平台的管理都是数据驱动。例如，当我们自动扫描一个APP，出现风险时，我们会自动要求这个 APP 进行加固，这个加固策略基于扫描的报告自动形成，我们的架构策略是抵御这样一种检测中的问题和漏洞，这个过程不要求有人工干预。

如果发现外部的攻击，比如来自云端 WAF 的设备，这个设备来自于一个移动端，攻击来了之后要把风险对应到 APP，如果有问题要求它自动进行修复，外部的风险驱动同样也是数据驱动。

不管是对内还是对外，我们要求它都是数据驱动，完全自动化。所以，我们就要有数据，这个数据一是自己产生的，第二就是感知来的数据，所以感知数据越全面，对风险或者威胁的预警能力越强。

第四步，智能连接。很早就有很多企业提出要建立安全联盟，安全联盟当时要做的就是不同的异构设备之间的联动，但是这么长时间过去了，我没有看到基于 SOC 的很成功的联动案例。

为什么没有？因为他们的数据没办法无缝融合在一起，不同安全的威胁架构，其数据的格式是异构的，只有同一厂商才能做到一定程度上的连接，但是现在讲智能连接，就是要打通移动企业的各个环节，要求底层的产品做到无缝连接，我们要做数据层面的融合，把所有数据都融合在一起，通过这种方式才能做到智能。

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 女鉴黄师 | 以图搜图 心脏滴血 | 撞库攻击 | 潜行追踪 刷票 | 人肉 | 勒索 | 内鬼 超级欺骗系统 真相篇 ▼ 战斗民族野生聊天 App 草榴社区这类色情网站为什么封不掉 什么样的漏洞买得起北京二环一套房？ 上了个“假”黄网，误入了7亿黑产的大门 13岁小黑客自学一年挖到了微软、谷歌的漏洞 中学教材现黄色网站 人教社回应遭网友质疑 干货！top白帽子 Gr36_ 手把手教你挖漏洞 我们可以用“免疫系统”对抗黑客入侵吗？ 这位叔叔要教勒索软件一些做人的道理 有个网站叫“我知道你下载了什么” 无线电攻击居然还能用来打飞机 “道哥”透露从业初心 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 把老婆训练成女黑客的漏洞大神黄正 “真爱”黑客 Fooying 手把手教你追妹子 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注