背景

5G网络、大数据、人工智能等“新基建” 背景下网络空间正面临严峻的安全挑战，威胁检测只完成了一半的安全工作。企业中传统的攻防应对机制和处置手段凸显能力不足，攻防指挥过度依赖人工，无法规模化开展线上协同和自动化处置跟踪；安全事件种类和频次骤增，预警信息不精准导致处置缺乏针对性；编排调度能力匮乏，不满足风险自适应安全防护的需求，难以实现安全损失最小化控制。为了应对越来越多的警报、繁杂冗余的工具和技术人员短缺问题，需要打造智能事件的响应能力。

安全处置智能化建设目标

利用企业现有支撑网安全策略、防护手段和处置能力的基础上，建立一站式攻防服务平台，数字化管理人员组织、安全能力与各类保障资源；利用安全编排自动化技术，优化关联分析提升预警监测能力，形成标准化自动处置流程；强化自适应防护能力，构建安全损失风险计算模型和智能处置技术，确保安全事件损失可管可控。

自动化应急处置防护体系框架

监测系统通过规则、模型对原始安全日志进行综合分析，产生精准预警；调度系统根据当前系统场景、等级进行策略适配开展人、事、物统筹调度；处置系统根据预定义模型对威胁进行自动化智能化响应。

精准化威胁预警

综合传统攻击模型、威胁情报分析模型及目前主流的高级持续性威胁攻击模型建立攻击IP分析模型，根据现有安全设备、系统日志、流量分析类设备日志内容，结合算法分析提炼符合自身特性的攻击payload，实现可定义可配置自动化攻击分析模型。威胁情报分析模型部分则通过同源IP归属地、同源IP不同目标系统攻击次数、目的IP归属地进行有效判定。

统筹调度指挥

通过落地数字化管理、分级分类、精准化、流程化和自动化等技术能力，提升安全事件运营的综合水平，打造具备一站式攻防服务能力的在线协同平台。

基于SOAR（安全编排、自动化与响应）技术理念落地实施的安全策略编排系统，能够对原子化的安全能力进行组装和编排，满足不同场景的安全策略调度需求。

攻防处置自动化

根据关联规则和模式进行智能匹配，对触发规则的威胁实现全自动化安全处置，无需人工干预即可自动完成威胁预警、分发、接收、处置、反馈全部过程。

价值体现

节省安全运营人力成本：实现自动安全分析与响应，极大提升了安全运营人员的工作效率，缩短了安全事件的分析与响应时长。

提升应急响应速度，高效保障系统安全：大大提升了安全设备运营的效率，在安全攻击分析模型基础上，安全攻击拦截响应时间缩短至秒级，同时也降低了误封堵的概率，有效支撑日常监控和重大活动网络安全保障工作，防止系统被攻破造成重大社会影响。

丰富能力输出方式，准确满足信息需求：通过安全数据中心进行安全数据的模型化、智能化、关联化分析，并对数据进行再编排，形成可对外输出的能力。通过提供主动和被动安全数据智能分析订阅接口，可为需求部门提供定制化的能力输出。满足业务部门安全分析需求。

来源：freebuf.com 2021-05-20 22:50:50 by: ws马扬中311