由企業網D1Net、中國企業數字化聯盟和信眾智(CIO智力輸出及社交平臺)共同主辦的2024北京部委央國企及大型企業CIO大會于1月20日在京圓滿召開。本次大會匯聚了百余位央國企部委及大中型企業CIO、信息主管以及數字化一線廠商，以“數智賦能可持續發展”為主題，圍繞數據治理、BI、數據合規、數據入表、人工智能大模型、分布式云、安全等數字化技術應用，數據戰略規劃與實踐、大模型在行業中的落地實踐、數字化轉型實踐等熱門議題展開深入探討。

綠盟科技安全運營部技術總監李昀磊在演講首先指出，隨著數字化的發展，安全運營已成為企業共識，但許多企業在安全運營自動化方面仍然存在欠缺。隨著業務上云，帶來了新的安全風險和運營手段。李昀磊強調，企業在全面云化的時代需要考慮新的安全防護方法和攻擊者的應變策略。

接著，李昀磊詳細介紹了云上安全運營的難點，包括異構多云統一管理、云資源安全配置管理、云控制面安全管控等。綠盟科技提出了云上安全運營的新手段，如云資源自動識別、EASM監測邊界與攻擊路徑自動評估等。李昀磊強調，安全運營從被動到主動的轉變，包括從攻擊者視角開展資產持續識別、威脅持續評估、修復閉環度量等。綠盟科技建議企業按照持續威脅暴露管理(CTEM)的理念，通過改善技術、管理人員和運營團隊之間的關系和流程來減少暴露。

最后，李昀磊深入分析了安全運營智能化的必要性，包括安全產品和運營的自動化發展階段，以及AI在安全運營中的應用。

以下是現場速記。

綠盟科技安全運營部技術總監 李昀磊

李昀磊：各位領導、專家大家好，我是來自綠盟科技的李昀磊，主要負責幫助大型企業建立自己的安全運營中心。

前面有很多領導提到我們在做數字化轉型過程中，保證網絡安全是我們的前提。我今天也是就網絡安全的角度去跟大家討論一下我們對于數字化轉型過程中對安全運營影響的一些看法。

首先分享兩個數據：左邊的是88.6%的企業已經在建設自己的安全運營中心，一方面是因為現在網絡安全形勢比較緊迫，有各種各樣新的攻擊的事件的出現，另外一方面國家最近幾年對網絡安全的重視，每年都會做比較大型的攻防演練。一方面能代表我們對于安全的重視，但同時也暴露了另外一個問題就是大部分的企業在做自己的安全工作時，里面自動化水平相對比較低。很多時候我們需要短期地做一些突擊性工作，安排很多人員來完成短期防守。這些顯然不是我們期望的在數字化轉型過程中的高能高效的方式，我們也認為在我們保障企業協助企業做數字化轉型安全保障過程中，我們也需要完成自己的安全運營數字化的轉型。

接下來我會從三個角度去分享我的觀察和思考。

第一.業務上云。

云是現在很多企業用到的基礎設施，一方面給我們安全方面帶來新的風險點，但同時就像它幫助我們企業降本增效一樣，它也給我們帶來新的手段。現在我們從每一年的不論是日常的工作還有攻防對抗中都能看到許多的企業，幾乎我們看到所有的企業都在不同程度地應用各種各樣的云。包括前面有騰訊云的專家介紹到他們在構建分布式云，部署在企業本地。也有一些中小型企業更多用到公有云的技術，更多企業同時使用多種云的技術。這些在幫助我們完成更高效業務發展的同時也會帶來新的風險。

我簡單的總結了一下我們最近幾年做安全攻防中識別到的云上的典型攻防場景。這個圖稍微復雜，我介紹兩個比較有代表性的場景。一個是左下角的憑據泄漏，這個場景是我們在企業上云的過程中最容易出現的安全的問題，也是每一年在攻防演練中最常出現的問題。它的特點是本身憑據它其實是我們云提供的正常的功能，是為了幫助我們企業更高效地調動云的資源來完成正常的業務場景。但是在產生這些幫助的同時，攻擊者也可以利用這些資源。比如我們可能會有些外部的供應商幫助我們做外包的開發，它可能有自己的測試環境，或者我們可能有一些企業的代碼托管在托管平臺上。這些不同的途徑，如果我們有些管理疏忽可能會造成憑據的泄漏，這個時候攻擊者可能就會識別到這些信息，并且利用這些信息一次性地直接控制我們整個云平臺。這個對于傳統的網絡是不會產生這么突發性的影響，但是在我們大規模的上云之后，不光是我們業務的效率上去了，攻擊的效率也非常高的上去了，它可以一次性的獲取整個網絡的權限。

相似的還有在上云的同時通常也會構建自己的CICD的流水線來幫助我們更高效地完成開發。這種技術同時也會被攻擊者利用，比如說他可能會通過釣魚等手段控制開發機、或侵入某些線上系統后，在我們的代碼倉庫里投入一些惡意的代碼，接下來就會借助企業正常開發流程大規模部署到生產環境里，這些都會造成很多的風險。反過來看，所有這些云上的攻擊會有一些特點，它通常會很大程度上利用云自身的特性，云屬于相對來說新興的技術，不光是我們的開發人員，我們的運維人員和安全人員也都需要更長的時間去消化和吸收分析這里邊的風險。同時這些云上的攻擊場景不是發生在數據面而是控制面，這樣的話用傳統的安全手段是很難去發現與攔截的。

與這個相對的除了剛才提到的這些風險之外，云也給我們做安全工作帶來很多以前想象不到的便利。這一塊舉一個比較典型的例子，左邊我展示的是安全人員傳統做安全的時候最常見的場景，先要知道我有什么資產然后做掃描和滲透，這也是各位領導最容易感知到的場景。但是這個里面最容易出現的問題是我們的安全人員很多時候不太容易跟業務人員去解釋清楚，這個漏洞為什么一定要修?我的業務現在正在高速增長，我已經沒有那么多精力把資源投入在處理安全漏洞這些問題上了。但是這些問題反過來又確實會對我們業務發展造成負面的影響，但是在我們上云之后，這些問題會有一些根本性的變化。比如說我們在云上可以利用云自身的特性來完整地識別到我們云上所有的資源，因為所有的這些云上不管是虛擬主機還是網絡，它其實都是云平臺自己去生成的，我們可以對這個云達到完全透視的效果，識別到所有資源和業務之間的關聯關系，并且借助云上比如可以對一些虛擬磁盤做離線的掃描，在完全不干涉正常業務運轉過程中就完成對整個系統評估，形成業務視角的攻擊路徑。這樣產生的好處就是我們安全人員可以更簡單地跟我們的業務人員說清楚，這塊漏洞為什么需要修，它是因為如果這個不修，這個是對互聯網暴露的系統，如果攻擊者利用這個漏洞，下一步會拿到這個系統里100條或者10000條客戶敏感信息，會對業務產生重大影響，所以這個漏洞必須修。而不是像以前那樣爭執半天說不清楚，這是上云對安全工作產生的正向反饋。

第二.從被動到主動。

在我們企業完成數字化轉型過程中，它可能對我們安全工作方式產生什么樣的轉變?我們總結成從被動到主動。我展示一個圖，這個圖看起來有許多的框框，大家看起來也不太明白是什么意思，這很正常。因為我們自己看到也是這種感覺，這個其實是我們內部最近正在研討的攻擊面治理的方案，上面的綠色、黃色、藍色的這些小框框都代表著我們作為一個企業對外暴露的攻擊面是什么樣的。這個攻擊面的概念最近安全企業可能宣傳也比較多，可以簡單理解為作為一個企業面向攻擊者它對我們可以產生整個接觸面有哪些?比如可能有對外的網站，有我們自己的公眾號，有我們自己對外溝通的人員，這些都可以成為攻擊面，因為這是攻擊者就著這些點去對我們發起攻擊并且產生負面影響的一些平面。

為什么說我們數字化轉型會對我們安全工作產生視角上的變化?因為傳統安全工作更聚焦于我們內部，我們需要先把自己的資產清點出來，識別到上面所有的漏洞、問題，并且去督促我們的IT人員把這些問題一個一個地解決。但是在我們開展數字化轉型的過程中，我們的業務在非常高速地發展，這里不光會出現很多新的技術，也會非常快地去增長我們的IT規模。比如對外暴露的網站，現在還有自己的公眾號、APP、小程序甚至在各種媒體上面的社交平臺有我們自己的賬號，所有這些會讓我們的攻擊面非常快地擴大，這也導致我們用傳統的方式，比如一個一個去修復漏洞，這種方式已經完全不能滿足現在發展的要求了。

所以我們就需要去轉變視角，既然我們不能把所有的問題都解決，當然我們就可以朝著提出問題的人去使勁。我們就需要用一種對抗的方式去看，我們在跟誰對抗?大企業一方面有自己的競爭對手，有外部的勢力。從網絡攻防角度我們更關注攻擊者可能會對我采取什么樣的行動?前面提到過攻擊面的概念。廣義上可以認為如果攻擊面足夠的小或者攻擊面上的問題足夠的少，我就更難被攻破，這也是我們現在整個網絡安全行業在嘗試的新的方法。我們嘗試用攻擊的角度去看我們整個企業，不光是我們內部有什么樣的問題，更多的是我們從外部的攻擊或者內部的惡意行為角度去看，我們整個暴露在互聯網或者外面的信息是什么，比如我們有什么樣的供應鏈的信息，我有哪些雖然不在我自己的管轄范圍之內，但是可能包含我的敏感數據的系統，可能在我的合作伙伴那塊。這些都可能會成為攻擊者對我們實施攻擊的觸點。

因為從攻擊角度去看，所以某些傳統安全問題反倒沒有那么重要。比如我們內部系統的漏洞可能并沒有我們泄漏在外部的信息重要，因為它能直接產生的后果并沒有目前那么嚴重。反過來我們就可以把這些安全工作控制在比較合理的量的范圍之內，讓我們更好完成數字化轉型、高速發展的同時，掃清前路的障礙。這也是我們最近幾年在各種大型攻防演練里已經驗證的方法。

第三.安全運營數智化。

前面有很多領導提到了數智化的概念，安全行業也很早就開始應用人工智能的技術。去年也爆發了大語言模型比較新的AI技術，這一塊我們在安全運營中也有了新的應用。我們前面提到過像安全里面有比較常見重要的工作就是資產，識別到有什么問題一個一個進行整改，這一塊占了安全運維人員50%的日常工作量，另外一塊最大的投入工作就是在告警監測這一部分。現在每一天都會有新的漏洞爆發，也都會有新的攻擊手法出現。在這個過程中，我們在不斷地增加我們自己的檢測的技術，讓我們能發現更多的攻擊，以便于在產生不好影響之前我們及時地把它處理掉，但是這也導致我們處理的數據量在爆炸式的增長。我相信很多的企業很早就開始做網絡安全態勢感知項目，都是在致力于解決內部在安全數據爆炸情況下怎么更高效地發現安全事件，采取防御動作，這也能取得很多的效果。

但是現在在IT資產發展高速的狀態下，仍然很難滿足強對抗的需求。就像剛才提到的，我們每一年在開展大型攻防演練，都需要臨時增派大量人手，這些人手最常見的工作就是去看所有安全的告警、信息，發現在所有的這些網絡流量或者終端的行為上有沒有一些攻擊，有沒有一些可能會產生不好影響的地方?這些也是我們在整個安全運營工作里邊最制約我們效率的地方。

綠盟也是在安全里面投入AI研究比較早的，我們大概2020年時發布了一篇AI應用的報告，這一塊我們參考自動駕駛的分級，我們給安全營里自動化等級做了分級，從L0到L5。就像前面有專家提到比如在電力或者水利行業會有一些自己的專屬模型，在信息安全領域也是一樣的，比如在攻擊識別或者加解密方面會有小模型，里面會用到知識圖譜或者深入學習的技術。它更多的是在對我們人員做一些補充，比如傳統方式可能不太容易去發現的一些加密的攻擊或者比較隱蔽的行為可以用這種方式去發現，但是更多它其實起到補充作用而不是在幫助我們去提高效率，反倒會增加我們工作量。

從L3、L4或者更高級別更多就需要用到最近這么一年多出現大模型的技術，我們也確實在一些包括我們自己還有一些客戶運營中心里實現過，確實能解決很多問題，它能真正達到自動駕駛L3的水平，讓我們的手離開方向盤，而不是需要一直保持對數據的關注。這個也是我們綠盟在去年發布了我們自己的網絡安全的大模型，目前我們正在我們自己內部做測試驗證，我們自己的運營中心在同時服務全國大概200多家的企業，遠程地對客戶提供高效7×24小時安全運營服務。

前面提到的不管是大模型還是小模型投入了之后確實在這一部分有比較好的效果，原來我們需要比較多的人員持續不斷地去關注安全的告警，主要靠堆人，目前我們可以靠大模型來自動地幫我們發現這個告警產生了之后，它所有的這些上下文是什么樣的，它可以關聯到比如整個行為前面、后面發生了什么動作，它發生的資產是什么樣的業務系統，這個業務系統有什么樣的特點?所有這些信息關聯起來最終形成一個結論，這樣的行為對于我們來說是不是一個攻擊?如果是一個攻擊，接下來我們應該對它采取什么樣的措施?這個是我們在一些傳統的AI模型里面不太擅長的領域，但是我們從去年開始應用的大語言模型的技術恰恰就適合做大量數據的解釋以及意圖的理解這樣的一些方法，這個也是我們目前認為在未來可能成為更多的安全應用中心基礎設施的能力，我們也正在努力把這種在云端已經實踐完善的人工智能的能力下放到更多的安全運營平臺里面，提供給我們更多企業的客戶。

綠盟科技在安全數字化或者智能化方面布局比較早的安全企業，我們成立于2000年，我們在2009年就發布了自己的第一款運用機器學習技術的網絡安全的產品，在去年人工智能爆發之后，我們也發布了自己的大模型的產品并且目前正在一些行業和我們自己的內部做一些試點應用，已經取得了比較好的效果。

我今天的分享就是這些，期望我們在未來也能幫助更多國內的企業在完成自己的數字化轉型的過程中提供更多的有效的安全的保障。