360新一代安全能力框架体系构建，护航数字时代国家安全

随着5G、大数据、人工智能等新技术发展，网络空间安全和物理世界安全已经交融渗透，当今世界正式进入大安全时代。

近日，作为全球网络安全行业发展趋势风向标的第八届互联网安全大会（ISC 2020）正在云端持续呈现，值得注意的是，特别开设的栏目——ISC Talk，作为国内首场安全行业 TED 演讲，集结了安全圈一众行业大佬，既有专攻技术的安全大牛，也有顶级资深智囊团，还有安全产业领袖人物，将在短短二十分钟的演讲中，告诉你当前国际网络安全形势，重塑你的网络安全观，告诉你面对变化、接受变化的路径。

360企业安全集团轮值总裁高瀚昭以“360安全大脑能力体系框架”为议题，以当下网络安全环境为切入点，聚焦360能力框架体系，提出“四步走”行动建议，并强调，360的长期愿望是各家的安全大脑能够实现互联互通，都能互相输出能力，共同形成国家级的安全大脑，护航数字时代国家安全。

数据“大网”全域织密

传统安全防护模式遇“水土不服“

纵观当下，随着新基建的广泛部署，新基建在日常生活中“存在感”暴增，这样也让承载着国家、社会和个人海量大数据的互联网也成为重点攻击目标，各种网络安全问题已不再只存在于科幻电影中。

高瀚昭表示，任何新概念的提出均是试图解决当前的问题，那360要解决的问题是什么呢？就是用户花了很多钱购买各种各样的安全产品，但安全问题依然层出不穷。为什么传统安全防护模式频遇“水土不服“，主要有三个方面原因。

·第一，安全的本质是对抗，大部分厂商能讲很多理论，但缺乏真正的国家级大规模对抗经验。传统安全防护体系是对安全本质认识不足，安全并不像大部分的业务系统，只要按照规划一步步建设便高枕无忧，它要面临持续的攻击，所以安全系统的本质是提升用户对抗的能力。而现实中很多厂商能能提出各种安全理论，但并没有经历过真正国家级大规模实战对抗，就像军队没有上过战场，怎么能够给出行之有效的安全体系架构。所以我们需要一套真正从实战中总结的，能够提升对抗能力的安全新框架。

·第二，对抗的关键是持续运营，大部分厂商缺乏攻防专家也缺乏运营战法。如何提升用户的对抗的能力，这就需要持续的运营。传统的安全运营大多数是安全运维，也就是维护安全设备的运转，以及单个设备告警的处置，这样往往一年下来用户的安全能力并没有真正得到提升。真正的安全运营一是看有没有办法评价现状和目标的差距，二是能不能持续的改变现状积累能力，最终达到目标。

·第三，持续运营的目的是能力积累，大部分厂商无法提供让客户积累能力的基础设施。持续运营过程中积累的能力存放在哪里呢？有些厂商把安全能力转化为安全设备里的一条条规则，但是一换设备很多能力就丢掉了；还有一些厂商把能力转化为运营手册，但它没有办法自动化。在360看来必须有一个集中的系统来体系化的汇聚运营知识和能力，并且把人的能力转化为系统的能力，这是我们提出的安全大脑和安全基础设施。

显然，在安全大数据的管理、决策及创新方面，深耕安全领域十余年的360拥有绝对的发言权。高瀚昭强调，360提出的新一代安全能力框架体系恰逢其时，而安全能力建设的公式，即“安全能力=安全运营×安全基础设施”对其进行了很好的概括。

“适配“关键基础设施势在必行

构建360新一代安全能力框架体系恰逢其时

众所周知，360是国内唯一一家长期与国家级黑客组织交手，并捕获40多个APT组织的网络安全企业，还是全球范围唯一能与谷歌、微软并行拥有全球最大网络安全大数据的公司，并汇聚了全球顶级的网络安全精英专家，其网络安全实力有目共睹。

高瀚昭谈到，在过去十余年攻防实践中360打造出了一套云端大脑，相当于网络空间的预警机和反导系统。还以安全大脑为核心，360打造了实战云、情报云、漏洞云、专家云、测绘云、连接云、开发云、培训云、通讯云在内的一套云端基础设施。形成安全能力的基础条件。

有了安全云脑的硬核筑基，还需服务赋能，360还将为客户注入“软实力”。所以360根据每一朵云的属性，向城市、行业、企业赋能，输出知识订阅、分析APP、威胁情报、样本鉴定、漏洞检测规则、演练评估、专家服务、认证培训、资产测绘、工作协同、安全开发、访问安全这12大赋能服务。

高瀚昭强调，值得一提的是，360将自己十多年的安全经验“云化”出12项安全服务向用户的安全大脑赋能，使用户可以站在360的肩膀上提高自己的安全能力，能够走得更远。

360还将帮助客户建立起属于“自己”的十大安全基础设施，是涵盖风险发现类、威胁防御类、事件处置类、检验进化类的“一套作战体系”。如其中的资产测绘中心相当于地图测绘部门、威胁情报中心相当于情报部门、人才培养基地相当于军校、国家大数据靶场即练兵场、应急响应中心是快速反应部队等。

其中，在这套“作战体系”之下，企业整体战斗力、感知能力、情报能力及应对能力得到提升，并与作为“中央司令部”的安全大脑以数据连接，配合持续运营、专家团队和实战演练的衡量机制及一套互通的标准，形成一张全域覆盖的防护网。

在安全基础设施落成之后，360将通过持续化的运营，从中获取并积累包括安全开发、实战检验、网络测绘、威胁识别、安全防护、检测分析、指挥响应、应急恢复、学习进化还有知识构建这10大安全能力。

其中，安全运营的四个关键部分，也就是安全标准、专家团队、运营战法和实战检验。安全标准分为三个部分：能力、知识和人才。

·能力是指一套标准的安全能力成熟度衡量标准，用来评价安全能力的现状，并且给出和成熟的目标之间的差距。

·知识是指安全设备之间的互联互通标准，以及人机之间的知识转化标准，有了这些标准人的能力才能转化成机器的能力，而不同的安全设备之间也才能实现互联互通。

·人才是指对安全人才的技能和等级的认定标准，也就包括不同类型的安全专家究竟需要具备什么样的能力，这些标准都是开放的，也是安全生态的一个基础。

“ 360只是开了个头，非常欢迎更多的厂商共同参与及完善这些标准。” 高瀚昭介绍，构建以安全大脑为核心的新一代安全能力新框架体系，就是打造1个安全大脑，10套安全基础设施，1套运营战法，1组专家团队，1套实战演练机制以及1套安全互通标准，最终构建形成数字孪生时代的安全能力新框架，为国家、城市、行业构建安全防护“铜墙铁壁”。

直击攻防的本质

需立足实战靶场锻造“网络尖兵”

网络安全的本质是人与人的对抗，近几年网络空间危机四伏，网络安全已经不是靠安装一套软件、硬件就能够简单地应对。

高瀚昭提出，360在日常工作中也把专家团队分成了五种颜色，就如航空母舰上的各个工种用颜色区分。

·红队运营防守，基于现有基础设施和工具进行持续运营，并根据实战对抗的需要对黄队下一步建设目标提出要求。

·蓝队模拟攻击，持续探测和发现红队防守的薄弱之处，并根据最新威胁知识构建攻击方案。

·黄队规划建设，以提高防守效率为目标，持续开展安全基础设施和安全分析工具开发，同时不断将红队的能力转化为知识。

·紫队衡量评价，周期性开展观摩，进行分析，提出修复建议，创造分享机会，增强红蓝信息共享，提升红蓝工作效率。

·白队管理培训，管理各队运行，控制业务风险，提升安全意识，输出安全能力。

“有了标准、有了人，有了战法就已经可以进行日常的运营了。但是安全能力到底如何，说百遍不如打一遍，这也是我们常说的实战是检验安全能力的唯一标准。”高瀚昭谈到，360提出的实战检验和常见的渗透测试或者红蓝对抗不太一样。一般的实战检验就是找几个白帽子或者攻击队打一下，看看有没有被攻破就结束了，这就带来两个问题：

·首先它只给出了问题，没有给出解决的方案，也就是我怎么做下一次才不会被攻破呢？

·其次每个攻击队都是凭经验在工作，是否还有不知道的攻击路径和防护的死角呢？

高瀚昭表示，为此360提出了一套体系化的实战检验框架，可以对整个安全体系进行全覆盖的测试，能够指出其中每一个需要改进和提高的地方，甚至哪些安全设备应该发现攻击但却没有发现都可以指出来。同时，基于360特有的网络空间安全攻防的全景知识库，我们的实战检验内容是攻防一体的，在发现问题的同时也就给出了解决方案，因为只有这样才能形成能力的积累和提高。

基于以上观点，最后，高瀚昭提出了“四步走”行动建议：

·首先以业务需求为导向，分步骤建设自有安全大脑为核心的十大基础设施；

·同时，连接360安全大脑的12项安全服务；

·在此基础基于开放的安全标准，由安全专家根据安全运营的战法开展持续的运营；

·然后通过实战持续对运营效果进行检验和改进，这样就可以持续的获得能力、积累能力、提升能力，同时输出能力。

高瀚昭强调，360的长期愿望是各家的安全大脑能够实现互联互通，都能互相输出能力，共同形成国家级的安全大脑，护航数字时代的国家安全。

ISC Talk 精彩不断，但ISC 2020还有新颖多元的新增栏目接连“炸场”，例如新增的无时区漫游、ISC 夜谈、CXO观点等特色节目，以及ISC最为重磅的环节之一创新独角兽-沙盒大赛的巅峰对决，将网络安全行业的最前沿、最热议的技术、趋势、理念全景呈现，云端论剑问鼎翘楚，独到见解精彩不断。

今年，ISC 2020 再度全面升级，区别于一年仅一次，一期仅一会的传统形式，今年的ISC 2020率先完成“进化”，实现持续运营，届时大会精彩演讲、激烈探讨、领先技术展示等将永存“云端”，众人共享，实现永不闭幕的云上安全交流大生态。

责任编辑：gt