“該工具可用于編寫惡意代碼、創建出一系列殺毒軟件無法檢測的惡意軟件、檢測網站漏洞、自動進行密碼撞庫等，目前已售賣超3000份”——這是一款近期在暗網上流通的AI工具FraudGPT，黑客在銷售頁上“極力攬客”。

據不完全統計，由ChatGPT聊天機器人創造出的“邪惡孿生”（evil twins）已有7種，黑客們早已在各種非法交易活動論壇上大肆宣揚“這就是未來網絡攻擊的雛形”。

然而長期以來，大多數企業面對0day、釣魚等高級攻擊手段都尚未找到突破之道，而日漸智能化、泛濫化的新型AI攻擊，無疑是給本就無效的安全建設“雪上加霜”。

當前警鐘已敲響：安全不能停留在建設階段，更需要日常運營維護，趕超攻擊者。但在現實中，安全運營可沒那么好做，甩鍋和背鍋是常有的事。很多CIO/CSO內心也壓著很多委屈，明明我那么努力，投入了這么多預算和人力進行安全建設，盡心盡力防護，一旦安全出現問題，責任全是我的？

更普遍的情況是，在長期疲于奔命的安全運營建設中，安全團隊精氣神逐漸不足，運營意識也逐漸渙散，最終半途而廢。恰如開發商建房，開建之初，無一不是資金充裕、信心滿滿，但建造過程中，難免遭遇人力物力財力等種種難題，整個團隊心氣散亂、彼此推諉，最終致使不少樓盤建到一半停工，成了爛尾樓。

對于安全領域存在的這類問題，CIO/CSO也在思考，究竟是什么原因導致？是否存在切實有效的解決之法？為此，我們尋訪了一些甲方企業客戶，試圖從他們遭遇的安全運營困境中尋出一些端倪。

企業機構安全運營都面臨哪些困擾

實踐出真知，問題往往都是在實踐中發掘，憑空想象很難觸及問題的本質。唯有了解客戶真實遇到的難題，才能思索對應解決之法。

安全設備多，告警量大看不過來

客戶一是國內某中型互聯網企業，因為體量較大、財力豐厚，所以他們配備了數十種安全工具，比如防火墻、威脅情報、IPS/IDS、認證系統、漏掃工具、終端安全、云安全等，安全運營還兼管數據庫審計、零信任認證、上網行為管理等，此外他們擁有自研的日志管理平臺，可以對安全設備、各類服務器以及終端等告警日志進行統一采集和處置。

看似很完備的防護與運營體系，卻并沒有想象得那么簡單。因為每天都會產生數以十萬百萬計的告警，各類攻擊IP不計其數。如此龐大的告警數量，縱然安全團隊經常加班加點處理，往往也很難將真實的惡意攻擊行為從無數告警中提取出來。

也就是說，大量的誤報和檢測告警，讓安全運營人員處于一種高度緊張且疲于奔命的狀態。時間一長，安全團隊某些人員便心存僥幸，將許多告警信息歸類為誤報，所以必然會存在漏網之魚，給企業安全帶來很大的潛在問題。

客戶二是國內某大型金融機構，他們擁有數萬臺終端和服務器，在全國各地擁有多個分部和數據中心，采購配置了上百種網絡安全設備和審計類產品，也配備了足夠人手的安全團隊進行日常運維。

可以看出，他們的安全基礎建設相當扎實，理論上應該不存在什么安全大問題。但據透露，正是因為安全設備很多，所以每天接收的風險威脅告警就有數十萬條，告警量極其龐大，久而久之已經超出了安全團隊承受的極限。

目前，他們盡管付出了諸多努力，也只能處理全部告警的不到20%。更無奈的是，安全運維人員已經產生了告警疲勞，在檢測告警的過程中，可能會遺漏某些真實威脅，給機構帶來相當大的風險隱患。

從上述兩家客戶可以看出，他們的安全設備配置上并不存在大問題，該上的設備都已經上齊，導致每天產生大量告警，超出了安全團隊的承受極限，因此根本無法查看所有告警，也沒法研判哪些才是關鍵告警，進而導致告警疲勞，很多告警日志便慢慢不再去管。

缺乏應對高級威脅檢測的手段和能力

客戶三是國內某金融機構，整體安全信息化建設水平高，有專門的安全運營團隊，配備市面上各類安全設備上百套，比如防火墻、威脅情報、終端安全、NDR、HIDS、RASP、郵件網關等，是最早一批落實基于SOC技術構建安全運營中心用戶。
針對0day漏洞防御檢測問題，客戶在服務器區核心網絡部署大量商網絡探針，同時幾萬臺服務器部署了主機安全軟件，但每年攻防演練依然有0day攻擊成功，高級威脅識別的壓力較大。
針對辦公網釣魚，客戶已部署5w+的終端安全軟件，但還是頻發主機被釣魚入侵。不難發現，傳統終端防護檢測模式已經無法對抗高級威脅攻擊。

難以統一治理碎片化的安全設備日志

客戶四是某大型國企，他們耗資100萬元購置了SOC平臺，又花費60萬元購買了廠商服務，駐場3個月結合現狀寫安全日志和關聯分析規則。

但隨著業務擴張帶動網絡變化，加之安全設備更替以及版本升級，不到半年，有些SIEM關聯規則就開始失效。一年之后，就有接近50%的規則失效。客戶無奈吐槽：“10 條告警里 8 條是誤報，基本沒法看。”隨后又投入幾十萬買服務更新一遍規則，接著又是不斷失效，不到兩年時間，基本不再去看各類告警。

我們很容易看出這些客戶的問題本質所在，即難以對碎片化的安全設備日志做統一治理，基本都需要人工去處理，不但技術要求高，而且工作量非常大。其次，隨著業務發展、網絡環境變化、設備更替和版本升級，規則很容易失效，企業要持續進行高成本的投入，且規則維持時間又難以長久，最終基本不再去用。

當前業內主要采取哪些解決方案

網絡安全存在問題，安全廠商自然會致力于解決問題。因此，上述安全運營建設方面的問題，其實在業內一直在探索解法。雖然各大廠商的路線技術有所差異，但整個安全行業內，存在著通行解法的思路。

網絡安全真正起航大約已有二三十年，崛起差不多是近十年。但實際上在近二十年前，就已經誕生了針對安全控制以及監測、審計和報告的安全平臺，即安全信息和事件管理（SIEM）平臺，也是曾經唯一可以幫助安全團隊集檢測、調查和響應為一體的解決方案。

但隨著互聯網的發展，SIEM也開始力不從心，具體表現在如下三個方面：

首先，SIEM基于安全產品的已有的安全告警結果，難以發現繞過攻擊，即無法實現1+1大于2的效果；

其次，受限于數據治理框架的不足，SIEM難以真正打通網絡維度和主機維度的安全數據，在攻擊全鏈條還原和威脅實體定位方面，存在天然的技術短板；

最后，由于SIEM本身缺乏安全分析能力，需要人工編寫關聯分析規則，重度依賴人的安全知識和經驗，導致運營維護成本也始終居高不下，即便業內部分產品內置了關聯規則模板，對用戶而言仍有著極高的技術門檻。

因此，最早于2018年開始，業內正在逐步轉向擴展檢測和響應，即XDR解決方案，以統一整個企業組織的威脅檢測和響應。

可以說，XDR代表著新一代安全運營解決方案的核心技術。XDR更聚焦威脅本身，關注及時的威脅調查、隔離、遏制和對攻擊的響應，且強調內置安全檢測框架，圍繞攻擊鏈條自動化關聯安全數據，能夠有效滿足用戶對性能和效率的追求。

通過上述理論解析可以看出，針對告警量大、告警威脅難以定位處置、碎片化安全設備日志難以統一處理等安全運營建設問題，XDR解決方案可以提供較為完善的解決之道。

但問題來了，XDR是一個新興解決方案，其提供了一個宏觀的思路和途徑，在具體操作實踐落地層面，還需要更細致的技術和產品去落實。事實上，國內很多安全廠商已經涉足XDR領域，并探研出各自的解決方案來。

所以，亟待解決上述三類問題，我們還需要拿出具體一個產品，或者是一家安全廠商的理念，來針對性地回答和解決這些問題。

國內安全廠商的具體解法是什么

9月，深信服召開了兩場發布會，通過觀摩發布會，我們發現其提出了“安全運營新范式”，重磅發布了安全GPT 2.0升級能力，正是圍繞著上述用戶安全運營長期所面臨的難解之題。

在“安全設備多告警量大看不過來”難題上，企業安全團隊的人員數量和專業化水平差距是造成告警困境的根本原因，告警研判所需的專業知識面廣、處置分析路徑多樣化，也造成僅有的安全人力研判困難、研判疲勞的巨大壓力，無法從更高視角去縱覽企業全局安全水位。

本質來說，這就是“運營效率”的問題。在提升運營效率上，深信服引入了汽車行業“輔助駕駛”和“智能駕駛”的理念，配合安全人員進行分層次的自動化運營落地，對齊企業安全人員水平的差異、擴大安全運營的“虛擬人力”規模。

其中，“輔助駕駛”模式提供對話式的網絡安全態勢分析、解讀、建議等，通過連續對話提供場景化的安全處置指導，每個安全運營人員都可以自由地根據自己的業務水平獲取額外知識、梳理合適的處置路徑，快速實現閉環。

“智能駕駛”模式則將在安全運營人員的授權和審核下，全面接管安全運營的全生命周期（資產漏洞治理、威脅檢測發現、告警事件閉環、處置調查、總結匯報）的關鍵工作，自動化進行告警研判、上報研判結果、提供研判證據鏈，以自動化的方式大幅度優化MTTD、MTTR，提升組織的安全能力，將日常安全運營所花費的時間減少95%。

以往安全建設模式高度依賴于人，人是效果的天花板，亦是組織的短板。所以深信服認為，安全運營應當如同智能汽車“智能駕駛”一般，用技術紅利釋放人的精力。

無論是“輔助駕駛”也好，“智能駕駛”也罷，最終掌握“方向盤”的還是人類，安全GPT可以將專業人員的精力從低效率的繁瑣工作解放出來，轉化為更高層次的安全決策和運營能力，幫助組織單位提升效率、降低成本。

在“缺乏應對高級威脅檢測的手段和能力”問題上，由于安全運營工作涵蓋范圍很廣，功能設計比較靈活，但最終效果的達成取決于內核能力的建設質量——即實戰化的威脅對抗能力，安全運營應當以效果為核心、以閉環為目的，聚焦檢測能力提升，實現精準高效的效果，若缺乏有效應對高級威脅的檢測能力，最終不可避免地會導致半途而廢。

顯而易見，這是“檢測效果”層面的問題。在此方面，深信服利用安全領域積累的高質量數據、算力、場景信息等優勢，基于XDR的攻擊故事線還原、多源數據融合分析能力，有效識別“0Day、釣魚，憑證竊取，無文件攻擊”等高級攻擊手法，結合安全GPT的強大邏輯思維和自然語言處理能力，安全GPT持續賦能XDR，強化隱蔽和未知威脅的檢測效果，支持對Webshell加密通信、加密漏洞（如Shiro）、Java反序列化等高危風險的檢測，針對長周期、高混淆攻擊的識別率提升80%以上。　

在“難以統一治理碎片化的安全設備日志”難題上，深信服基于“開放平臺+領先組件+云端服務”的安全理念進行落地，通過“聚合簡化、云智賦能”的方式，以開放的XDR平臺承載安全的核心能力，多樣化的領先組件深入各類場景洞見風險、處置威脅，云端和本地服務最終保障效果落地，由此形成體系化、智能化的運轉方式，幫助組織單位提升安全水位線，深信服稱之為“安全運營新范式”。

安全建設不再半途而廢

安全運營更省心有效

一直以來，安全與威脅始終是“道高一尺魔高一丈”的博弈，但誰高一尺誰高一丈，往往存在不確定性。但不可否認的是，眾多安全廠商在這場道魔之爭的拉鋸戰中，均投入了大量的資源與心血。

比如深信服，其理念在于用技術紅利釋放人的精力。例如，利用高級威脅檢測，有效檢出“0Day、釣魚，憑證竊取，無文件攻擊”等各類攻擊；多源數據融合分析，針對三方數據進行二次誤報校驗，去除無效噪聲；狙擊威脅根因，可視化攻擊故事線，快速開展威脅調查和溯源分析。

通俗來講就是，通過XDR對E+N多源數據進行深度上下文的聚合分析，有效削減海量告警，進而轉換為用戶能夠理解的高價值安全事件，并通過深度關聯分析引擎，完整還原攻擊故事線，易于舉證和下一步研判。此外，安全GPT技術賦能XDR，強化檢測能力，提升運營效率，助力安全運營工作邁向“智能駕駛”時代。

可以看出，解決安全運營建設半途而廢的問題，是一項長期而艱巨的工程。任何一家探索此道的安全廠商，都值得尊敬和贊賞。

西漢劉安在《淮南子·兵略訓》有言：“千人同心，則得千人之力”。安全，往小里說，是安全廠商之間的競爭；往大里說，是黑與白、正與邪的角力。安全行業同心同力，在各自細分領域一往無前迸發力量，將新的技術理念絢麗繽紛，安全才能氣象萬千，才能更好鏟除“安全運營建設半途而廢”，這個看似不大卻影響深遠的安全痼疾。

在此，觀一深信服，可為同行參照爾。