XDR+GPT，高校安全運(yùn)營建設(shè)的最優(yōu)解

科技云報(bào)道原創(chuàng)。

如今，安全運(yùn)營已成為高校網(wǎng)絡(luò)安全建設(shè)的必選項(xiàng)，但所創(chuàng)造的護(hù)城河似乎并不夠?qū)拸V——二級單位業(yè)務(wù)與校園網(wǎng)的安全威脅，已成為懸在高校信息中心網(wǎng)安人員頭頂?shù)摹斑_(dá)摩克利斯之劍”。

二級單位和校園網(wǎng)“危機(jī)四伏”

隨著攻防演習(xí)和安全通報(bào)的常態(tài)化，高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)逐漸顯露。為應(yīng)對這些挑戰(zhàn)，不少學(xué)校在遵循等保合規(guī)的基礎(chǔ)上，建設(shè)了安全運(yùn)營中心，并取得了顯著成效：數(shù)據(jù)中心內(nèi)部的安全風(fēng)險(xiǎn)日益收斂。

然而根據(jù)木桶原理，一個組織的網(wǎng)絡(luò)安全水平是由最薄弱的環(huán)節(jié)決定的。高校二級單位和校園網(wǎng)作為安全“洼地”。越來越多的安全威脅、攻擊事件、安全通報(bào)等，來自二級單位和校園網(wǎng)的用戶和終端。于是，這些安全事件在高校中早已不是新聞：

……

以上困境，原因主要來自三個方面：安全技術(shù)、安全人員和流程制度。

從安全技術(shù)來看：現(xiàn)階段高校的安全關(guān)注點(diǎn)主要集中在數(shù)據(jù)中心，難以有效掌握二級單位和校園網(wǎng)的安全態(tài)勢。此外AI大模型降低了網(wǎng)絡(luò)攻擊門檻，增加了攻擊的隱匿性，使得檢測難度持續(xù)加大，傳統(tǒng)安全設(shè)備難以應(yīng)對各種新型高級攻擊手段。

安全人員配置上：大部分高校缺乏安全專職人員。根據(jù)賽爾網(wǎng)絡(luò)發(fā)布的《高校網(wǎng)絡(luò)服務(wù)情況和教育信息化需求調(diào)研報(bào)告 (2022年度)》，即使是網(wǎng)絡(luò)安全專職人員配置相對較多的雙一流高校，專職編制在2人以下的高校依然達(dá)到了65.6%。他們每天忙于處理數(shù)據(jù)中心的安全告警和事件，就已經(jīng)精疲力盡，很難分出精力來關(guān)注二級單位安全狀況。雪上加霜的是，二級單位網(wǎng)絡(luò)安全聯(lián)絡(luò)員，往往安全知識薄弱，導(dǎo)致他們對通報(bào)過來的安全問題重視程度不夠，處置時常常不知所措。

流程制度層面：信息中心和二級單位權(quán)責(zé)劃分不清晰，在高校中一直都是一個老大難的問題，信息中心在推動二級單位安全問題解決時，經(jīng)常上演“皇帝不急太監(jiān)急”，二級單位的安全問題難響應(yīng)、難閉環(huán)。

總之，二級單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)顯著增長。高校必須采取全面且前瞻性的安全措施，確保它們具備全局的網(wǎng)絡(luò)安全防御、監(jiān)測、預(yù)警、響應(yīng)處置的能力，以支撐業(yè)務(wù)持續(xù)增長和創(chuàng)新。

真正能打的高校安全運(yùn)營中心長什么樣？

然而，想要解決上述問題，打造一個真正能打的高校安全運(yùn)營中心，卻并非易事。還是得哪疼從哪兒下手，進(jìn)行針對性的能力升級。

理想的狀態(tài)下：升級版的安全運(yùn)營中心既能有效應(yīng)對0day、高混淆、以及利用AI生成的各類高級威脅攻擊，又能依靠少量的專職人員實(shí)現(xiàn)高效運(yùn)轉(zhuǎn)，更重要的是還能厘清各院系部門權(quán)責(zé)、打通安全工作流程。既要又要還要，似乎是一個不可能完成的任務(wù)。

好消息是，隨著網(wǎng)絡(luò)安全威脅檢測與響應(yīng)技術(shù)的不斷進(jìn)步，早期割裂、孤立的安全設(shè)備逐漸朝著統(tǒng)一的、體系化的安全運(yùn)營方向不斷迭代演進(jìn)，AI技術(shù)也越來越多的應(yīng)用到了安全領(lǐng)域中，以XDR和安全GPT為代表的“后起之秀”開始進(jìn)入大家的視線，為安全運(yùn)營工作帶來了新的思路。

2021年7月，Gartner在《Hype Cycle for Security Operations, 2021》報(bào)告中，對主流的安全運(yùn)營技術(shù)進(jìn)行了解讀，并預(yù)測XDR（可擴(kuò)展的檢測和響應(yīng)平臺）作為新興技術(shù)點(diǎn)將成為新的安全趨勢。

從業(yè)內(nèi)主流產(chǎn)品來看，相比傳統(tǒng)的安全運(yùn)營技術(shù)框架，XDR的核心優(yōu)勢在于深度集成多源、跨IT架構(gòu)的各類安全組件，打通各項(xiàng)安全數(shù)據(jù)與事件，配合AI等前沿分析手段實(shí)現(xiàn)關(guān)聯(lián)分析與自動化響應(yīng)。供應(yīng)商通過XDR組件將各類安全工具進(jìn)行深度整合，關(guān)聯(lián)來自云、網(wǎng)、端的所有安全數(shù)據(jù)和警報(bào)，以實(shí)現(xiàn)對整個攻擊面的全面監(jiān)測與自動化響應(yīng)。

GPT更不陌生，近一年，以ChatGPT為代表的大模型發(fā)展如火如荼。在網(wǎng)安行業(yè)，大模型也展現(xiàn)出強(qiáng)大的通用人工智能能力，成為解放生產(chǎn)力的重要工具，幫助網(wǎng)絡(luò)安全從業(yè)者簡化工作任務(wù)量，節(jié)省大量基礎(chǔ)性、重復(fù)性工作時間。

安全GPT像是一個“iPhone”式的革新時刻。傳統(tǒng)檢測引擎在大模型的加持下，將實(shí)現(xiàn)更加高效率的檢出，帶動整個行業(yè)生產(chǎn)力的提升：一是大幅加快事件響應(yīng)速度，自動撰寫事件報(bào)告；二是提高威脅檢測和搜尋能力；三是緩解人才短缺問題。

正因如此，XDR+GPT越來越受到教育行業(yè)的關(guān)注。特別是在提升安全運(yùn)營效率，消弭二級單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)方面，開始發(fā)揮出重要價(jià)值。這套技術(shù)方案是如何對癥下藥，解決高校安全運(yùn)營中的特定問題，實(shí)際效果又如何呢？

高校落地實(shí)踐：XDR+GPT提升實(shí)戰(zhàn)效果和運(yùn)營效率

以深信服在行業(yè)內(nèi)率先發(fā)布的高校安全運(yùn)營2.0為例，它是以高質(zhì)量的遙測數(shù)據(jù)為基礎(chǔ)，通過XDR、SOAR、ASM、MDR等新技術(shù)與云端服務(wù)的協(xié)同，同時疊加安全GPT技術(shù)應(yīng)用，實(shí)現(xiàn)安全運(yùn)營“智能駕駛”，提升實(shí)戰(zhàn)效果和運(yùn)營效率。

深信服高校安全運(yùn)營2.0解決方案示意圖

技術(shù)方面：實(shí)戰(zhàn)有效、聯(lián)動響應(yīng)，大幅提升安全效果

近年來，各地高校頻繁遭遇有組織、有計(jì)劃且針對性明確的攻擊活動。在面對0day、高混淆等各類高級威脅攻擊時，檢測能力是關(guān)鍵。

通過XDR+GPT對威脅檢測能力進(jìn)行提升，需要完成以下三個步驟。第一步需要在數(shù)據(jù)中心、二級單位、校園網(wǎng)部署各類組件，擴(kuò)展全校威脅數(shù)據(jù)來源，并為聯(lián)動處置打好基礎(chǔ)。其后，利用XDR構(gòu)建實(shí)戰(zhàn)化檢測響應(yīng)平臺，通過采集E+N數(shù)據(jù)，結(jié)合ATTCK模型，提升檢測和溯源精度及能力。最后引入GPT檢測大模型賦能威脅檢測，提升未知威脅檢測和0day攻擊的檢測效果。

用戶A是一所985大學(xué)。該校經(jīng)過三期建設(shè)將原有的NDR平臺升級為深信服XDR平臺。

在使用過程中，XDR將一周時間內(nèi)4000萬條來自信息中心、二級單位托管主機(jī)、自有服務(wù)器的告警，通過E+N聚合成13起有效的安全攻擊事件，大幅提升安全運(yùn)維效率。今年年初，用戶開始試用深信服安全檢測GPT賦能XDR做高級威脅檢測。期間獨(dú)報(bào)多起0day漏洞利用攻擊、Nday攻擊等行為，結(jié)合XDR形成完整攻擊故事線，幫助信息中心快速定性攻擊，排查威脅。

人員方面：云地協(xié)同、智能駕駛，降低安全運(yùn)營工作壓力

大部分高校編制有限，短時間增加大量編制基本上是“天方夜譚”。因此通過MSS、GPT等技術(shù)手段對運(yùn)營效率進(jìn)行提升，降低安全運(yùn)營工作壓力，對于現(xiàn)階段的高校來說是更加切實(shí)可行的辦法。

借助深信服MSS，云端在線專家與本地服務(wù)團(tuán)隊(duì)相得益彰、互為補(bǔ)充，高校在短時間內(nèi)就可以完善服務(wù)梯隊(duì)，提升閉環(huán)響應(yīng)能力。而引入安全GPT虛擬運(yùn)營專家后，高校也將實(shí)現(xiàn)針對低誤報(bào)事件的自主研判、智能值守，降低安全人員工作量，大幅提升安全運(yùn)營效率。

用戶B是一所沿海高校，信息中心網(wǎng)絡(luò)安全的專職人員只有1人。四年前，學(xué)校通過外采駐場服務(wù)協(xié)助安全運(yùn)維，進(jìn)行安全策略配置、基線管理、安全監(jiān)管、自查報(bào)送、事件協(xié)助處置等。

但，隨著攻防演練常態(tài)化和重保時間加長，暴露了高階安全分析專家和夜間安全值守的不足。

引入深信服MSS安全托管服務(wù)后，該用戶迅速構(gòu)建起云地協(xié)同安全服務(wù)能力，為學(xué)校帶來了7*24小時持續(xù)守護(hù)、有效預(yù)防和主動閉環(huán)的體系化安全運(yùn)營效果。

此外，深信服安全GPT協(xié)助學(xué)校運(yùn)維老師實(shí)現(xiàn)事件研判、排查檢索和告警事件的值守處置，助力該校安全運(yùn)營邁向“智能駕駛”。深信服GPT平臺也幫助學(xué)校安全團(tuán)隊(duì)學(xué)生迅速學(xué)習(xí)和掌握安全告警和事件的研判分析能力，從而能夠更深入學(xué)校的安全運(yùn)營工作。

流程方面：運(yùn)營閉環(huán)、安全有價(jià)，實(shí)現(xiàn)二級單位/校園網(wǎng)高效管理

考慮到各大高校二級單位、校園網(wǎng)用戶和終端數(shù)量眾多，管理復(fù)雜。信息中心需厘清各院系部門權(quán)責(zé)、打通安全工作流程、實(shí)現(xiàn)安全評價(jià)，讓安全工作事事有著落。XDR的工單能力，相比SOAR有了進(jìn)一步明顯提升，這讓信息中心在建立面向二級單位以及校園網(wǎng)的高效流程式管理時，更易實(shí)現(xiàn)。

具體落地上，第一步需要構(gòu)建組織領(lǐng)導(dǎo)明確、責(zé)任分工清晰、統(tǒng)籌有力的安全運(yùn)營團(tuán)隊(duì)。第二，創(chuàng)建各類從信息中心到二級單位，師生的運(yùn)營流程，逐步完善融入到日常工作；深度融合流程與工具，實(shí)現(xiàn)智能化監(jiān)測、自動化預(yù)警、全流程閉環(huán)管理，提升安全運(yùn)營效率與管理能力。第三，建設(shè)安全評價(jià)體系，明確考核指標(biāo)，優(yōu)化安全工作；結(jié)合安全指標(biāo)、定期展示各項(xiàng)安全成果和排名，讓安全工作方向更明確。

用戶C是一所北京知名高校，在2年前發(fā)布了網(wǎng)絡(luò)安全責(zé)任制規(guī)范，明確了二級單位及直附屬單位的網(wǎng)絡(luò)安全第一責(zé)任人，信息與網(wǎng)絡(luò)中心提供技術(shù)手段保障安全監(jiān)測和處置指導(dǎo)。

深信服協(xié)助該校整合了通報(bào)預(yù)警、業(yè)務(wù)上線評估、資產(chǎn)上線、資產(chǎn)變更、告警處置、漏洞管理等多個工單流程，通過XDR的工單子系統(tǒng)在校內(nèi)流轉(zhuǎn)，實(shí)現(xiàn)信息中心到二級單位的預(yù)警通報(bào)閉環(huán)管理。

基于流程工單和特殊安全事件，學(xué)校構(gòu)建了多個處置劇本（如釣魚、失陷外聯(lián)、內(nèi)網(wǎng)橫向攻擊、漏洞管理），結(jié)合工單流程，輔助實(shí)現(xiàn)大部分安全事件的協(xié)同處置，實(shí)現(xiàn)信息中心和二級單位的協(xié)同響應(yīng)。

最后通過XDR績效考核模塊，從工單處置率、安全漏洞處置率等多個維度對二級單位進(jìn)行安全工作考核評價(jià)，實(shí)現(xiàn)以評促管、安全有價(jià)。

如何選擇更符合教育場景的?安全運(yùn)營中心?

通過行業(yè)內(nèi)大量用戶的實(shí)踐效果證明，XDR+安全GPT是當(dāng)前高校安全運(yùn)營建設(shè)的最優(yōu)解。那么如何選擇更符合行業(yè)場景的新型安全運(yùn)營中心？

由于XDR融合了多項(xiàng)安全技術(shù)，涉及多平臺數(shù)據(jù)聚合、計(jì)算、分析，對服務(wù)商的安全技術(shù)能力和安全產(chǎn)品供應(yīng)鏈管理能力，提出了很高的要求。XDR的引入更面臨著對NDR、SOC等技術(shù)框架的全面兼容或替換，對其落地的可行性和改造成本的考量缺一不可，各個廠商之間的GPT實(shí)際效果更是有著云泥之別。在此情況下用戶選擇靠譜的安全廠商顯得更加重要。

高校在選擇供應(yīng)商時，有以下幾點(diǎn)需要重點(diǎn)考量：

平臺的開放和兼容性：雖然主流XDR廠商都可以提供各類原生安全組件，考慮到高校原有的安全建設(shè)及未來需求，在選擇供應(yīng)商時，需要考量該廠商平臺對各類安全組件及原有平臺的支持，在盡可能利舊原有資產(chǎn)、保護(hù)IT投資的同時，獲得更加先進(jìn)的安全能力。

可持續(xù)生長的安全能力：攻防的本質(zhì)在于持續(xù)的對抗，道高一尺魔高一丈。再先進(jìn)的檢測和防御技術(shù)可能都會被新的攻擊技術(shù)繞過。在選擇供應(yīng)商時，還得同步考量其安全可生長的能力，包括云端威脅情報(bào)、云端高級安全專家、云端安全檢測模型的更迭等能力。

AI技術(shù)沉淀和持續(xù)投入的堅(jiān)定性：GPT的能力最終是構(gòu)建在算力、數(shù)據(jù)、算法的基礎(chǔ)上，這對應(yīng)的是考量安全供應(yīng)商在智算資源的持續(xù)投入、安全數(shù)據(jù)的沉淀和優(yōu)化、AI和安全人才的儲備。在選擇供應(yīng)商時需要考量其在AI能力上的沉淀和未來持續(xù)大規(guī)模投入的能力和決心。

對教育行業(yè)的理解：教育行業(yè)因其開放自由的辦學(xué)理念，對用戶的管理很難達(dá)到其他行業(yè)的細(xì)粒度程度。龐大的終端和自治性較強(qiáng)的二級單位，也對教育行業(yè)的安全管理提出了很大挑戰(zhàn)。供應(yīng)商給學(xué)校交付的不應(yīng)是一個產(chǎn)品，而是一個可落地的解決方案，基于此在選擇供應(yīng)商時，需考量其在教育行業(yè)的深耕程度。

一直以來，深信服重視教育與科研數(shù)字化，且具有行業(yè)優(yōu)勢。從行業(yè)內(nèi)調(diào)研來看，國內(nèi)其他廠商在教育投入相對保守，深信服則是國內(nèi)唯一專注教育安全運(yùn)營中心XDR+安全GPT落地的廠商，對教育行業(yè)的安全能力構(gòu)建有著獨(dú)到見解。

憑借出色的安全防護(hù)和運(yùn)營效果，其安全運(yùn)營中心方案獲得CELTSC（教育部教育信息化技術(shù)標(biāo)準(zhǔn)委員會）認(rèn)可，獲評《高等學(xué)校數(shù)字校園建設(shè)規(guī)范》優(yōu)秀應(yīng)用案例，成為高校“數(shù)字校園”安全運(yùn)營建設(shè)的共同選擇。

如今，多起高校案例證實(shí)了XDR+安全GPT賦能下的安全運(yùn)營中心成功有效。而更多的成功案例也增強(qiáng)了深信服持續(xù)投入教育行業(yè)安全運(yùn)營中心的動力，持續(xù)推進(jìn)高校“數(shù)字校園”安全規(guī)劃、建設(shè)和運(yùn)營工作的全面落地。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。