XDR+GPT，高校安全運(yùn)營(yíng)建設(shè)的最優(yōu)解

科技云報(bào)道原創(chuàng)。

如今，安全運(yùn)營(yíng)已成為高校網(wǎng)絡(luò)安全建設(shè)的必選項(xiàng)，但所創(chuàng)造的護(hù)城河似乎并不夠?qū)拸V——二級(jí)單位業(yè)務(wù)與校園網(wǎng)的安全威脅，已成為懸在高校信息中心網(wǎng)安人員頭頂?shù)摹斑_(dá)摩克利斯之劍”。

二級(jí)單位和校園網(wǎng)“危機(jī)四伏”

隨著攻防演習(xí)和安全通報(bào)的常態(tài)化，高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)逐漸顯露。為應(yīng)對(duì)這些挑戰(zhàn)，不少學(xué)校在遵循等保合規(guī)的基礎(chǔ)上，建設(shè)了安全運(yùn)營(yíng)中心，并取得了顯著成效：數(shù)據(jù)中心內(nèi)部的安全風(fēng)險(xiǎn)日益收斂。

然而根據(jù)木桶原理，一個(gè)組織的網(wǎng)絡(luò)安全水平是由最薄弱的環(huán)節(jié)決定的。高校二級(jí)單位和校園網(wǎng)作為安全“洼地”。越來(lái)越多的安全威脅、攻擊事件、安全通報(bào)等，來(lái)自二級(jí)單位和校園網(wǎng)的用戶和終端。于是，這些安全事件在高校中早已不是新聞：

……

以上困境，原因主要來(lái)自三個(gè)方面：安全技術(shù)、安全人員和流程制度。

從安全技術(shù)來(lái)看：現(xiàn)階段高校的安全關(guān)注點(diǎn)主要集中在數(shù)據(jù)中心，難以有效掌握二級(jí)單位和校園網(wǎng)的安全態(tài)勢(shì)。此外AI大模型降低了網(wǎng)絡(luò)攻擊門(mén)檻，增加了攻擊的隱匿性，使得檢測(cè)難度持續(xù)加大，傳統(tǒng)安全設(shè)備難以應(yīng)對(duì)各種新型高級(jí)攻擊手段。

安全人員配置上：大部分高校缺乏安全專(zhuān)職人員。根據(jù)賽爾網(wǎng)絡(luò)發(fā)布的《高校網(wǎng)絡(luò)服務(wù)情況和教育信息化需求調(diào)研報(bào)告 (2022年度)》，即使是網(wǎng)絡(luò)安全專(zhuān)職人員配置相對(duì)較多的雙一流高校，專(zhuān)職編制在2人以下的高校依然達(dá)到了65.6%。他們每天忙于處理數(shù)據(jù)中心的安全告警和事件，就已經(jīng)精疲力盡，很難分出精力來(lái)關(guān)注二級(jí)單位安全狀況。雪上加霜的是，二級(jí)單位網(wǎng)絡(luò)安全聯(lián)絡(luò)員，往往安全知識(shí)薄弱，導(dǎo)致他們對(duì)通報(bào)過(guò)來(lái)的安全問(wèn)題重視程度不夠，處置時(shí)常常不知所措。

流程制度層面：信息中心和二級(jí)單位權(quán)責(zé)劃分不清晰，在高校中一直都是一個(gè)老大難的問(wèn)題，信息中心在推動(dòng)二級(jí)單位安全問(wèn)題解決時(shí)，經(jīng)常上演“皇帝不急太監(jiān)急”，二級(jí)單位的安全問(wèn)題難響應(yīng)、難閉環(huán)。

總之，二級(jí)單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)顯著增長(zhǎng)。高校必須采取全面且前瞻性的安全措施，確保它們具備全局的網(wǎng)絡(luò)安全防御、監(jiān)測(cè)、預(yù)警、響應(yīng)處置的能力，以支撐業(yè)務(wù)持續(xù)增長(zhǎng)和創(chuàng)新。

真正能打的高校安全運(yùn)營(yíng)中心長(zhǎng)什么樣？

然而，想要解決上述問(wèn)題，打造一個(gè)真正能打的高校安全運(yùn)營(yíng)中心，卻并非易事。還是得哪疼從哪兒下手，進(jìn)行針對(duì)性的能力升級(jí)。

理想的狀態(tài)下：升級(jí)版的安全運(yùn)營(yíng)中心既能有效應(yīng)對(duì)0day、高混淆、以及利用AI生成的各類(lèi)高級(jí)威脅攻擊，又能依靠少量的專(zhuān)職人員實(shí)現(xiàn)高效運(yùn)轉(zhuǎn)，更重要的是還能厘清各院系部門(mén)權(quán)責(zé)、打通安全工作流程。既要又要還要，似乎是一個(gè)不可能完成的任務(wù)。

好消息是，隨著網(wǎng)絡(luò)安全威脅檢測(cè)與響應(yīng)技術(shù)的不斷進(jìn)步，早期割裂、孤立的安全設(shè)備逐漸朝著統(tǒng)一的、體系化的安全運(yùn)營(yíng)方向不斷迭代演進(jìn)，AI技術(shù)也越來(lái)越多的應(yīng)用到了安全領(lǐng)域中，以XDR和安全GPT為代表的“后起之秀”開(kāi)始進(jìn)入大家的視線，為安全運(yùn)營(yíng)工作帶來(lái)了新的思路。

2021年7月，Gartner在《Hype Cycle for Security Operations, 2021》報(bào)告中，對(duì)主流的安全運(yùn)營(yíng)技術(shù)進(jìn)行了解讀，并預(yù)測(cè)XDR（可擴(kuò)展的檢測(cè)和響應(yīng)平臺(tái)）作為新興技術(shù)點(diǎn)將成為新的安全趨勢(shì)。

從業(yè)內(nèi)主流產(chǎn)品來(lái)看，相比傳統(tǒng)的安全運(yùn)營(yíng)技術(shù)框架，XDR的核心優(yōu)勢(shì)在于深度集成多源、跨IT架構(gòu)的各類(lèi)安全組件，打通各項(xiàng)安全數(shù)據(jù)與事件，配合AI等前沿分析手段實(shí)現(xiàn)關(guān)聯(lián)分析與自動(dòng)化響應(yīng)。供應(yīng)商通過(guò)XDR組件將各類(lèi)安全工具進(jìn)行深度整合，關(guān)聯(lián)來(lái)自云、網(wǎng)、端的所有安全數(shù)據(jù)和警報(bào)，以實(shí)現(xiàn)對(duì)整個(gè)攻擊面的全面監(jiān)測(cè)與自動(dòng)化響應(yīng)。

GPT更不陌生，近一年，以ChatGPT為代表的大模型發(fā)展如火如荼。在網(wǎng)安行業(yè)，大模型也展現(xiàn)出強(qiáng)大的通用人工智能能力，成為解放生產(chǎn)力的重要工具，幫助網(wǎng)絡(luò)安全從業(yè)者簡(jiǎn)化工作任務(wù)量，節(jié)省大量基礎(chǔ)性、重復(fù)性工作時(shí)間。

安全GPT像是一個(gè)“iPhone”式的革新時(shí)刻。傳統(tǒng)檢測(cè)引擎在大模型的加持下，將實(shí)現(xiàn)更加高效率的檢出，帶動(dòng)整個(gè)行業(yè)生產(chǎn)力的提升：一是大幅加快事件響應(yīng)速度，自動(dòng)撰寫(xiě)事件報(bào)告；二是提高威脅檢測(cè)和搜尋能力；三是緩解人才短缺問(wèn)題。

正因如此，XDR+GPT越來(lái)越受到教育行業(yè)的關(guān)注。特別是在提升安全運(yùn)營(yíng)效率，消弭二級(jí)單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)方面，開(kāi)始發(fā)揮出重要價(jià)值。這套技術(shù)方案是如何對(duì)癥下藥，解決高校安全運(yùn)營(yíng)中的特定問(wèn)題，實(shí)際效果又如何呢？

高校落地實(shí)踐：XDR+GPT提升實(shí)戰(zhàn)效果和運(yùn)營(yíng)效率

以深信服在行業(yè)內(nèi)率先發(fā)布的高校安全運(yùn)營(yíng)2.0為例，它是以高質(zhì)量的遙測(cè)數(shù)據(jù)為基礎(chǔ)，通過(guò)XDR、SOAR、ASM、MDR等新技術(shù)與云端服務(wù)的協(xié)同，同時(shí)疊加安全GPT技術(shù)應(yīng)用，實(shí)現(xiàn)安全運(yùn)營(yíng)“智能駕駛”，提升實(shí)戰(zhàn)效果和運(yùn)營(yíng)效率。

深信服高校安全運(yùn)營(yíng)2.0解決方案示意圖

技術(shù)方面：實(shí)戰(zhàn)有效、聯(lián)動(dòng)響應(yīng)，大幅提升安全效果

近年來(lái)，各地高校頻繁遭遇有組織、有計(jì)劃且針對(duì)性明確的攻擊活動(dòng)。在面對(duì)0day、高混淆等各類(lèi)高級(jí)威脅攻擊時(shí)，檢測(cè)能力是關(guān)鍵。

通過(guò)XDR+GPT對(duì)威脅檢測(cè)能力進(jìn)行提升，需要完成以下三個(gè)步驟。第一步需要在數(shù)據(jù)中心、二級(jí)單位、校園網(wǎng)部署各類(lèi)組件，擴(kuò)展全校威脅數(shù)據(jù)來(lái)源，并為聯(lián)動(dòng)處置打好基礎(chǔ)。其后，利用XDR構(gòu)建實(shí)戰(zhàn)化檢測(cè)響應(yīng)平臺(tái)，通過(guò)采集E+N數(shù)據(jù)，結(jié)合ATTCK模型，提升檢測(cè)和溯源精度及能力。最后引入GPT檢測(cè)大模型賦能威脅檢測(cè)，提升未知威脅檢測(cè)和0day攻擊的檢測(cè)效果。

用戶A是一所985大學(xué)。該校經(jīng)過(guò)三期建設(shè)將原有的NDR平臺(tái)升級(jí)為深信服XDR平臺(tái)。

在使用過(guò)程中，XDR將一周時(shí)間內(nèi)4000萬(wàn)條來(lái)自信息中心、二級(jí)單位托管主機(jī)、自有服務(wù)器的告警，通過(guò)E+N聚合成13起有效的安全攻擊事件，大幅提升安全運(yùn)維效率。今年年初，用戶開(kāi)始試用深信服安全檢測(cè)GPT賦能XDR做高級(jí)威脅檢測(cè)。期間獨(dú)報(bào)多起0day漏洞利用攻擊、Nday攻擊等行為，結(jié)合XDR形成完整攻擊故事線，幫助信息中心快速定性攻擊，排查威脅。

人員方面：云地協(xié)同、智能駕駛，降低安全運(yùn)營(yíng)工作壓力

大部分高校編制有限，短時(shí)間增加大量編制基本上是“天方夜譚”。因此通過(guò)MSS、GPT等技術(shù)手段對(duì)運(yùn)營(yíng)效率進(jìn)行提升，降低安全運(yùn)營(yíng)工作壓力，對(duì)于現(xiàn)階段的高校來(lái)說(shuō)是更加切實(shí)可行的辦法。

借助深信服MSS，云端在線專(zhuān)家與本地服務(wù)團(tuán)隊(duì)相得益彰、互為補(bǔ)充，高校在短時(shí)間內(nèi)就可以完善服務(wù)梯隊(duì)，提升閉環(huán)響應(yīng)能力。而引入安全GPT虛擬運(yùn)營(yíng)專(zhuān)家后，高校也將實(shí)現(xiàn)針對(duì)低誤報(bào)事件的自主研判、智能值守，降低安全人員工作量，大幅提升安全運(yùn)營(yíng)效率。

用戶B是一所沿海高校，信息中心網(wǎng)絡(luò)安全的專(zhuān)職人員只有1人。四年前，學(xué)校通過(guò)外采駐場(chǎng)服務(wù)協(xié)助安全運(yùn)維，進(jìn)行安全策略配置、基線管理、安全監(jiān)管、自查報(bào)送、事件協(xié)助處置等。

但，隨著攻防演練常態(tài)化和重保時(shí)間加長(zhǎng)，暴露了高階安全分析專(zhuān)家和夜間安全值守的不足。

引入深信服MSS安全托管服務(wù)后，該用戶迅速構(gòu)建起云地協(xié)同安全服務(wù)能力，為學(xué)校帶來(lái)了7*24小時(shí)持續(xù)守護(hù)、有效預(yù)防和主動(dòng)閉環(huán)的體系化安全運(yùn)營(yíng)效果。

此外，深信服安全GPT協(xié)助學(xué)校運(yùn)維老師實(shí)現(xiàn)事件研判、排查檢索和告警事件的值守處置，助力該校安全運(yùn)營(yíng)邁向“智能駕駛”。深信服GPT平臺(tái)也幫助學(xué)校安全團(tuán)隊(duì)學(xué)生迅速學(xué)習(xí)和掌握安全告警和事件的研判分析能力，從而能夠更深入學(xué)校的安全運(yùn)營(yíng)工作。

流程方面：運(yùn)營(yíng)閉環(huán)、安全有價(jià)，實(shí)現(xiàn)二級(jí)單位/校園網(wǎng)高效管理

考慮到各大高校二級(jí)單位、校園網(wǎng)用戶和終端數(shù)量眾多，管理復(fù)雜。信息中心需厘清各院系部門(mén)權(quán)責(zé)、打通安全工作流程、實(shí)現(xiàn)安全評(píng)價(jià)，讓安全工作事事有著落。XDR的工單能力，相比SOAR有了進(jìn)一步明顯提升，這讓信息中心在建立面向二級(jí)單位以及校園網(wǎng)的高效流程式管理時(shí)，更易實(shí)現(xiàn)。

具體落地上，第一步需要構(gòu)建組織領(lǐng)導(dǎo)明確、責(zé)任分工清晰、統(tǒng)籌有力的安全運(yùn)營(yíng)團(tuán)隊(duì)。第二，創(chuàng)建各類(lèi)從信息中心到二級(jí)單位，師生的運(yùn)營(yíng)流程，逐步完善融入到日常工作；深度融合流程與工具，實(shí)現(xiàn)智能化監(jiān)測(cè)、自動(dòng)化預(yù)警、全流程閉環(huán)管理，提升安全運(yùn)營(yíng)效率與管理能力。第三，建設(shè)安全評(píng)價(jià)體系，明確考核指標(biāo)，優(yōu)化安全工作；結(jié)合安全指標(biāo)、定期展示各項(xiàng)安全成果和排名，讓安全工作方向更明確。

用戶C是一所北京知名高校，在2年前發(fā)布了網(wǎng)絡(luò)安全責(zé)任制規(guī)范，明確了二級(jí)單位及直附屬單位的網(wǎng)絡(luò)安全第一責(zé)任人，信息與網(wǎng)絡(luò)中心提供技術(shù)手段保障安全監(jiān)測(cè)和處置指導(dǎo)。

深信服協(xié)助該校整合了通報(bào)預(yù)警、業(yè)務(wù)上線評(píng)估、資產(chǎn)上線、資產(chǎn)變更、告警處置、漏洞管理等多個(gè)工單流程，通過(guò)XDR的工單子系統(tǒng)在校內(nèi)流轉(zhuǎn)，實(shí)現(xiàn)信息中心到二級(jí)單位的預(yù)警通報(bào)閉環(huán)管理。

基于流程工單和特殊安全事件，學(xué)校構(gòu)建了多個(gè)處置劇本（如釣魚(yú)、失陷外聯(lián)、內(nèi)網(wǎng)橫向攻擊、漏洞管理），結(jié)合工單流程，輔助實(shí)現(xiàn)大部分安全事件的協(xié)同處置，實(shí)現(xiàn)信息中心和二級(jí)單位的協(xié)同響應(yīng)。

最后通過(guò)XDR績(jī)效考核模塊，從工單處置率、安全漏洞處置率等多個(gè)維度對(duì)二級(jí)單位進(jìn)行安全工作考核評(píng)價(jià)，實(shí)現(xiàn)以評(píng)促管、安全有價(jià)。

如何選擇更符合教育場(chǎng)景的?安全運(yùn)營(yíng)中心?

通過(guò)行業(yè)內(nèi)大量用戶的實(shí)踐效果證明，XDR+安全GPT是當(dāng)前高校安全運(yùn)營(yíng)建設(shè)的最優(yōu)解。那么如何選擇更符合行業(yè)場(chǎng)景的新型安全運(yùn)營(yíng)中心？

由于XDR融合了多項(xiàng)安全技術(shù)，涉及多平臺(tái)數(shù)據(jù)聚合、計(jì)算、分析，對(duì)服務(wù)商的安全技術(shù)能力和安全產(chǎn)品供應(yīng)鏈管理能力，提出了很高的要求。XDR的引入更面臨著對(duì)NDR、SOC等技術(shù)框架的全面兼容或替換，對(duì)其落地的可行性和改造成本的考量缺一不可，各個(gè)廠商之間的GPT實(shí)際效果更是有著云泥之別。在此情況下用戶選擇靠譜的安全廠商顯得更加重要。

高校在選擇供應(yīng)商時(shí)，有以下幾點(diǎn)需要重點(diǎn)考量：

平臺(tái)的開(kāi)放和兼容性：雖然主流XDR廠商都可以提供各類(lèi)原生安全組件，考慮到高校原有的安全建設(shè)及未來(lái)需求，在選擇供應(yīng)商時(shí)，需要考量該廠商平臺(tái)對(duì)各類(lèi)安全組件及原有平臺(tái)的支持，在盡可能利舊原有資產(chǎn)、保護(hù)IT投資的同時(shí)，獲得更加先進(jìn)的安全能力。

可持續(xù)生長(zhǎng)的安全能力：攻防的本質(zhì)在于持續(xù)的對(duì)抗，道高一尺魔高一丈。再先進(jìn)的檢測(cè)和防御技術(shù)可能都會(huì)被新的攻擊技術(shù)繞過(guò)。在選擇供應(yīng)商時(shí)，還得同步考量其安全可生長(zhǎng)的能力，包括云端威脅情報(bào)、云端高級(jí)安全專(zhuān)家、云端安全檢測(cè)模型的更迭等能力。

AI技術(shù)沉淀和持續(xù)投入的堅(jiān)定性：GPT的能力最終是構(gòu)建在算力、數(shù)據(jù)、算法的基礎(chǔ)上，這對(duì)應(yīng)的是考量安全供應(yīng)商在智算資源的持續(xù)投入、安全數(shù)據(jù)的沉淀和優(yōu)化、AI和安全人才的儲(chǔ)備。在選擇供應(yīng)商時(shí)需要考量其在AI能力上的沉淀和未來(lái)持續(xù)大規(guī)模投入的能力和決心。

對(duì)教育行業(yè)的理解：教育行業(yè)因其開(kāi)放自由的辦學(xué)理念，對(duì)用戶的管理很難達(dá)到其他行業(yè)的細(xì)粒度程度。龐大的終端和自治性較強(qiáng)的二級(jí)單位，也對(duì)教育行業(yè)的安全管理提出了很大挑戰(zhàn)。供應(yīng)商給學(xué)校交付的不應(yīng)是一個(gè)產(chǎn)品，而是一個(gè)可落地的解決方案，基于此在選擇供應(yīng)商時(shí)，需考量其在教育行業(yè)的深耕程度。

一直以來(lái)，深信服重視教育與科研數(shù)字化，且具有行業(yè)優(yōu)勢(shì)。從行業(yè)內(nèi)調(diào)研來(lái)看，國(guó)內(nèi)其他廠商在教育投入相對(duì)保守，深信服則是國(guó)內(nèi)唯一專(zhuān)注教育安全運(yùn)營(yíng)中心XDR+安全GPT落地的廠商，對(duì)教育行業(yè)的安全能力構(gòu)建有著獨(dú)到見(jiàn)解。

憑借出色的安全防護(hù)和運(yùn)營(yíng)效果，其安全運(yùn)營(yíng)中心方案獲得CELTSC（教育部教育信息化技術(shù)標(biāo)準(zhǔn)委員會(huì)）認(rèn)可，獲評(píng)《高等學(xué)校數(shù)字校園建設(shè)規(guī)范》優(yōu)秀應(yīng)用案例，成為高?！皵?shù)字校園”安全運(yùn)營(yíng)建設(shè)的共同選擇。

如今，多起高校案例證實(shí)了XDR+安全GPT賦能下的安全運(yùn)營(yíng)中心成功有效。而更多的成功案例也增強(qiáng)了深信服持續(xù)投入教育行業(yè)安全運(yùn)營(yíng)中心的動(dòng)力，持續(xù)推進(jìn)高?！皵?shù)字校園”安全規(guī)劃、建設(shè)和運(yùn)營(yíng)工作的全面落地。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。