由企业网D1Net、中国企业数字化联盟和信众智(CIO智力输出及社交平台)共同主办的2024北京部委央国企及大型企业CIO大会于1月20日在京圆满召开。本次大会汇聚了百余位央国企部委及大中型企业CIO、信息主管以及数字化一线厂商，以“数智赋能可持续发展”为主题，围绕数据治理、BI、数据合规、数据入表、人工智能大模型、分布式云、安全等数字化技术应用，数据战略规划与实践、大模型在行业中的落地实践、数字化转型实践等热门议题展开深入探讨。

绿盟科技安全运营部技术总监李昀磊在演讲首先指出，随着数字化的发展，安全运营已成为企业共识，但许多企业在安全运营自动化方面仍然存在欠缺。随着业务上云，带来了新的安全风险和运营手段。李昀磊强调，企业在全面云化的时代需要考虑新的安全防护方法和攻击者的应变策略。

接着，李昀磊详细介绍了云上安全运营的难点，包括异构多云统一管理、云资源安全配置管理、云控制面安全管控等。绿盟科技提出了云上安全运营的新手段，如云资源自动识别、EASM监测边界与攻击路径自动评估等。李昀磊强调，安全运营从被动到主动的转变，包括从攻击者视角开展资产持续识别、威胁持续评估、修复闭环度量等。绿盟科技建议企业按照持续威胁暴露管理(CTEM)的理念，通过改善技术、管理人员和运营团队之间的关系和流程来减少暴露。

最后，李昀磊深入分析了安全运营智能化的必要性，包括安全产品和运营的自动化发展阶段，以及AI在安全运营中的应用。

以下是现场速记。

绿盟科技安全运营部技术总监 李昀磊

李昀磊：各位领导、专家大家好，我是来自绿盟科技的李昀磊，主要负责帮助大型企业建立自己的安全运营中心。

前面有很多领导提到我们在做数字化转型过程中，保证网络安全是我们的前提。我今天也是就网络安全的角度去跟大家讨论一下我们对于数字化转型过程中对安全运营影响的一些看法。

首先分享两个数据：左边的是88.6%的企业已经在建设自己的安全运营中心，一方面是因为现在网络安全形势比较紧迫，有各种各样新的攻击的事件的出现，另外一方面国家最近几年对网络安全的重视，每年都会做比较大型的攻防演练。一方面能代表我们对于安全的重视，但同时也暴露了另外一个问题就是大部分的企业在做自己的安全工作时，里面自动化水平相对比较低。很多时候我们需要短期地做一些突击性工作，安排很多人员来完成短期防守。这些显然不是我们期望的在数字化转型过程中的高能高效的方式，我们也认为在我们保障企业协助企业做数字化转型安全保障过程中，我们也需要完成自己的安全运营数字化的转型。

接下来我会从三个角度去分享我的观察和思考。

第一.业务上云。

云是现在很多企业用到的基础设施，一方面给我们安全方面带来新的风险点，但同时就像它帮助我们企业降本增效一样，它也给我们带来新的手段。现在我们从每一年的不论是日常的工作还有攻防对抗中都能看到许多的企业，几乎我们看到所有的企业都在不同程度地应用各种各样的云。包括前面有腾讯云的专家介绍到他们在构建分布式云，部署在企业本地。也有一些中小型企业更多用到公有云的技术，更多企业同时使用多种云的技术。这些在帮助我们完成更高效业务发展的同时也会带来新的风险。

我简单的总结了一下我们最近几年做安全攻防中识别到的云上的典型攻防场景。这个图稍微复杂，我介绍两个比较有代表性的场景。一个是左下角的凭据泄漏，这个场景是我们在企业上云的过程中最容易出现的安全的问题，也是每一年在攻防演练中最常出现的问题。它的特点是本身凭据它其实是我们云提供的正常的功能，是为了帮助我们企业更高效地调动云的资源来完成正常的业务场景。但是在产生这些帮助的同时，攻击者也可以利用这些资源。比如我们可能会有些外部的供应商帮助我们做外包的开发，它可能有自己的测试环境，或者我们可能有一些企业的代码托管在托管平台上。这些不同的途径，如果我们有些管理疏忽可能会造成凭据的泄漏，这个时候攻击者可能就会识别到这些信息，并且利用这些信息一次性地直接控制我们整个云平台。这个对于传统的网络是不会产生这么突发性的影响，但是在我们大规模的上云之后，不光是我们业务的效率上去了，攻击的效率也非常高的上去了，它可以一次性的获取整个网络的权限。

相似的还有在上云的同时通常也会构建自己的CICD的流水线来帮助我们更高效地完成开发。这种技术同时也会被攻击者利用，比如说他可能会通过钓鱼等手段控制开发机、或侵入某些线上系统后，在我们的代码仓库里投入一些恶意的代码，接下来就会借助企业正常开发流程大规模部署到生产环境里，这些都会造成很多的风险。反过来看，所有这些云上的攻击会有一些特点，它通常会很大程度上利用云自身的特性，云属于相对来说新兴的技术，不光是我们的开发人员，我们的运维人员和安全人员也都需要更长的时间去消化和吸收分析这里边的风险。同时这些云上的攻击场景不是发生在数据面而是控制面，这样的话用传统的安全手段是很难去发现与拦截的。

与这个相对的除了刚才提到的这些风险之外，云也给我们做安全工作带来很多以前想象不到的便利。这一块举一个比较典型的例子，左边我展示的是安全人员传统做安全的时候最常见的场景，先要知道我有什么资产然后做扫描和渗透，这也是各位领导最容易感知到的场景。但是这个里面最容易出现的问题是我们的安全人员很多时候不太容易跟业务人员去解释清楚，这个漏洞为什么一定要修?我的业务现在正在高速增长，我已经没有那么多精力把资源投入在处理安全漏洞这些问题上了。但是这些问题反过来又确实会对我们业务发展造成负面的影响，但是在我们上云之后，这些问题会有一些根本性的变化。比如说我们在云上可以利用云自身的特性来完整地识别到我们云上所有的资源，因为所有的这些云上不管是虚拟主机还是网络，它其实都是云平台自己去生成的，我们可以对这个云达到完全透视的效果，识别到所有资源和业务之间的关联关系，并且借助云上比如可以对一些虚拟磁盘做离线的扫描，在完全不干涉正常业务运转过程中就完成对整个系统评估，形成业务视角的攻击路径。这样产生的好处就是我们安全人员可以更简单地跟我们的业务人员说清楚，这块漏洞为什么需要修，它是因为如果这个不修，这个是对互联网暴露的系统，如果攻击者利用这个漏洞，下一步会拿到这个系统里100条或者10000条客户敏感信息，会对业务产生重大影响，所以这个漏洞必须修。而不是像以前那样争执半天说不清楚，这是上云对安全工作产生的正向反馈。

第二.从被动到主动。

在我们企业完成数字化转型过程中，它可能对我们安全工作方式产生什么样的转变?我们总结成从被动到主动。我展示一个图，这个图看起来有许多的框框，大家看起来也不太明白是什么意思，这很正常。因为我们自己看到也是这种感觉，这个其实是我们内部最近正在研讨的攻击面治理的方案，上面的绿色、黄色、蓝色的这些小框框都代表着我们作为一个企业对外暴露的攻击面是什么样的。这个攻击面的概念最近安全企业可能宣传也比较多，可以简单理解为作为一个企业面向攻击者它对我们可以产生整个接触面有哪些?比如可能有对外的网站，有我们自己的公众号，有我们自己对外沟通的人员，这些都可以成为攻击面，因为这是攻击者就着这些点去对我们发起攻击并且产生负面影响的一些平面。

为什么说我们数字化转型会对我们安全工作产生视角上的变化?因为传统安全工作更聚焦于我们内部，我们需要先把自己的资产清点出来，识别到上面所有的漏洞、问题，并且去督促我们的IT人员把这些问题一个一个地解决。但是在我们开展数字化转型的过程中，我们的业务在非常高速地发展，这里不光会出现很多新的技术，也会非常快地去增长我们的IT规模。比如对外暴露的网站，现在还有自己的公众号、APP、小程序甚至在各种媒体上面的社交平台有我们自己的账号，所有这些会让我们的攻击面非常快地扩大，这也导致我们用传统的方式，比如一个一个去修复漏洞，这种方式已经完全不能满足现在发展的要求了。

所以我们就需要去转变视角，既然我们不能把所有的问题都解决，当然我们就可以朝着提出问题的人去使劲。我们就需要用一种对抗的方式去看，我们在跟谁对抗?大企业一方面有自己的竞争对手，有外部的势力。从网络攻防角度我们更关注攻击者可能会对我采取什么样的行动?前面提到过攻击面的概念。广义上可以认为如果攻击面足够的小或者攻击面上的问题足够的少，我就更难被攻破，这也是我们现在整个网络安全行业在尝试的新的方法。我们尝试用攻击的角度去看我们整个企业，不光是我们内部有什么样的问题，更多的是我们从外部的攻击或者内部的恶意行为角度去看，我们整个暴露在互联网或者外面的信息是什么，比如我们有什么样的供应链的信息，我有哪些虽然不在我自己的管辖范围之内，但是可能包含我的敏感数据的系统，可能在我的合作伙伴那块。这些都可能会成为攻击者对我们实施攻击的触点。

因为从攻击角度去看，所以某些传统安全问题反倒没有那么重要。比如我们内部系统的漏洞可能并没有我们泄漏在外部的信息重要，因为它能直接产生的后果并没有目前那么严重。反过来我们就可以把这些安全工作控制在比较合理的量的范围之内，让我们更好完成数字化转型、高速发展的同时，扫清前路的障碍。这也是我们最近几年在各种大型攻防演练里已经验证的方法。

第三.安全运营数智化。

前面有很多领导提到了数智化的概念，安全行业也很早就开始应用人工智能的技术。去年也爆发了大语言模型比较新的AI技术，这一块我们在安全运营中也有了新的应用。我们前面提到过像安全里面有比较常见重要的工作就是资产，识别到有什么问题一个一个进行整改，这一块占了安全运维人员50%的日常工作量，另外一块最大的投入工作就是在告警监测这一部分。现在每一天都会有新的漏洞爆发，也都会有新的攻击手法出现。在这个过程中，我们在不断地增加我们自己的检测的技术，让我们能发现更多的攻击，以便于在产生不好影响之前我们及时地把它处理掉，但是这也导致我们处理的数据量在爆炸式的增长。我相信很多的企业很早就开始做网络安全态势感知项目，都是在致力于解决内部在安全数据爆炸情况下怎么更高效地发现安全事件，采取防御动作，这也能取得很多的效果。

但是现在在IT资产发展高速的状态下，仍然很难满足强对抗的需求。就像刚才提到的，我们每一年在开展大型攻防演练，都需要临时增派大量人手，这些人手最常见的工作就是去看所有安全的告警、信息，发现在所有的这些网络流量或者终端的行为上有没有一些攻击，有没有一些可能会产生不好影响的地方?这些也是我们在整个安全运营工作里边最制约我们效率的地方。

绿盟也是在安全里面投入AI研究比较早的，我们大概2020年时发布了一篇AI应用的报告，这一块我们参考自动驾驶的分级，我们给安全营里自动化等级做了分级，从L0到L5。就像前面有专家提到比如在电力或者水利行业会有一些自己的专属模型，在信息安全领域也是一样的，比如在攻击识别或者加解密方面会有小模型，里面会用到知识图谱或者深入学习的技术。它更多的是在对我们人员做一些补充，比如传统方式可能不太容易去发现的一些加密的攻击或者比较隐蔽的行为可以用这种方式去发现，但是更多它其实起到补充作用而不是在帮助我们去提高效率，反倒会增加我们工作量。

从L3、L4或者更高级别更多就需要用到最近这么一年多出现大模型的技术，我们也确实在一些包括我们自己还有一些客户运营中心里实现过，确实能解决很多问题，它能真正达到自动驾驶L3的水平，让我们的手离开方向盘，而不是需要一直保持对数据的关注。这个也是我们绿盟在去年发布了我们自己的网络安全的大模型，目前我们正在我们自己内部做测试验证，我们自己的运营中心在同时服务全国大概200多家的企业，远程地对客户提供高效7×24小时安全运营服务。

前面提到的不管是大模型还是小模型投入了之后确实在这一部分有比较好的效果，原来我们需要比较多的人员持续不断地去关注安全的告警，主要靠堆人，目前我们可以靠大模型来自动地帮我们发现这个告警产生了之后，它所有的这些上下文是什么样的，它可以关联到比如整个行为前面、后面发生了什么动作，它发生的资产是什么样的业务系统，这个业务系统有什么样的特点?所有这些信息关联起来最终形成一个结论，这样的行为对于我们来说是不是一个攻击?如果是一个攻击，接下来我们应该对它采取什么样的措施?这个是我们在一些传统的AI模型里面不太擅长的领域，但是我们从去年开始应用的大语言模型的技术恰恰就适合做大量数据的解释以及意图的理解这样的一些方法，这个也是我们目前认为在未来可能成为更多的安全应用中心基础设施的能力，我们也正在努力把这种在云端已经实践完善的人工智能的能力下放到更多的安全运营平台里面，提供给我们更多企业的客户。

绿盟科技在安全数字化或者智能化方面布局比较早的安全企业，我们成立于2000年，我们在2009年就发布了自己的第一款运用机器学习技术的网络安全的产品，在去年人工智能爆发之后，我们也发布了自己的大模型的产品并且目前正在一些行业和我们自己的内部做一些试点应用，已经取得了比较好的效果。

我今天的分享就是这些，期望我们在未来也能帮助更多国内的企业在完成自己的数字化转型的过程中提供更多的有效的安全的保障。