近日，國際知名咨詢機(jī)構(gòu)Gartner發(fā)布《Market Guide for Managed Detection and Response Services, China》報告（以下簡稱《報告》），報告對MDR（Managed Detection and Response Services，可管理檢測與響應(yīng)）服務(wù)在中國的市場情況及發(fā)展方向進(jìn)行了分析和預(yù)測。安天常態(tài)化安全運(yùn)營服務(wù)入選該報告。

Gartner在報告中指出，目前國內(nèi)MDR的核心項包括：7*24小時監(jiān)測、安全事件應(yīng)急、發(fā)現(xiàn)和響應(yīng)、威脅情報、威脅獵殺等指標(biāo)，但同時指出不同規(guī)模組織對MDR訴求并不相同：

1.小型規(guī)模組織安全設(shè)施匱乏，需借助MDR服務(wù)快速形成基本的檢測和響應(yīng)能力，同時滿足法律法規(guī)和標(biāo)準(zhǔn)（如等保2.0體系）的安全基線要求，并響應(yīng)小概率安全事件或應(yīng)對小范圍影響；

2.大型組織通常具備較為成熟的安全防護(hù)體系，但在安全告警和事件響應(yīng)及處置方面存在效率低下和誤報率高的問題，亟需利用MDR服務(wù)提高深度威脅檢測能力，并關(guān)注高價值資產(chǎn)防護(hù)，形成閉環(huán)的安全告警自動化響應(yīng)和處置，針對關(guān)鍵信息安全事件投入更多的專家力量。

安天二十多年以來一直站在威脅對抗前沿，持續(xù)挖掘和分析網(wǎng)空威脅行為體的關(guān)鍵特征，通過安全產(chǎn)品和安全服務(wù)相結(jié)合進(jìn)行威脅發(fā)現(xiàn)、防范和處置，協(xié)助客戶建立有效的安全防護(hù)體系。安天以威脅對抗為核心，以持續(xù)性威脅獵殺為基礎(chǔ)手段，協(xié)助客戶開展常態(tài)化安全運(yùn)營服務(wù)，為客戶構(gòu)建持續(xù)安全運(yùn)營體系，打造安全運(yùn)營能力，提升動態(tài)防御、主動防御水平。安天通過常態(tài)化安全運(yùn)營服務(wù)，支撐客戶逐步開展業(yè)務(wù)運(yùn)營、數(shù)據(jù)運(yùn)營和安全運(yùn)營，隨著不斷優(yōu)化演進(jìn)，最終達(dá)成集業(yè)務(wù)、數(shù)據(jù)和安全為一體的自動化運(yùn)營。

安天的常態(tài)化安全運(yùn)營可為規(guī)模不同以及安全運(yùn)營成熟度不同的組織，提供積木組合式安全服務(wù)，并將常態(tài)化安全運(yùn)營劃分為以下四個層面：

1.安全運(yùn)營體系建設(shè)

安天認(rèn)為“安全運(yùn)營”成敗的關(guān)鍵，在于客戶自身的運(yùn)營流程，安全服務(wù)廠商在其中需要扮演的是能有效與用戶流程耦合賦能的角色。安天根據(jù)客戶安全運(yùn)營成熟度，判定自身需要扮演的角色。將自身融入到高成熟度客戶的流程體系中，強(qiáng)化有安天特色的能力運(yùn)營支撐強(qiáng)點。同時協(xié)助低成熟度客戶建立或改善安全運(yùn)營體系，協(xié)助客戶設(shè)立安全運(yùn)營組織機(jī)構(gòu)，健全安全運(yùn)營管理制度體系和應(yīng)急預(yù)案體系，強(qiáng)化關(guān)鍵環(huán)節(jié)的安全運(yùn)營協(xié)同機(jī)制，確保客戶的網(wǎng)絡(luò)安全工作在安全運(yùn)營組織機(jī)構(gòu)的帶領(lǐng)下能井然有序的開展。

2.前置安全評估

安天以全生命周期視角看待客戶資產(chǎn)安全運(yùn)營。協(xié)助客戶做好安全運(yùn)營的起點，把風(fēng)險管控于系統(tǒng)上線之前。針對擬上線設(shè)備和系統(tǒng)完成漏洞檢測、威脅檢測等基本合規(guī)動作，同時協(xié)助用戶針對不同場景用途主機(jī)的要求建立差異化的安全基線模板，覆蓋可信引導(dǎo)鏈、安全策略配置、執(zhí)行體環(huán)境和行為管控策略等基線要素，通過同步基線策略，構(gòu)建對上線系統(tǒng)的治理基礎(chǔ)，并推送到后續(xù)的實時防護(hù)流程中。對高安全需求客戶，安天還協(xié)助客戶從設(shè)備上線開始，實現(xiàn)從全量執(zhí)行對象和完整系統(tǒng)環(huán)境與配置的全量識別、清晰化與存檔。

該服務(wù)可以和安天產(chǎn)品有效融合，安天專門研發(fā)了系統(tǒng)上線安全檢查設(shè)備，輔助安全運(yùn)營者完成相關(guān)工作，實現(xiàn)全量執(zhí)行體和環(huán)境配置識別，實現(xiàn)接近STIG級別的復(fù)雜配置同步。針對業(yè)務(wù)系統(tǒng)上線，安天協(xié)助客戶檢查系統(tǒng)的安全設(shè)計，進(jìn)行從二級制到代碼的安全分析評估，形成供應(yīng)鏈成分清單，在客戶基于DevOps推動彈性的數(shù)字化轉(zhuǎn)型的過程中，安天通過RASP部署結(jié)合等方式，讓應(yīng)用與安全基因結(jié)合。

3.事件應(yīng)急響應(yīng)

安天基于重大安全事故、惡意代碼事件、漏洞曝光、威脅風(fēng)險線索等情況，助力客戶實施安全事件應(yīng)急響應(yīng)。安天的應(yīng)急響應(yīng)團(tuán)隊7*24小時待命，確保在安全事件發(fā)生的第一時間抵達(dá)客戶現(xiàn)場響應(yīng)安全事件，協(xié)助客戶定位事件源頭，及時阻斷事件橫向蔓延，分析事件發(fā)生起因和過程，恢復(fù)現(xiàn)場損失，并加固相關(guān)脆弱性，防止事件再次發(fā)生。

4.常態(tài)安全運(yùn)營

安天堅持防御者和防御資產(chǎn)場景雙服務(wù)對象主體原則。面向防御資產(chǎn)場景，安天基于資產(chǎn)與系統(tǒng)、應(yīng)用與執(zhí)行體、網(wǎng)絡(luò)與拓?fù)?、身份和賬戶、數(shù)據(jù)與業(yè)務(wù)五個層面協(xié)助客戶構(gòu)建基礎(chǔ)運(yùn)營的層次，協(xié)助客戶梳理資產(chǎn)、建構(gòu)安全資產(chǎn)臺賬，跟蹤系統(tǒng)是否與安全基線一致。為實現(xiàn)系統(tǒng)、拓?fù)?、業(yè)務(wù)、數(shù)據(jù)流向提供建議，協(xié)助客戶實現(xiàn)數(shù)據(jù)分類分級，持續(xù)開展數(shù)據(jù)安全治理?；诎踩a(chǎn)品的運(yùn)營結(jié)果，不斷挖掘新的暴露面、脆弱性和威脅事件。聯(lián)動進(jìn)行威脅研判是否需要觸發(fā)重大事件響應(yīng)處置流程。

同時，安天堅持認(rèn)為防御者是網(wǎng)絡(luò)安全的核心，是最具能動性的因素。安天實時跟進(jìn)國家和監(jiān)管部門法規(guī)、政策、標(biāo)準(zhǔn)研判，協(xié)助客戶進(jìn)行合規(guī)研判，開展從面向一般信息系統(tǒng)使用者的安全意識培訓(xùn)到面向安全防御者的安全技能培訓(xùn)和演訓(xùn)活動，和客戶共同提升安全技能。

安天智甲、探海、追影等威脅對抗產(chǎn)品體系能為上述服務(wù)提供防御響應(yīng)和情報生產(chǎn)的有效支撐。

安天認(rèn)為在客戶資源極為有限的情況下，更需要實現(xiàn)安全資源投入分配的最優(yōu)化，全生命周期和常態(tài)化管控風(fēng)險，避免陷入到日常馬放南山，重保死看死守的負(fù)螺旋中。而常態(tài)化的安全運(yùn)營服務(wù)，核心就是充分考慮到業(yè)務(wù)組織和IT環(huán)境的特征，以及實際安全需求，有效降低安全運(yùn)維壓力，隨時掌握安全態(tài)勢，持續(xù)進(jìn)行威脅對抗，幫助客戶規(guī)避安全風(fēng)險，有效解決Gartner提出的快速和有效響應(yīng)的問題（Rapid and Effective Response Should Be Addressed by MDR Services）。

同時，安全服務(wù)不是安全駐場服務(wù)人員和攻擊者的“個體對決”，而是一個在產(chǎn)品工具化、情報賦能和專家經(jīng)驗支撐下的體系對抗。為此安天專門為安全服務(wù)工程師打造了拓痕應(yīng)急處置工具箱，內(nèi)置了主機(jī)系統(tǒng)分析處置工具、便攜式探海威脅檢測系統(tǒng)、便攜式追影威脅分析系統(tǒng)。同時可以實現(xiàn)點對點的呼叫后場支撐專家，通過云端獲取后端高級安全專家賦能。安天基于海量探針和情報共享體系建立起的感知能力，從外部感知客戶關(guān)聯(lián)性風(fēng)險，實現(xiàn)定向推送。同時基于ATID和AVL insight威脅情報平臺，實現(xiàn)對工程師的后場平臺支援，實現(xiàn)服務(wù)與安全產(chǎn)品結(jié)合，實現(xiàn)7*24小時的監(jiān)測、響應(yīng)、處置的閉環(huán)運(yùn)營，在不同階段安排MDR服務(wù)專家進(jìn)行不同級別的驗證，縮短響應(yīng)時間，降低安全建設(shè)成本，提高響應(yīng)和處置的效率。