2019年Gartner发布影响首席信息安全官的七大网络安全和风险管理趋势，强调了威胁监测与响应能力的重要性。无独有偶，IBM、德勤等全球顶尖的咨询机构最新提出的安全模型与框架，也无一例外地传达了对威胁监测与响应能力的重点关注。

本文基于多年的安全研究、趋势洞察以及大量用户的安全服务经验，总结提炼“四步走计划”，有效整合与优化已有的技术和管理流程，快速扩展威胁监测与响应能力，帮助用户构建威胁持续监测与响应的有效实践。

什么是威胁监测与响应能力

简单来说，威胁监测即组织通过攻击者留下的蛛丝马迹尽可能早地识别出所遭受的各种威胁的能力，而响应则是指包括威胁分析研判、通告、处置及加固等一系列动作。

当前，组织单位面对的是目标坚定、资源丰富、手段灵活的产业化攻击对手，他们训练有素，利用人工智能手段来武装攻击工具，使得攻击更加频繁，交易方式更加隐蔽。如果不匹配同样先进智能的技术产品、训练有素的人员、高效清晰的流程，难以形成有效对抗。因此，组织需要一套行之有效的威胁监测与响应闭环流程、一群经验丰富的专家以及配套的安全设备，需要快速扩展威胁持续监测与主动响应能力，实现威胁持续对抗。

四步计划，

快速扩展威胁持续检测与响应能力

第一步：充分理解自身的资产

 随着业务系统边界逐渐模糊，资产不可视导致的问题日益凸显：悄然上线的资产无从知晓，直至系统感染病毒后才被通知；服务器不知在哪，处置问题时定位设备耗时耗力；Web系统版本记不住，加固操作无从下手......安全建设必须在安全可视的基础上，如果没有完整的、详细的资产清单，安全运维人员就无法确保组织的安全。因此资产管理作为安全运营的基础，是监测与响应的根本，是务必重点完成的一项工作。

那么如何有效落地资产管理呢？

首先，以行政部门或采购部门的固定资产表为起点，梳理出资产基本信息，如所属部门、物理位置、用途、责任人、联系电话等。

然后，在资产发现工具的支撑或专业服务人员的指导下，以主动和被动结合的方式识别出资产的更多信息，包括IP、MAC、端口、系统版本。

其次，采取增量式更新的方式全面地理清应用系统资产信息，如web服务器版本、中间件版本、开放端口等，通过把时间窗口拉长的方式降低工作难度。

最后，进行长效的资产日常运营，包括不断对资产信息清单进行更新和对资产进行更细致规范的分类分级管理,从评估不同资产的重要性及其所对应的安全等级，到设计出不同安全等级资产对应所需的安全保护措施，并通过网络分区分域优化、安全设备差异化部署、安全策略强化配置等方式合理配置安全资源，优先保障高价值资产得到有效保护。

第二步： 扩大监测能力覆盖范围

监测能力需要结合资产梳理的结果，覆盖高价值资产范围，如暴露在互联网的资产，日常运维中关注较少的资产。同时，根据业务和资产的特性扩大监测能力涵盖的数据范围。这就需要充分用好已有的安全产品，并视情况新增设备来实现多种类型数据的采集和过滤。一般来说，系统日志、网络流量和端点日志必不可少，这些数据中蕴含着攻击行为必然会留下的脚印和轨迹，有助于描绘出整体网络环境中的正常访问与异常攻击，同时它们也是主动开展威胁狩猎、攻击溯源的重要支撑。

用户行为也必须纳入监测监控的范围。访问和操作行为及其相关的数据有助于安全系统观察和统计用户的行为基准，生成画像，而通过持续监控和机器学习算法发现的偏离基准的某些行为即可被判定为异常访问，这往往是用户账户被劫持进行横向扩散或内鬼正在违规操作窃取数据的表现。举个例子，如果某终端与某系统之间的访问通信量一直相对稳定，且集中在某一特定时段，但突然在某个特定时间访问量激增，即使系统类型或所用协议的详细信息均未知，威胁监测也必须对该危险信号进行通告并立即展开调查。

第三步： 采用全天侯的监测模式

安全设备具备实时监控网络中异常态势的能力，通过设备告警的方式提醒用户关注和处置，其对威胁监测与响应的价值不言而喻。同时，经验丰富能力充分的安全分析人员可与安全设备实现互补，主动进行高阶威胁分析，对成功入侵到内网的攻击行为进行持续搜寻，通过安全策略加固以防范类似的威胁，最终通过分析人员与安全设备的各取所长与协同配合，成功实现持续监测模式。

此外，通过对黑客的活动规律进行统计，黑客组织往往在防守者较为放松的时候发动攻击，如夜间凌晨、节假日，因此7*24小时云端远程进行持续监测与响应是大势所趋，既能有效监控安全态势、提前通知事件，又能节省成本、释放人员精力。

以深圳一高校为例，前不久的某个深夜，该高校IT运维人员张工突然接到电话，朦胧的睡眼被电话中传来的“勒索病毒”4个字彻底惊醒，原来是深信服MSS服务云端专家通过云端运营平台进行持续监测的过程中发现了病毒的活动迹象。张工迅速连入学校内网，在云端专家的指导下进行事件初步分析判断，发现是某台终端感染了勒索病毒最新变种，电脑中文件正在被加密，张工果断通过EDR的微隔离功能将该终端“断网”以防止病毒扩散，并开展查杀、更大范围排查等操作。幸运的是该终端属于非关键设备，通过重装系统快速恢复了正常办公，事后张工感叹，这种持续监测模式价值非常明显，已多次提前识别到威胁，现在工作省心多了，晚上终于可以睡个踏实觉。

第四步： 提高响应自动化编排程度

安全编排与自动化响应SOAR是当前安全领域热点技术之一。安全运营过中，手动和自动协同的定制化工作流的有效运用和高效运转可降低不同产品间切换需耗费的人力、时间，而完备的信息收集、多种互相配合的监测算法、规范工作流的编排可保证威胁监测与响应的效果。安全编排中的自动化程度，决定了威胁监测与响应的效率和准确性，这里务必关注2个重点技术能力的建设——Use Case和Playbook。

未知威胁或高级持续威胁之所以破坏性强，皆因攻击者是具有自适应能力的智慧型对手，正在采用鱼叉攻击、水坑攻击甚至是人工智能等丰富的攻击方式强化攻击能力，而目前分析师做日志分析、威胁狩猎时，需要多种平台工具之间频繁切换，容易被海量的告警信息所淹没，甚至忽视掉关键线索，因此我们需要灵活、智慧的防守者精准、主动、快速地识别威胁，Use Case技术可有助于实现上述目标。

Use Case基于对常见攻击场景、攻击目标、攻击技术、入侵手法、攻击路径的研究和掌握，站在攻击者的角度还原攻击各个阶段的常见做法，思考攻击者会如何绕过或躲避安全产品，预测攻击者为了达成目标会有哪些行为，最终可清晰地告诉设备平台和分析人员当前场景下攻击一般分为哪几步，需要到哪些设备哪些终端提取日志数据，怎么对这些数据进行聚合和关联，如何根据以上信息对威胁进行研判和告警，哪些威胁是需要优先重点关注的，从而有助于监测与响应能力自动化的提高。

2019年Gartner发布的一篇研究报告指出，任何监测能力离不开安全监测用例Use Case，只有它被恰当地设计和实施好，包括EDR、防火墙、全流量监测设备在内的监测技术才能更好发挥作用。业内著名的MITRE ATT&CK框架详尽地描述了攻击者普遍使用的战术与技术，深信服基于此设计了大量Use Case，融合到安全运营平台，增强对未知威胁识别的准确率和效率。

▲基于MITRE ATT@CK框架的Use Case设计示例

响应处置工作是安全运营中较为复杂的部分。传统的做法是，加固人员按照威胁处置建议逐个完成响应动作，但一方面担心操作经验的缺乏导致响应效果无法保证，另一方面担心加固存在遗漏导致同类威胁频繁发生甚至转变为事件酿成损失。

而响应处置脚本Playbook可有效实现响应工作的自动化编排，降低响应处置的平均时间，确保响应动作的完备和全面。Playbook针对不同安全事件类型规定了最佳处置流程，划分工作优先级，使人员、流程、技术无缝融合在一起，共同完成从分析研判、误报确认、上下文信息收集、处置分工、效果核验、日志记录和总结归档等工作，大大缩短响应时间。

以深信服安全运营平台为例，在SOAR技术的赋能下，通过Use Case和Playbook等技术的应用，安全运营平台可帮助用户建立规范的监测与响应的流程，实现过程的自动化无感知，只需要在工单系统中对结果进行检查确认，实现闭环。值得一提的是，其中多产品联动处置的功能利用策略下发机制可协助用户实现以点带面的自动化安全加固。

▲安全自动化编排与响应SOAR技术框架

充分理解自身的资产以实现全方位的“自知之明”、明确监测能力覆盖的范围与场景以实现数据分析的“面面俱到”、采用全天候的监测模式以实现安全监测的“不眠不休”、提高响应自动化程度以实现安全运营的“事半功倍”。“四步走计划”的建设思路将协助各组织稳步提升自身的威胁监测与主动响应能力，从而能够在外部攻防不对等、内部安全监管趋严的大环境下，有条不紊地开展日常运营工作，胸有成竹地实现安全能力提升。