网络安全技术的持续演进，以及越来越多的安全设备与管控措施逐步落地，不断提升企业安全能力的成熟度。但企业面临的安全风险却仍然存在，且呈现出更加复杂化、高危害的特性。如何有效强化整体安全防护能力，促进各设备之间联动配合，成为企业关注的重点，安全运营的重要性也由此凸显。

于是，越来越多的安全人员开始关注安全运营，持续增加在其领域的投入。AIGC的出现让行业看到了安全运营新的突破方向，并迅速成为安全运营领域新的焦点。

如何做好安全运营，如何用好 AI？阿里云联合 FreeBuf 策划了一场技术沙龙，分享 2024 安全运营最新探索与实践。本次沙龙主题为「智汇云端 解锁安全运营新范式」，阿里云安全专家杨宝鹏、某大型集团信息安全负责人孙琦、阿里云安全专家陆畅、哪吒汽车云平台信息安全负责人王兆强、阿里云安全专家图鲲分享主题演讲。数十位来自平安银行、东方证券、同程等企业、机构的安全负责人、安全运营专家等参加本次活动，围绕安全运营智能化、跨云安全和车联网安全等话题进行深入探讨。

本次技术沙龙设置了互动环节，以「安全运营的“骨感现实”」为主题进行分组讨论，并按照“难以搞定”、“基本搞定”、“没有挑战”三个层级，就安全运营实际工作中出现的“人力资源不足问题”、“运营效果如何体现”、“业务人员配置错误”等进行分享。

飞天技术沙龙嘉宾精彩分享

安全从业者荣誉时刻——国家级大型赛事活动网络安全“零事故”

阿里云安全专家  杨宝鹏支撑该赛事活动运行的是一个规模庞大的业务系统，形态复杂多变、发布内容关注度高。这些系统涉及到参与人员身份、出入境等敏感信息，各系统之间还需要与第三方系统进行数据验证和交互，在这样复杂的网络场景下，网络安全架构建设与运营工作显得尤为重要。

作为该赛事活动的安全架构师，阿里云安全专家杨宝鹏表示，该赛事活动面临着网络场景复杂、数据敏感度高、风险收敛困难等挑战。为了解决这些问题，阿里云投入了大量资源和时间，通过合理的安全架构设计、安全产品最佳实践、风险暴露面持续收敛等，高质量地完成了该赛事活动的网络安全保障工作。

提到该赛事活动网络安全架构时，杨宝鹏特别强调，整体遵循三层架安全构设计，业务之间通过VPC隔离，VPC内通过安全组划分：DMZ（隔离区）、Trusted（业务逻辑区）、Secured（安全区）。DMZ区域，主要是用于存放Nginx和Tomcat等中间件，该区域业务对外提供服务；第二个区域放业务逻辑代码，负责处置业务流程；最后一个区域用来存放数据库、OSS等存储。外部入口严格遵循Anti-DDoS、WAF、云防火墙的接入防护模式，各业务之间通过VPC防火墙进行管控，内部区域之间使用安全组遵循最小化白名单访问形式。

此外，虽然相比某些大型公司的业务流量峰值持续高位，该赛事平台流量会随着比赛变化，平台流量主要来自于观众、运动员和志愿者，一旦被攻击无法访问或泄露敏感信息，关注度极高，所以在前期业务评估时充分考虑了API安全和抗CC、DDoS攻击场景，所有接入业务必须经过Anti-DDoS或DCDN流量清洗。另外，对于一些可能关键的业务接口采用了洪峰限流功能来保障业务高可用，接入对外暴露的所有的业务使用API安全对敏感接口进行监控和预防数据泄露。

安全运营新思路——从数据洪流到智慧抉择

某大型集团信息安全负责人  孙琦

接手一家企业的安全保障工作后，一旦安全人员仅从安全视角直接切入工作，很快就会发现大量漏洞以及安全合规问题，跟研发业务部门也会产生非常多“冲突”。某大型集团信息安全负责人孙琦表示，业务和安全的潜在矛盾一直是安全从业者面临的挑战，安全从业者可以绕过这一步骤，先了解企业的主营业务。

安全从业者需要明确一个共识，聚焦于信息安全的整体目标，了解自身工作的重点、服务对象以及如何开展工作。尤其对于空降的安全领导者来说，更需要与业务负责人进行沟通，了解企业的实际业务情况，把企业具体的业务能力和业务模型进行拆分，通过横向分析、拆分主流业务，发现企业主要依赖的业务系统，并与研发人员站在“统一战线”，更好地平衡业务需求和安全要求，实现安全与业务的有机结合，才能去开展配套的安全能力建设，构建出合理的安全业务架构体系。

不仅如此，孙琦还强调，安全运营能力并非短时间内能够快速形成，这是一个“滚动”的过程，合理的安全运营策略是从安全意识、安全业务等不同角度出发，把安全运营工作进行“切分”，下发到不同的业务部门，安全团队负责统筹、聚合的工作，清晰地告诉业务伙伴们要做什么、应该怎么做，通过前期制定的制度和流程把风险提前化解掉。

互动环节——安全运营的“骨感现实”

随着孙琦的分享结束，主持人宣布进入互动环节，现场嘉宾以「安全运营的“骨感现实”」为主题，与会嘉宾从不同角度出发，对安全运营中的具体问题展开了热烈讨论和深入剖析。最终，与会嘉宾普遍把“运营效果难以体现”、“业务人员配置错误”、“风险识别问题”、“人力资源不足”以及“安全产品协同”等问题列为“难以搞定”。在“基本搞定”的面板上，“云上威胁多样化”、“标准化缺失”、“安全职责划分困难”等问题是大多数嘉宾的选择。对于“全量资源可见性”、“合规问题”、“挑选出一款优秀的安全工具”等问题，与会嘉宾认为其内部可以轻松处理。

安全运营新方向——AI 在安全运营的探索与实践

阿里云安全专家  陆畅

ChatGPT 推出以来，安全厂商纷纷致力于将其应用到企业业务中。阿里云安全专家陆畅表示，从当前市场的发布情况看，安全领域应用大模型技术主要集中在解决安全运营链路的效率提升上，各厂商通过与现有的XDR、SOC、态势感知等安全运营类产品进行集成，通过人工智能大模型技术在日常安全咨询、风险监测、事件研判、告警处置、以及告警溯源中对数据的关联分析进行总结反馈，帮助企业的安全运营管理者提升研判效率，快速定义事件响应动作，通过大模型自身强大的总结、上下文推理、以及自动化的工具调用能力，达到降本增效的目的。

从当前市场发展阶段，目前市场侧大多客户还在观望中，各厂商的安全大模型的建设也在摸索和实践的初级阶段，最率先推出该能力的头部安全大厂则以结合自身的产品市场优势，结合自身产品安全知识及能力积累发布AI智能助手，同时针对安全运营及威胁分析结合，基于现有产品集成打造从0-1的安全运营应用场景，而安全大模型效果的准确性、有效率、以及幻觉的解决还需要继续深耕，主要取决于各厂商对于数据及技术沉淀的经验积累，同时资源的投入也影响着安全大模型产品及能力迭代的速度，产品中大模型效果的快速迭代将会影响整体用户黏性和口碑占有率。

从安全运营管理者视角，从盘点资产、风险评估及治理、告警处置以及持续监测的整体运营链路中，大模型的应用将会在该链路中大大的缩短整体时间比例，大模型针对事件关联的总结分析能力，工具的自动化调度，自动化安全报告的总结输出等核心场景的应用，降低研判难度、提升响应效率，同时帮助安全管理者有效体现运营效果。

汽车安全运营新范式——哪吒汽车车联网安全运营实践分享

哪吒云平台信息安全负责人  王兆强

截止到2022年12月与汽车相关的CVE数量增至284个，在过去5年中，全球汽车行业因为网络化攻击造成的损失超过5000亿美元，而近70%的汽车安全威胁都是由远距离的网络攻击行为引发。同时，汽车行业和供应链中因后端服务器攻击而导致的数据和隐私泄露事件大幅增加。

一辆智能网联汽车每天产生包括驾乘信息、语音图像、车辆地理位置、车内外环境数据等在内的TB级别的数据信息。加上国内外法律法规的监管，车企如何确保海量数据的安全流转和合规使用，以应对新形势下的安全挑战。

哪吒汽车云平台安全负责人王兆强指出，安全工作可以从安全战略定位和安全规划部署两个层面出发。其中安全战略定位下比较重要的一环是需要得到公司高层支持，获得资金搭建起一个有能力的安全团队，在满足合规的要求下，创建“云网端”全场景覆盖，通过持续性的检验以及动态化的提升，不断提升安全守卫能力。

王兆强还详细分享了哪吒汽车云安全的典型场景实践。他表示，哪吒汽车在安全方面通过前期调研、汽车安全管理流程制度建设、风险检测机制和内部红蓝对抗等一系列措施，能够更好地应对安全挑战，确保数据信息的安全性和对安全事件进行持续性运营，从而提升整体安全水平和用户信任度。

智能化云平台建设典范——跨云环境的安全事件统一管理

阿里云安全专家  图鲲

中国信通院发布的统计结果来看，企业使用混合云的数量占比到了75% ，其中92% 的企业部署了两朵以上的云。混合云环境中存在一系列挑战，包括跨云、跨账号多控制台访问繁琐、跨云安全事件管理标准不统一、缺少对安全事件全局管理视角和安全事件响应与处置协同困难等问题。

尽管企业已经引入自动化工具，基本实现了告警的快速处理并将事件处置量降至可接受的人工处理范围，但人员配备仍然是一个挑战，约有37%的企业表示安全运营和管理复杂性增加是企业安全建设中遇到的主要挑战。

技术沙龙上，图鲲分享了阿里云解决这些问题的具体技术方案。经过多年迭代，阿里云的云安全中心能够提供事前、事中、事后三个阶段的全方位服务，以协助客户进行资产梳理、风险管理、威胁防御、检测响应以及调查溯源等工作，实现了跨账号、跨产品协同的威胁分析和检测，形成云上安全运营全链路闭环。基于云原生、一体化、智能化的安全运营平台，客户能够更好地应对混合云环境下的安全挑战，提高安全事件管理的效率和水平，实现降本增效的目标。

图鲲还分享了两个典型客户案例，应用云安全中心威胁分析实现跨云跨账号跨产品的全局安全事件统一管理和响应处置自动化，以及安全事件运营在产品能力、日常运营和重保活动中的关键指标体现。

• 产品能力指标：安全事件对告警收敛率达94%；跨资产安全事件发现率75%;安全事件推荐处置覆盖率80%；
• 日常运营指标：MTTD平均发现时间，相比人工以天为单位，自动化平均35分钟；MTTA平均响应时间，相比人工以小时为单位，自动化平均5分钟；MTTR平均处置时间，相比人工以天/周为单位，自动化平均90分钟；
• 重保运营指标：自动化下发83%封禁策略，节约人效120倍；自动化封禁89%恶意IP，防御效果提升10~350倍。

最后，图鲲对安全事件统一运营的云原生和传统产品解决方案做了对比分析，从用户建设与应用和厂商商业化2个维度展开，云原生拥有更多的技术和成本优势，而传统产品解决方案能更多满足客户合规性、定制化诉求，同时整体分享了影响用户决策的综合性因素。