大多数企业的安全攻击事件都来源于外部通报，尽管许多企业实施了网络安全措施，但其发挥的价值远超期待的范畴。

攻击＞防御

企业缺乏自身的安全巡检能力

圆通速递，10亿条用户信息数据外泄；华住集团，140G约5亿条信息外泄... 如今，企业面临着大大小小的网络安全问题。我们发现，大多数企业的安全攻击核心来自于外部通报，比如：监管机构及第三方平台、主管单位及安全服务厂商等。

令人担忧的是，企业并没有为应对网络威胁做好准备。

调查发现，通过企业内部安全巡检发现攻击勒索的比重只有不到5%，这也是目前很多企业存在的误区，认为只要自己的防火墙、IPS、Waf等边界安全建设足够完善，就不会给攻击者可趁之机，而对内网安全建设缺乏重视。

导致当依赖于已知的边界安全产品失效时，攻击者极易进入内网，企业面对的将是一览无余的攻击局面。

正常情况下，安全防御者在各类应用漏洞、主机漏洞及新型攻击手法曝光后，对这些漏洞和攻击行为形成快速有效的防御，尽管在这一领域的企业公认需要更大程度地关注网络安全，但真正具备及时发现、修复能力的企业只占一小部分。

以人工手动排查为主，造成安全处置不及时

在常规的安全事件响应过程中，通过大数据检索和预警手段分钟级地发现威胁预警，但在应急响应、止损方面大部分企业无法做到分钟级，甚至要到小时级，而在回溯分析的调查处置中手动人工排查需要几小时甚至几天。

比如在金融行业，运维人员从凌晨1:00到第二天早上7:00才能得出一个报告提交给领导，事件响应团队往往不堪重负，因为他们要面对数以千计的警报，需联动数量众多的产品并分析数以万计多源数据。

从自适应安全入手

2016年，Gartner 提出：“安全运营发展趋势的核心是自适应安全”。

无论企业在安全防护和安全检测上下多大功夫，购买产品、解决方案和各类外包安全服务，都是为了快速对安全事件进行有效检测和响应，在主管单位和核心部门形成威胁预测。

企业针对安全事件的威胁判定，大部分采用的是对IP和事件进行阻断，但 Gartner 指出：“除了简单的阻隔方法，还应该还原事件的本质”。

企业应该更加关注检测、响应和预测能力，将传统的“触发式事件响应”提升为“持续响应”，也就是说，要关注整个安全事件的持续性监测、止损和修复能力。

同时报告还强调，企业网络、终端和安全防护产品应该通过情境感知关联起来，包括资产脆弱性、威胁情报，提供集成同意的预测、阻止、检测和响应能力，对IT环境构建一个全面、持续、多维度、全层次的监控架构，涵盖从网络包、流、操作活动/内容、用户行为到交易的所有层面。

所以，企业需要建设一个安全运营平台，进行持续监测、分析，支撑起在攻防不对等情况下的威胁防御过程。

自适应安全运营建设的核心工作

核心工作包括以下方面：数据采集、情境融合、场景建模、威胁研判、响应处置、态势呈现。

拿一家银行来举例，一家普通银行的数据采集量包括数十种安全设备、近万台服务器，采集到数据后，按照业务、资产、区域或用户自定义的维度来完成情境融合，进而发现安全事件的高危攻击、威胁内容，形成威胁研判、历史回溯、全流量数据包解析以及对各类攻击特征的组合分析，再产生响应处置的流程处理机制，最后将整体的安全态势呈现出来。

这时，建立一个自适应安全运营平台，会显得尤为重要，自适应的数据治理是建设这一整套平台的关键之处。

华青融天是如何形成数据治理最佳实践的？

华青融天从安全运营全栈数据内容识别和智能解析技术中，对所有涉及的数据进行自动化清洗和元数据解析，利用语义熵、时序熵和拓扑熵模型构建对原始数据和安全威胁数据的异常检测，通过机器学习、日志训练自动识别IP，智能语义解析，加载数据解析数量及未识别数量预警，再通过内容映射形成数据的最佳实践。

除了数据实践，华青融天还有更易用、智能化的安全分析，包含基于关联规则/场景分析引擎和基于机器学习的行为分析引擎。

在关联规则分析引擎中，不单单局限于技术，更关注用户在安全实际场景中落地成效。

举个例子：门被撬了，东西被翻了，钱被偷了，在这样一个持续性的关系过程中，把事件发生的先后顺序、逻辑关系、场景、IP统统关联，形成可配置化的预定义场景，适用于多变的用户环境，减少人工配置的复杂度。

同时，利用机器学习分析异常行为，包括行为轮廓、对照分析、预测分析、安全威胁评分等，提供对原始数据的无监督学习和定向行为场景的有监督学习，用户可根据自身的场景分析需要选择维度、算法进行建模。

通过监督和自动化学习完成安全事件响应

在整个自动化响应过程中，华青融天依靠对整个事件分析原本的链路分析来完成。

首先，是检测和预警。通过特征分析、关联预警、影响性分析、优先级定义逐步筛选出最重要的安全事件；接着，是调查和取证，通过自动化关联数据分析、情境关联、外部BI工具快速进行定位；第三，是应急和止损，通过设备联动，和上级监管单位进行应急预案，流程启动；第四，持续监控和分析，获取记录证据，形成对常态化攻击手法和威胁行为的场景监控；最后，根除和修复，提出建议和验证。

暗流涌动，网络安全乘风而起

华青融天希望各类威胁事件，可选择手动、半自动或者完全自动化实现监督响应机制。

企业必须对网络安全采取纵深防御的方法，实施多层安全机制，将预测、防御、监控和响应能力融为一体，构建基于企业内部的自适应安全运营平台，而不是简单地从外部来保护。