XDR+GPT，高校安全運營建設(shè)的最優(yōu)解

科技云報道原創(chuàng)。

如今，安全運營已成為高校網(wǎng)絡(luò)安全建設(shè)的必選項，但所創(chuàng)造的護城河似乎并不夠?qū)拸V——二級單位業(yè)務(wù)與校園網(wǎng)的安全威脅，已成為懸在高校信息中心網(wǎng)安人員頭頂?shù)摹斑_摩克利斯之劍”。

二級單位和校園網(wǎng)“危機四伏”

隨著攻防演習和安全通報的常態(tài)化，高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)逐漸顯露。為應對這些挑戰(zhàn)，不少學校在遵循等保合規(guī)的基礎(chǔ)上，建設(shè)了安全運營中心，并取得了顯著成效：數(shù)據(jù)中心內(nèi)部的安全風險日益收斂。

然而根據(jù)木桶原理，一個組織的網(wǎng)絡(luò)安全水平是由最薄弱的環(huán)節(jié)決定的。高校二級單位和校園網(wǎng)作為安全“洼地”。越來越多的安全威脅、攻擊事件、安全通報等，來自二級單位和校園網(wǎng)的用戶和終端。于是，這些安全事件在高校中早已不是新聞：

……

以上困境，原因主要來自三個方面：安全技術(shù)、安全人員和流程制度。

從安全技術(shù)來看：現(xiàn)階段高校的安全關(guān)注點主要集中在數(shù)據(jù)中心，難以有效掌握二級單位和校園網(wǎng)的安全態(tài)勢。此外AI大模型降低了網(wǎng)絡(luò)攻擊門檻，增加了攻擊的隱匿性，使得檢測難度持續(xù)加大，傳統(tǒng)安全設(shè)備難以應對各種新型高級攻擊手段。

安全人員配置上：大部分高校缺乏安全專職人員。根據(jù)賽爾網(wǎng)絡(luò)發(fā)布的《高校網(wǎng)絡(luò)服務(wù)情況和教育信息化需求調(diào)研報告 (2022年度)》，即使是網(wǎng)絡(luò)安全專職人員配置相對較多的雙一流高校，專職編制在2人以下的高校依然達到了65.6%。他們每天忙于處理數(shù)據(jù)中心的安全告警和事件，就已經(jīng)精疲力盡，很難分出精力來關(guān)注二級單位安全狀況。雪上加霜的是，二級單位網(wǎng)絡(luò)安全聯(lián)絡(luò)員，往往安全知識薄弱，導致他們對通報過來的安全問題重視程度不夠，處置時常常不知所措。

流程制度層面：信息中心和二級單位權(quán)責劃分不清晰，在高校中一直都是一個老大難的問題，信息中心在推動二級單位安全問題解決時，經(jīng)常上演“皇帝不急太監(jiān)急”，二級單位的安全問題難響應、難閉環(huán)。

總之，二級單位和校園網(wǎng)暴露的安全風險顯著增長。高校必須采取全面且前瞻性的安全措施，確保它們具備全局的網(wǎng)絡(luò)安全防御、監(jiān)測、預警、響應處置的能力，以支撐業(yè)務(wù)持續(xù)增長和創(chuàng)新。

真正能打的高校安全運營中心長什么樣？

然而，想要解決上述問題，打造一個真正能打的高校安全運營中心，卻并非易事。還是得哪疼從哪兒下手，進行針對性的能力升級。

理想的狀態(tài)下：升級版的安全運營中心既能有效應對0day、高混淆、以及利用AI生成的各類高級威脅攻擊，又能依靠少量的專職人員實現(xiàn)高效運轉(zhuǎn)，更重要的是還能厘清各院系部門權(quán)責、打通安全工作流程。既要又要還要，似乎是一個不可能完成的任務(wù)。

好消息是，隨著網(wǎng)絡(luò)安全威脅檢測與響應技術(shù)的不斷進步，早期割裂、孤立的安全設(shè)備逐漸朝著統(tǒng)一的、體系化的安全運營方向不斷迭代演進，AI技術(shù)也越來越多的應用到了安全領(lǐng)域中，以XDR和安全GPT為代表的“后起之秀”開始進入大家的視線，為安全運營工作帶來了新的思路。

2021年7月，Gartner在《Hype Cycle for Security Operations, 2021》報告中，對主流的安全運營技術(shù)進行了解讀，并預測XDR（可擴展的檢測和響應平臺）作為新興技術(shù)點將成為新的安全趨勢。

從業(yè)內(nèi)主流產(chǎn)品來看，相比傳統(tǒng)的安全運營技術(shù)框架，XDR的核心優(yōu)勢在于深度集成多源、跨IT架構(gòu)的各類安全組件，打通各項安全數(shù)據(jù)與事件，配合AI等前沿分析手段實現(xiàn)關(guān)聯(lián)分析與自動化響應。供應商通過XDR組件將各類安全工具進行深度整合，關(guān)聯(lián)來自云、網(wǎng)、端的所有安全數(shù)據(jù)和警報，以實現(xiàn)對整個攻擊面的全面監(jiān)測與自動化響應。

GPT更不陌生，近一年，以ChatGPT為代表的大模型發(fā)展如火如荼。在網(wǎng)安行業(yè)，大模型也展現(xiàn)出強大的通用人工智能能力，成為解放生產(chǎn)力的重要工具，幫助網(wǎng)絡(luò)安全從業(yè)者簡化工作任務(wù)量，節(jié)省大量基礎(chǔ)性、重復性工作時間。

安全GPT像是一個“iPhone”式的革新時刻。傳統(tǒng)檢測引擎在大模型的加持下，將實現(xiàn)更加高效率的檢出，帶動整個行業(yè)生產(chǎn)力的提升：一是大幅加快事件響應速度，自動撰寫事件報告；二是提高威脅檢測和搜尋能力；三是緩解人才短缺問題。

正因如此，XDR+GPT越來越受到教育行業(yè)的關(guān)注。特別是在提升安全運營效率，消弭二級單位和校園網(wǎng)暴露的安全風險方面，開始發(fā)揮出重要價值。這套技術(shù)方案是如何對癥下藥，解決高校安全運營中的特定問題，實際效果又如何呢？

高校落地實踐：XDR+GPT提升實戰(zhàn)效果和運營效率

以深信服在行業(yè)內(nèi)率先發(fā)布的高校安全運營2.0為例，它是以高質(zhì)量的遙測數(shù)據(jù)為基礎(chǔ)，通過XDR、SOAR、ASM、MDR等新技術(shù)與云端服務(wù)的協(xié)同，同時疊加安全GPT技術(shù)應用，實現(xiàn)安全運營“智能駕駛”，提升實戰(zhàn)效果和運營效率。

深信服高校安全運營2.0解決方案示意圖

技術(shù)方面：實戰(zhàn)有效、聯(lián)動響應，大幅提升安全效果

近年來，各地高校頻繁遭遇有組織、有計劃且針對性明確的攻擊活動。在面對0day、高混淆等各類高級威脅攻擊時，檢測能力是關(guān)鍵。

通過XDR+GPT對威脅檢測能力進行提升，需要完成以下三個步驟。第一步需要在數(shù)據(jù)中心、二級單位、校園網(wǎng)部署各類組件，擴展全校威脅數(shù)據(jù)來源，并為聯(lián)動處置打好基礎(chǔ)。其后，利用XDR構(gòu)建實戰(zhàn)化檢測響應平臺，通過采集E+N數(shù)據(jù)，結(jié)合ATTCK模型，提升檢測和溯源精度及能力。最后引入GPT檢測大模型賦能威脅檢測，提升未知威脅檢測和0day攻擊的檢測效果。

用戶A是一所985大學。該校經(jīng)過三期建設(shè)將原有的NDR平臺升級為深信服XDR平臺。

在使用過程中，XDR將一周時間內(nèi)4000萬條來自信息中心、二級單位托管主機、自有服務(wù)器的告警，通過E+N聚合成13起有效的安全攻擊事件，大幅提升安全運維效率。今年年初，用戶開始試用深信服安全檢測GPT賦能XDR做高級威脅檢測。期間獨報多起0day漏洞利用攻擊、Nday攻擊等行為，結(jié)合XDR形成完整攻擊故事線，幫助信息中心快速定性攻擊，排查威脅。

人員方面：云地協(xié)同、智能駕駛，降低安全運營工作壓力

大部分高校編制有限，短時間增加大量編制基本上是“天方夜譚”。因此通過MSS、GPT等技術(shù)手段對運營效率進行提升，降低安全運營工作壓力，對于現(xiàn)階段的高校來說是更加切實可行的辦法。

借助深信服MSS，云端在線專家與本地服務(wù)團隊相得益彰、互為補充，高校在短時間內(nèi)就可以完善服務(wù)梯隊，提升閉環(huán)響應能力。而引入安全GPT虛擬運營專家后，高校也將實現(xiàn)針對低誤報事件的自主研判、智能值守，降低安全人員工作量，大幅提升安全運營效率。

用戶B是一所沿海高校，信息中心網(wǎng)絡(luò)安全的專職人員只有1人。四年前，學校通過外采駐場服務(wù)協(xié)助安全運維，進行安全策略配置、基線管理、安全監(jiān)管、自查報送、事件協(xié)助處置等。

但，隨著攻防演練常態(tài)化和重保時間加長，暴露了高階安全分析專家和夜間安全值守的不足。

引入深信服MSS安全托管服務(wù)后，該用戶迅速構(gòu)建起云地協(xié)同安全服務(wù)能力，為學校帶來了7*24小時持續(xù)守護、有效預防和主動閉環(huán)的體系化安全運營效果。

此外，深信服安全GPT協(xié)助學校運維老師實現(xiàn)事件研判、排查檢索和告警事件的值守處置，助力該校安全運營邁向“智能駕駛”。深信服GPT平臺也幫助學校安全團隊學生迅速學習和掌握安全告警和事件的研判分析能力，從而能夠更深入學校的安全運營工作。

流程方面：運營閉環(huán)、安全有價，實現(xiàn)二級單位/校園網(wǎng)高效管理

考慮到各大高校二級單位、校園網(wǎng)用戶和終端數(shù)量眾多，管理復雜。信息中心需厘清各院系部門權(quán)責、打通安全工作流程、實現(xiàn)安全評價，讓安全工作事事有著落。XDR的工單能力，相比SOAR有了進一步明顯提升，這讓信息中心在建立面向二級單位以及校園網(wǎng)的高效流程式管理時，更易實現(xiàn)。

具體落地上，第一步需要構(gòu)建組織領(lǐng)導明確、責任分工清晰、統(tǒng)籌有力的安全運營團隊。第二，創(chuàng)建各類從信息中心到二級單位，師生的運營流程，逐步完善融入到日常工作；深度融合流程與工具，實現(xiàn)智能化監(jiān)測、自動化預警、全流程閉環(huán)管理，提升安全運營效率與管理能力。第三，建設(shè)安全評價體系，明確考核指標，優(yōu)化安全工作；結(jié)合安全指標、定期展示各項安全成果和排名，讓安全工作方向更明確。

用戶C是一所北京知名高校，在2年前發(fā)布了網(wǎng)絡(luò)安全責任制規(guī)范，明確了二級單位及直附屬單位的網(wǎng)絡(luò)安全第一責任人，信息與網(wǎng)絡(luò)中心提供技術(shù)手段保障安全監(jiān)測和處置指導。

深信服協(xié)助該校整合了通報預警、業(yè)務(wù)上線評估、資產(chǎn)上線、資產(chǎn)變更、告警處置、漏洞管理等多個工單流程，通過XDR的工單子系統(tǒng)在校內(nèi)流轉(zhuǎn)，實現(xiàn)信息中心到二級單位的預警通報閉環(huán)管理。

基于流程工單和特殊安全事件，學校構(gòu)建了多個處置劇本（如釣魚、失陷外聯(lián)、內(nèi)網(wǎng)橫向攻擊、漏洞管理），結(jié)合工單流程，輔助實現(xiàn)大部分安全事件的協(xié)同處置，實現(xiàn)信息中心和二級單位的協(xié)同響應。

最后通過XDR績效考核模塊，從工單處置率、安全漏洞處置率等多個維度對二級單位進行安全工作考核評價，實現(xiàn)以評促管、安全有價。

如何選擇更符合教育場景的?安全運營中心?

通過行業(yè)內(nèi)大量用戶的實踐效果證明，XDR+安全GPT是當前高校安全運營建設(shè)的最優(yōu)解。那么如何選擇更符合行業(yè)場景的新型安全運營中心？

由于XDR融合了多項安全技術(shù)，涉及多平臺數(shù)據(jù)聚合、計算、分析，對服務(wù)商的安全技術(shù)能力和安全產(chǎn)品供應鏈管理能力，提出了很高的要求。XDR的引入更面臨著對NDR、SOC等技術(shù)框架的全面兼容或替換，對其落地的可行性和改造成本的考量缺一不可，各個廠商之間的GPT實際效果更是有著云泥之別。在此情況下用戶選擇靠譜的安全廠商顯得更加重要。

高校在選擇供應商時，有以下幾點需要重點考量：

平臺的開放和兼容性：雖然主流XDR廠商都可以提供各類原生安全組件，考慮到高校原有的安全建設(shè)及未來需求，在選擇供應商時，需要考量該廠商平臺對各類安全組件及原有平臺的支持，在盡可能利舊原有資產(chǎn)、保護IT投資的同時，獲得更加先進的安全能力。

可持續(xù)生長的安全能力：攻防的本質(zhì)在于持續(xù)的對抗，道高一尺魔高一丈。再先進的檢測和防御技術(shù)可能都會被新的攻擊技術(shù)繞過。在選擇供應商時，還得同步考量其安全可生長的能力，包括云端威脅情報、云端高級安全專家、云端安全檢測模型的更迭等能力。

AI技術(shù)沉淀和持續(xù)投入的堅定性：GPT的能力最終是構(gòu)建在算力、數(shù)據(jù)、算法的基礎(chǔ)上，這對應的是考量安全供應商在智算資源的持續(xù)投入、安全數(shù)據(jù)的沉淀和優(yōu)化、AI和安全人才的儲備。在選擇供應商時需要考量其在AI能力上的沉淀和未來持續(xù)大規(guī)模投入的能力和決心。

對教育行業(yè)的理解：教育行業(yè)因其開放自由的辦學理念，對用戶的管理很難達到其他行業(yè)的細粒度程度。龐大的終端和自治性較強的二級單位，也對教育行業(yè)的安全管理提出了很大挑戰(zhàn)。供應商給學校交付的不應是一個產(chǎn)品，而是一個可落地的解決方案，基于此在選擇供應商時，需考量其在教育行業(yè)的深耕程度。

一直以來，深信服重視教育與科研數(shù)字化，且具有行業(yè)優(yōu)勢。從行業(yè)內(nèi)調(diào)研來看，國內(nèi)其他廠商在教育投入相對保守，深信服則是國內(nèi)唯一專注教育安全運營中心XDR+安全GPT落地的廠商，對教育行業(yè)的安全能力構(gòu)建有著獨到見解。

憑借出色的安全防護和運營效果，其安全運營中心方案獲得CELTSC（教育部教育信息化技術(shù)標準委員會）認可，獲評《高等學校數(shù)字校園建設(shè)規(guī)范》優(yōu)秀應用案例，成為高?！皵?shù)字校園”安全運營建設(shè)的共同選擇。

如今，多起高校案例證實了XDR+安全GPT賦能下的安全運營中心成功有效。而更多的成功案例也增強了深信服持續(xù)投入教育行業(yè)安全運營中心的動力，持續(xù)推進高?！皵?shù)字校園”安全規(guī)劃、建設(shè)和運營工作的全面落地。

生成海報

免責聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。