在企業安全運營中，大家不再滿足只從合規的角度，而提出了越來越高的要求，希望從合規轉變成有效的企業安全風險治理。我們今天面臨的網路安全風險問題，與10年前大有不同，十年前更多考慮虛擬網路空間的一些事件，而今天已經影響到整個社會的穩定甚至包括個人生活。

企業如何在新的安全形勢下建設新的安全體系能力？安全體系包括裝置、系統、人、組織、流程，所有因素加起來是整個安全運營的工作。本質的工作沒有太大變化，但近幾年在技術、手段、能力建設上發生了很多改變。比如去建設相應的態勢感知的能力、綜合防禦、以及企業安全運營的能力建設，這幾年我們也在做落地的工作。

攻擊方有很好的產業鏈合作體系，作為防守方要怎麼應對挑戰？近幾年大家更關注3個方面：

• 業務系統安全生命週期如何把安全考慮前置
• 基於資料進行安全能力的建設
• 針對安全事件的智慧化處置與響應

上圖是綠盟科技在雲端所建立的安全資料能力的系統框架圖，對於企業環境也是類似。

為什麼大家如此關注態勢？首先安全要能看得見，知道在我的環境里正在和可能發生什麼樣的事件、做什麼樣的動作，在不同運營場景下，我們對安全態勢關注的要素不同。

另一角度，對關鍵的業務系統我們也在技術上做了很多探索，如全流量深度威脅分析與檢測方案，把流量映象過來，通過探針去解析相應的網路源資料資訊，將資料長時間跨度儲存下來，在系統下面構建相應的檢測引擎。引入威脅情報，從而實現對高危事件監控、攻擊者畫像、流量監控等一系列能力。

全流量檢測與傳統老三樣（防火牆、入侵檢測、漏洞掃描）在模型上的區別是什麼？傳統檢測方案都是基於實時計算模型的產出，但流量無法追溯。在應急響應中，最常見也最痛苦的場景是，高危漏洞爆發後，系統之前已經被黑客攻陷了，缺乏追溯機制，管理員只能每臺機器去查，工作量巨大。而全流量深度威脅分析與檢測方案就可以很好地解決這類問題。

幾乎所有的安全報告都會提到，企業安全團隊人員的數量、技能遠遠不夠，在這種環境下，除了引入更好的裝置、平臺外，我覺得另一條路是能夠與專業廠商更緊密的合作。現在的企業安全已經不滿足於廠商只提供基於裝置運維（如MSS），還需要檢測與響應服務的能力。這就是近年來在國際國內慢慢出現的一體化的可管理威脅檢測與響應服務（MDR）。

MDR除了彌補企業安全團隊人員數量和技能的不足，另外對企業自身的價值還從安全投資風險、成本以及安全運營效果都有所體現（如圖）。

作為安全廠商，更多的是對企業安全運營體系或某個環節起支撐作用，這是我們近年來為客戶提供整體服務的情況。從事前、事中、事後角度來看我們能做的事情。

綠盟科技在2015年提出戰略轉型，希望能夠建設我們在雲端的能力，助力地面的企業安全管理團隊及綠盟的專業安全團隊一起合作，使企業安全運營體系更加成熟、得到更多發展。