张翀斌：基于数据分析的安全运营

主题为“共享时代的网络信息安全”的“2017中国网络信息安全高峰论坛”3月16日在北京香格里拉酒店举行，360企业安全集团副总裁张翀斌在论坛中发表了“基于数据分析的安全运营”的主题演讲，重点与大家探讨如何将威胁情报和大数据落实到具体的工作中。

张翀斌认为传统的安全运维应该升级为数据驱动，以持续性的监控和分析为核心的安全运营服务，提升业务环节中面临的内外部威胁攻击的检测分析和溯源处置能力，构建预测、发现、检测、持续响应的安全能力。数据是核心，分析是灵魂，资产、安全监控、数据安全分析以及协同处置这几个方面都离不开数据分析，都离不开威胁情报，离不开生态共享。

在企业运行中，人、数据、工具、流程，共同的组合成了安全运营，安全运营要输出资产、漏洞验证结果、安全数据分析的报告、溯源分析、事件协同处置的通报等。张翀斌提出如果要输出上述成果，需要考虑人员职责、岗位设置、数据需求，数据来源等，从根本上讲，这些都是数据。

产生了大量的数据之后，就要进行数据安全分析，在张翀斌看来，数据安全分析应该包括内部的危险分析和外部的攻击威胁，对于内部的风险分析，关于内部的攻击威胁以及人员自身的异常行为都需要分析，而不仅仅是简单的漏洞扫描。对于外部的威胁攻击，对告警和没告警的攻击都要进行分析和处置研判。发现攻击之后，对攻击时间、攻击目的、攻击目标、攻击手段、事件进展、如何解决等均要开展数据分析，努力还原事件全貌，为处置提供合理合法的依据。

基于此，张翀斌提出要做好基于数据分析的安全运营，要有平台、设备和工具的支撑，其中，工具平台要满足两个要求：第一，采集的数据维度要足够，也就是经常讲的大数据，数据量够大，维度要足够多，并且要全流量。第二，开放的架构，支持规则模型的自定义。规则需要实时更新，也就是说发现攻击在云端威胁情报分析之后，规则要立马分发。因此，必须要求我们的安全工具和平台要支持检索、统计分析、机器学习的功能，靠统计分析，快速检索、机器学习去实现真正的云端威胁情报数据分析，而不是简单的规则匹配。