一、攻防對抗趨勢下

實戰能力成為網絡安全建設的重要目標

二、實戰能力構建的現狀與挑戰

三、實戰能力構建的破局之道

深信服安全專家建議，組織單位可以通過以下 “三二一”模式打造體系化安全建設，提升網絡安全實戰防護能力：

1. “三個重點”，提升安全基線

包含等級保護“一個中心、三重防護”核心思想、PDR模型等在內的安全建設方法論，都提到了以下三個關鍵點：

• 風險消除：通過收斂對外暴露面、修復高危漏洞、加固弱口令等措施，盡可能降低被攻擊者嗅探和入侵的概率；如果條件允許，可主動搜索暴露在Github、網盤、文庫等公共平臺的內部關鍵信息并迅速整改；

• 立體保護：基于等級保護“一個中心、三重防護”核心思想，對信息系統所涉及的網絡、主機、應用、數據等資產進行全面加固，包括補齊缺失的安全軟硬件、優化策略配置、升級安全規則模型等，刷新整體防護效果；

• 監測響應：構建覆蓋全網的威脅監測與響應能力，確保在邊界被突破后盡早發現威脅并迅速處置，避免損失擴大，即盡量縮小Dt（檢測時間）和Rt（響應時間）。目前較為高效的方式是SOAR技術的應用，即安全編排、自動化與響應，通過智能化檢測模型還原攻擊全貌，并聯動各安全產品實現協同處置，大幅縮減檢測與響應的時間。

2. “二項加強”，強化關鍵點防護

經典的安全建設方法論能夠在宏觀層面上對安全建設提出指導性建議，但在具體實戰中，缺乏對于不同資產安全投入主次的指導，往往導致在網絡關鍵點的保護不足，最終被集中火力突破。因此在安全基線之上，應當結合組織的實際業務特點，對關鍵點進行防護強化：

• 強化關鍵系統防護。攻擊者一旦突破內網會優先選擇受害者關鍵系統作為下一步攻擊目標，如認證服務器、集中管理平臺、域控服務器等，因此各組織應對關鍵系統提供額外的安全防護措施。

• 強化關鍵路徑防護。除常規路徑外，攻擊者還會利用旁路實施攻擊滲透，如下屬單位與總部之間的內部網絡，或獲得內部用戶的VPN賬號等。因此各組織應對關鍵路徑加強防護，如禁止無權限用戶訪問關鍵系統、細化下屬單位與總部之間的訪問控制等。

3. “一個中心”，構建常態化運營

網絡安全的本質是對抗，對抗是持續化的過程，需要在提升安全基線、加強關鍵防護的基礎上，建立安全運營中心并主動、持續地開展安全運營工作，并借助SOAR技術幫助人員提升安全運營效率，更好更快地執行信息收集、分析、研判與處置的流程，以確保防御能力的有效性。

相比于自運營模式下人員培養的成本高、周期長、見效慢等問題，聯合運營模式更加符合當前組織的實際需求。聯合運營指組織單位通過購買安全運營服務，無需對現有IT安全架構進行極大的調整，也無需花費雇傭第三方安全服務人員長期駐場的高昂成本，即可迅速復用安全運營服務商的云SOC以及安全專家團隊開展安全運營工作，為業務提供7*24小時的安全保障，同時安全專家的專業能力有足夠保障。這種模式建設成本適中，見效快，效果好，比較適合大多數組織單位。聯合運營模式最大的優勢在于能夠以比較低的成本，通過復用安全專家團隊，以更具經驗的流程確保全天候的安全保障能力。

深信服通過“三二一”的體系化安全建設方案，結合“人機共智”的常態化MSS安全運營服務，幫助用戶提升網絡安全實戰能力，實現“始于演練，精于實戰”。

為了幫助各組織單位做好網絡安全攻防演練準備工作，4月25日上午，深信服將與中國計算機協會政務信息化分會、中國醫院協會信息專業委員會、中國教育信息化雜志社聯合舉辦“網絡攻防戰術進階閉門會”線上直播，掃描下方海報的二維碼即可報名。