企业安全运营内容包括：漏洞运营、策略运营、规则运营和事件运营：

首先，漏洞运营，一般情况是用漏扫设备来做，漏扫一来误报率高，二来漏洞的高中低危并不能代表一个漏洞的一个风险值，那么就没有漏洞修复优先级的定义，带来的一个问题就是大量旧的漏洞还没有被修复，新漏洞又出来了，漏洞永远也修不完。

第二，策略和规则运营，业务是动态变化的，那么安全策略就要动态调整，然而就在这些策略调整的过程中，有个问题，那就是策略运营人员往往不会去校验历史策略有效性，有很多策略已经不生效了，运营人员并不知道，这就导致了由于策略失效带来的安全防护缺陷，规则更新也是一样，规则有没有定期更新，更新的规则能不能抵御最新的攻击，防护最新的漏洞，这个一般是不去校验的，这就带来一个问题，安全设备的防护效果无法持续保证。

第三，事件运营，很多企业这些年上了一些安全运营平台和工具，把海量的安全日志集中运营，目的是第一时间发现告警事件，第一时间响应处置，那么安全运营工具告警及时性和准确性就十分重要了，如果告警本来就不准确，该告警的没有告警，那么该关注的安全事件就被漏过，也就无从保证事件运营质量。

此外，还有运营流程的问题，防护的覆盖度是否全面，应急响应是否符合要求等等，都是带来防御缺陷的问题。

那么安全防御效果如何，在过去企业会定期做一些人工渗透，人工风险评估等，但是人工服务也带来很多问题：比如服务无法标准化，因为人员能力参差不齐，不同的人服务的效果也有所不同，同时，因为成本高，所以很多企业服务的频度低，也不全面，带来的问题就是风险不能被及时发现，同时修复也存在严重的滞后性。

基于以上一些列安全运营问题，Gartner早在2020-2021的十大安全项目中就预测安全风险评估自动化将成为企业需要重点关注的安全焦点问题之一。传统的风险评估利用日志分析技术，把安全设备上的日志采集起来，基于预定义的风险模型来计算和分析风险，但实际上，风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的，些风险都是已知风险；还需要对控制措施及其过程进行测试验证，有多少攻击是没有被拦截没有被检测到的，也没有被及时响应处置的，这部分风险才是用户更应该去关心的。

这里用到的技术是入侵和攻击模拟（Breach and Attack Simulation，BAS），它是一种主动安全技术，可以自动化的使用各类攻击手法对企业的复杂网络进行模拟攻击，并综合评估企业安全体系及策略的真实有效性，帮助企业发现安全漏洞并验证安全防护措施。

●验证防御能力：模拟真实攻击（如渗透、横向移动、数据窃取），测试安全设备（防火墙、EDR、SIEM等）的检测和响应能力。

●发现隐蔽漏洞：精准识别传统扫描工具可能误报或未能发现的漏洞。

●持续改进安全策略：提供持续升级的测试用例，定期评估和优化安全策略。

●模拟引擎
使用虚拟攻击者（Agent或无代理模式）执行攻击，如SQL注入、webshell上传、勒索病毒、C&C攻击等。

●攻击库
集成数千种攻击技术，攻击向量覆盖ATT&CK框架，支持自定义剧本。

●数据关联分析
与SIEM、XDR日志对接，验证安全事件是否被正确记录和告警。

如何建立常态化安全运营机制，将安全防御水平持续保持在一个较高水平？传统模式下企业通常采用人工方式进行评估整改。那么就会存在评估周期长，投入成本高，效果受限于人员水平，评估无法持续化、全面化等问题。企业需要借助一种新模式，通过自动化、实战化的方式实现安全运营，验证防御体系中的各类安全手段、控制措施的有效性，从而提升企业安全运营效率。

把安全运营场景分为基础安全运营场景和专项安全运营场景，首先来看一下基础安全运营场景，基础安全运营场景涉及网络、资产、设备和流程：

第一类是基础安全设施有效性的评估，采用实战化攻击模拟技术，针对各类传统安全设备进行评估和验证，评估安全设施核心能力是否达到要求；

第二类是安全运营过程有效性评估，针对安全运营过程中的人、工具、流程进行验证，验证人员安全防范意识是否达到预期，对安全事件的闭环响应处置能力是否达到预期，评估安全运营工具针对攻击事件检测规则是否有效，评估安全防护覆盖度等运营指标是否达到预期。

第三类是安全资产漏洞评估，采用漏洞利用攻击模拟技术无损验证资产上是否存在可被利用的漏洞，并对漏洞进行修复优先级排序，提升漏洞运营效率。

最后一类是网络访问控制策略评估，采用实战化攻击模拟技术，验证网络访问控制策略是否有效，是否达与预期一致，以及是否存在访问权限过大的问题。

以上的安全运营是针对单点风险的评估和排查，那么对于很多专项安全运营场景：比如勒索攻击、apt攻击、热门攻击等，需要采用攻击编排技术，去构建基于链路的攻击场景，包括边界突破、内网横移、端点入侵和数据渗出，它是一个完整的过程，它可以可视化的呈现攻击过程和结果，攻击成功还是失败，防护成功还是失败，链路上的防护失效点和薄弱点在哪，而且这个攻击编排是可以灵活自定义的。这种专项的安全运营更具贴近实战。

把安全运营分为采购、上线、运营、处置和规划五个阶段，在采购阶段，可以有效选型所需设备；在入网上线阶段，可以对资产和安全设备做入网验证检查；在日常运营阶段，可以做持续的风险评估；对评估风险项给出处置建议进行处置整改；经过一段时间的运营，找出防护缺陷和短板，辅助来年建设规划，形成一个完整的安全运营闭环。

企业的安全运营需要多种手段共同发挥作用，那么实战化的安全运营工具可以跟其他已有的安全运营系统形成一个完整的运营生态体系，比如漏扫扫描的结果可以进行二次验证，哪些漏洞是精准存在的，风险优先级如何，提升漏洞运营效率，XDR和态感发现的安全事件，可以模拟复验，验证这些事件是否已修复，也可以对接已有情报系统，针对最新情报进行模拟和验证。大家会发现，实战化的安全运营手段在整个安全运营体系中扮演了一个发动机的角色，有效促进企业安全运营闭环。

在企业开展安全运营工作过程中，如何度量企业安全运营效果，量化安全风险、认清安全短板、提升运营效率，是企业做好安全运营工作的关键。自动化、实战化的技术正在成为企业安全运营的关键手段，通过“以攻促防”的思路，弥补传统防御体系的被动性。随着未来与AI技术的融合，将更智能地推动网络安全从“合规驱动”向“实效驱动”转型。

往期学员感想：

“在规模不算大的安全圈中，能存在这样一个平台，切实为安全从业人员搭建起了一座有效的沟通桥梁，不可否认，它对整个网络安全生态发挥着积极的推动作用。”

“经过各位导师在授课过程中的细致解读，我对安全产品的认知有了显著提升。同时，对于安全圈里甲方和乙方之间的衔接、沟通以及交接环节，我也有了更为深入的学习与理解。不仅如此，课程中关于合规、技术、管理等方面的内容极为丰富，为我在实际工作中提供了极具价值的最佳实践参考。”

详情参学联系：

徐青青（xuqingqing823125689）

   扫码联系

同时欢迎来自各界的赞助合作，合作方式包括品牌赞助、参学赞助、酒会赞助、活动赞助等多种形式，有意请速洽：徐倩（Madeline_Sue）

   扫码联系