XDR+GPT,高校安全运营建设的最优解

科技云报道原创。

如今,安全运营已成为高校网络安全建设的必选项,但所创造的护城河似乎并不够宽广——二级单位业务与校园网的安全威胁已成为悬在高校信息中心网安人员头顶的“达摩克利斯之剑”。

二级单位和校园网“危机四伏”

随着攻防演习和安全通报的常态化,高校网络安全的薄弱环节逐渐显露。为应对这些挑战,不少学校在遵循等保合规的基础上,建设了安全运营中心,并取得了显著成效:数据中心内部的安全风险日益收敛。

然而根据木桶原理,一个组织的网络安全水平是由最薄弱的环节决定的。高校二级单位和校园网作为安全“洼地”。越来越多的安全威胁、攻击事件、安全通报等,来自二级单位和校园网的用户和终端。于是,这些安全事件在高校中早已不是新闻:

  • 二级单位自建业务系统被扫出漏洞,师生终端频繁出现违规外联,被通报;
  • 攻防实战演习中因钓鱼师生终端,数据中心被打穿,丢失靶标;
  • 二级单位系统遭受攻击,黑客冒用账号登录学校VPN,进而入侵数据中心,造成大量数据泄露。……

以上困境,原因主要来自三个方面:安全技术、安全人员和流程制度。

从安全技术来看:现阶段高校的安全关注点主要集中在数据中心,难以有效掌握二级单位和校园网的安全态势。此外AI大模型降低了网络攻击门槛,增加了攻击的隐匿性,使得检测难度持续加大,传统安全设备难以应对各种新型高级攻击手段。

安全人员配置上:大部分高校缺乏安全专职人员。根据赛尔网络发布的《高校网络服务情况和教育信息化需求调研报告 (2022年度)》,即使是网络安全专职人员配置相对较多的双一流高校,专职编制在2人以下的高校依然达到了65.6%。他们每天忙于处理数据中心的安全告警和事件,就已经精疲力尽,很难分出精力来关注二级单位安全状况。雪上加霜的是,二级单位网络安全联络员,往往安全知识薄弱,导致他们对通报过来的安全问题重视程度不够,处置时常常不知所措。

流程制度层面:信息中心和二级单位权责划分不清晰,在高校中一直都是一个老大难的问题,信息中心在推动二级单位安全问题解决时,经常上演“皇帝不急太监急”,二级单位的安全问题难响应、难闭环。

总之,二级单位和校园网暴露的安全风险显著增长。高校必须采取全面且前瞻性的安全措施,确保它们具备全局的网络安全防御、监测、预警、响应处置的能力,以支撑业务持续增长和创新。

真正能打的高校安全运营中心长什么样?

然而,想要解决上述问题,打造一个真正能打的高校安全运营中心,却并非易事。还是得哪疼从哪儿下手,进行针对性的能力升级。

理想的状态下:升级版的安全运营中心既能有效应对0day、高混淆、以及利用AI生成的各类高级威胁攻击,又能依靠少量的专职人员实现高效运转,更重要的是还能厘清各院系部门权责、打通安全工作流程。既要又要还要,似乎是一个不可能完成的任务。

好消息是,随着网络安全威胁检测与响应技术的不断进步,早期割裂、孤立的安全设备逐渐朝着统一的、体系化的安全运营方向不断迭代演进,AI技术也越来越多的应用到了安全领域中,以XDR和安全GPT为代表的“后起之秀”开始进入大家的视线,为安全运营工作带来了新的思路。

2021年7月,Gartner在《Hype Cycle for Security Operations, 2021》报告中,对主流的安全运营技术进行了解读,并预测XDR(可扩展的检测和响应平台)作为新兴技术点将成为新的安全趋势。

从业内主流产品来看,相比传统的安全运营技术框架,XDR的核心优势在于深度集成多源、跨IT架构的各类安全组件,打通各项安全数据与事件,配合AI等前沿分析手段实现关联分析与自动化响应。供应商通过XDR组件将各类安全工具进行深度整合,关联来自云、网、端的所有安全数据和警报,以实现对整个攻击面的全面监测与自动化响应。

GPT更不陌生,近一年,以ChatGPT为代表的大模型发展如火如荼。在网安行业,大模型也展现出强大的通用人工智能能力,成为解放生产力的重要工具,帮助网络安全从业者简化工作任务量,节省大量基础性、重复性工作时间。

安全GPT像是一个“iPhone”式的革新时刻。传统检测引擎在大模型的加持下,将实现更加高效率的检出,带动整个行业生产力的提升:一是大幅加快事件响应速度,自动撰写事件报告;二是提高威胁检测和搜寻能力;三是缓解人才短缺问题。

正因如此,XDR+GPT越来越受到教育行业的关注。特别是在提升安全运营效率,消弭二级单位和校园网暴露的安全风险方面,开始发挥出重要价值。这套技术方案是如何对症下药,解决高校安全运营中的特定问题,实际效果又如何呢?

高校落地实践:XDR+GPT提升实战效果和运营效率

以深信服在行业内率先发布的高校安全运营2.0为例,它是以高质量的遥测数据为基础,通过XDR、SOAR、ASM、MDR等新技术与云端服务的协同,同时叠加安全GPT技术应用,实现安全运营“智能驾驶”,提升实战效果和运营效率

深信服高校安全运营2.0解决方案示意图

技术方面:实战有效、联动响应,大幅提升安全效果

近年来,各地高校频繁遭遇有组织、有计划且针对性明确的攻击活动。在面对0day、高混淆等各类高级威胁攻击时,检测能力是关键。

通过XDR+GPT对威胁检测能力进行提升,需要完成以下三个步骤。第一步需要在数据中心、二级单位、校园网部署各类组件,扩展全校威胁数据来源,并为联动处置打好基础。其后,利用XDR构建实战化检测响应平台,通过采集E+N数据,结合ATTCK模型,提升检测和溯源精度及能力。最后引入GPT检测大模型赋能威胁检测,提升未知威胁检测和0day攻击的检测效果。

用户A是一所985大学。该校经过三期建设将原有的NDR平台升级为深信服XDR平台。

在使用过程中,XDR将一周时间内4000万条来自信息中心、二级单位托管主机、自有服务器的告警,通过E+N聚合成13起有效的安全攻击事件,大幅提升安全运维效率。今年年初,用户开始试用深信服安全检测GPT赋能XDR做高级威胁检测。期间独报多起0day漏洞利用攻击、Nday攻击等行为,结合XDR形成完整攻击故事线,帮助信息中心快速定性攻击,排查威胁。

人员方面:云地协同、智能驾驶,降低安全运营工作压力

大部分高校编制有限,短时间增加大量编制基本上是“天方夜谭”。因此通过MSS、GPT等技术手段对运营效率进行提升,降低安全运营工作压力,对于现阶段的高校来说是更加切实可行的办法。

借助深信服MSS,云端在线专家与本地服务团队相得益彰、互为补充,高校在短时间内就可以完善服务梯队,提升闭环响应能力。而引入安全GPT虚拟运营专家后,高校也将实现针对低误报事件的自主研判、智能值守,降低安全人员工作量,大幅提升安全运营效率。

用户B是一所沿海高校,信息中心网络安全的专职人员只有1人。四年前,学校通过外采驻场服务协助安全运维,进行安全策略配置、基线管理、安全监管、自查报送、事件协助处置等。

但,随着攻防演练常态化和重保时间加长,暴露了高阶安全分析专家和夜间安全值守的不足。

引入深信服MSS安全托管服务后,该用户迅速构建起云地协同安全服务能力,为学校带来了7*24小时持续守护、有效预防和主动闭环的体系化安全运营效果。

此外,深信服安全GPT协助学校运维老师实现事件研判、排查检索和告警事件的值守处置,助力该校安全运营迈向“智能驾驶”。深信服GPT平台也帮助学校安全团队学生迅速学习和掌握安全告警和事件的研判分析能力,从而能够更深入学校的安全运营工作。

流程方面:运营闭环、安全有价,实现二级单位/校园网高效管理

考虑到各大高校二级单位、校园网用户和终端数量众多,管理复杂。信息中心需厘清各院系部门权责、打通安全工作流程、实现安全评价,让安全工作事事有着落。XDR的工单能力,相比SOAR有了进一步明显提升,这让信息中心在建立面向二级单位以及校园网的高效流程式管理时,更易实现。

具体落地上,第一步需要构建组织领导明确、责任分工清晰、统筹有力的安全运营团队。第二,创建各类从信息中心到二级单位,师生的运营流程,逐步完善融入到日常工作;深度融合流程与工具,实现智能化监测、自动化预警、全流程闭环管理,提升安全运营效率与管理能力。第三,建设安全评价体系,明确考核指标,优化安全工作;结合安全指标、定期展示各项安全成果和排名,让安全工作方向更明确。

用户C是一所北京知名高校,在2年前发布了网络安全责任制规范,明确了二级单位及直附属单位的网络安全第一责任人,信息与网络中心提供技术手段保障安全监测和处置指导。

深信服协助该校整合了通报预警、业务上线评估、资产上线、资产变更、告警处置、漏洞管理等多个工单流程,通过XDR的工单子系统在校内流转,实现信息中心到二级单位的预警通报闭环管理。

基于流程工单和特殊安全事件,学校构建了多个处置剧本(如钓鱼、失陷外联、内网横向攻击、漏洞管理),结合工单流程,辅助实现大部分安全事件的协同处置,实现信息中心和二级单位的协同响应。

最后通过XDR绩效考核模块,从工单处置率、安全漏洞处置率等多个维度对二级单位进行安全工作考核评价,实现以评促管、安全有价。

如何选择更符合教育场景的 安全运营中心?

通过行业内大量用户的实践效果证明,XDR+安全GPT是当前高校安全运营建设的最优解。那么如何选择更符合行业场景的新型安全运营中心?

由于XDR融合了多项安全技术,涉及多平台数据聚合、计算、分析,对服务商的安全技术能力和安全产品供应链管理能力,提出了很高的要求。XDR的引入更面临着对NDR、SOC等技术框架的全面兼容或替换,对其落地的可行性和改造成本的考量缺一不可,各个厂商之间的GPT实际效果更是有着云泥之别。在此情况下用户选择靠谱的安全厂商显得更加重要。

高校在选择供应商时,有以下几点需要重点考量:

平台的开放和兼容性:虽然主流XDR厂商都可以提供各类原生安全组件,考虑到高校原有的安全建设及未来需求,在选择供应商时,需要考量该厂商平台对各类安全组件及原有平台的支持,在尽可能利旧原有资产、保护IT投资的同时,获得更加先进的安全能力。

可持续生长的安全能力:攻防的本质在于持续的对抗,道高一尺魔高一丈。再先进的检测和防御技术可能都会被新的攻击技术绕过。在选择供应商时,还得同步考量其安全可生长的能力,包括云端威胁情报、云端高级安全专家、云端安全检测模型的更迭等能力。

AI技术沉淀和持续投入的坚定性:GPT的能力最终是构建在算力、数据、算法的基础上,这对应的是考量安全供应商在智算资源的持续投入、安全数据的沉淀和优化、AI和安全人才的储备。在选择供应商时需要考量其在AI能力上的沉淀和未来持续大规模投入的能力和决心。

对教育行业的理解:教育行业因其开放自由的办学理念,对用户的管理很难达到其他行业的细粒度程度。庞大的终端和自治性较强的二级单位,也对教育行业的安全管理提出了很大挑战。供应商给学校交付的不应是一个产品,而是一个可落地的解决方案,基于此在选择供应商时,需考量其在教育行业的深耕程度。

一直以来,深信服重视教育与科研数字化,且具有行业优势。从行业内调研来看,国内其他厂商在教育投入相对保守,深信服则是国内唯一专注教育安全运营中心XDR+安全GPT落地的厂商,对教育行业的安全能力构建有着独到见解。

凭借出色的安全防护和运营效果,其安全运营中心方案获得CELTSC(教育部教育信息化技术标准委员会)认可,获评《高等学校数字校园建设规范》优秀应用案例,成为高校“数字校园”安全运营建设的共同选择。

如今,多起高校案例证实了XDR+安全GPT赋能下的安全运营中心成功有效。而更多的成功案例也增强了深信服持续投入教育行业安全运营中心的动力,持续推进高校“数字校园”安全规划、建设和运营工作的全面落地。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、数博会、国家网安周与全球云计算等大型活动的官方指定传播媒体之一。深入原创报道云计算、人工智能、大模型、网络安全、大数据、区块链等企业级科技领域。

为您推荐