随着计算机网络技术的广泛应用，为电子政务、电子商务和业务管理提供了现代化的运营平台，网络信息系统的互联互通给我们带来方便的同时，由于其自身存在的开放性及脆弱点，也面临着诸多安全风险，给国家安全和人民群众利益带来重大威胁。

如今安全风险治理被越来越重视，在诸多企业的安全实践中，安全人员在忙着一层又一层的增加安全防护及威胁感知，为改善现有环境的网络安全态势，但收效甚微。如何进行有效的安全风险运营体系规划与建设，并发挥可落地的安全效果，成为企业亟待解决的问题。

近日，灰度安全首提“知治防”风险运营概念，构建知风险、治风险、防风险的立体、多元、闭环防控体系，聚焦风险度量，呈现安全价值。

1.背景与建设思路

网络安全威胁和风险日益突出，传统与新型网络安全威胁相互交织，数据安全、业务安全、移动安全和个人信息保护等新安全问题层出不穷，而政治、经济、文化、军事等的安全都与网络安全深度耦合，相互渗透和作用。为深化网络空间法治建设，强化网络安全治理。2017年6月1日，《网络安全法》正式施行，之后又相继颁布《密码法》《数据安全法》《个人信息保护法》 等法律法规，各行各业依据行业性质也出台了各种安全标准以应对新型的网络风险。

国内各大企业开始组建自己的网络安全团队，加强企业自身安全能力建设，朝着安全风险治理迈进。在诸多企业的安全实践中，安全人员为改善现有环境的网络安全态势，忙着一层又一层的增加安全防护及威胁感知，但随着攻击者越来越年轻化，攻击手法不断升级，安全风险无法完全消除，只能进行安全风险的运营与控制。

2.“知治防”安全风险运营体系

灰度安全基于多年的安全实战经验，首提“知治防”风险运营概念，从理解入侵的过程到资产的管控，以PDCA循环方法为指引，构建知风险、治风险、防风险的立体、多元、闭环防控体系，并且在平时态与战时态中进行联防联控，高效应对紧急风险的处置。

全面把脉“知风险”

不知己不知彼，盲目搬砖搭城堡，这种安全建设思路往往会衍生更多的安全风险，因此在风险运营工作中需感知风险，从行为学的角度进行分析，聚焦风险分布现状和风险防控工作存在的突出问题，站在入侵视觉进行寻找突破口及攻击路径，为后续风险治理提供方法路径。

先理后治“治风险”

风险治理模式创新是护航互联网+高质量发展的重要抓手，紧扣“治风险”这个目标，从“资产、威胁、漏洞、攻击面、数据安全、知识图谱、量化指标、纵深防御体系、应急管理、知识储备”等十大框架体系入手。以技术赋能综合风险治理，实现风险防范手段与工具的创新，并将创新成果应用于风险监测、风险评估、风险处置等风险治理全过程，从而实现风险早期识别研判，尽可能将风险化解在源头。

风险评估是风险治理的基础，也是把握风险态势的重要手段。有序规划网络安全风险评估工作，规范安全风险评估及更新机制，并将风险评估结果应用于风险监测的重点研判、风险响应的策略优化等风险治理过程，提升综合风险治理的精准化与可靠性。

安全有效性建设是风险治理的重心工作，也是梳理安全风险，对症下药通过不同的安全防护措施（如访问控制、入侵检测与防护、病毒治理、漏洞治理、数据安全治理等），根据现网中真实需求进行有效性加固，保障已知风险的防护率，提升综合风险治理的防御堡垒。

运营“有效”“防风险”

安全体系的建设需不断进行学习与修复，安全堡垒并非一成不变就是最好的防护，只有根据环境的变换与知识的提升不断进行完善安全堡垒，通过完善监督制约“双渠道”，不断充实监督力量，延伸监督触角。建立健全责任考核评价机制与网络安全教育常态机制，以严格考评倒逼责任落实，形成用制度管权管事管人的长效机制，通过安全策略建设从而防止病毒、木马的执行，0day漏洞的出现，保护敏感文件，即使遭受攻击，域控制也可以缩小攻击所带来的危害，降低人为安全风险，满足合规要求，保障组织信息化产益，实现“进不来、看不懂、改不了、拿不走、跑不掉”的目标。

3.风险运营体系实践过程

空谈安全理论，不实现工程化落地，无法解决安全“痛点 ”。灰度安全基于ATT&CK模型框架，融合BAS+VPT+ASM技术，打造聚焦风险度量，持续验证防御措施有效性的专家级平台，通过攻击场景构造和攻击向量编排技术，实现控制措施及过程的验证和风险态势的度量，并且可以对接外部态势感知、作战指挥等系统实现风险度量集中可视化呈现、风险协同响应处置与统一作战指挥。

第一步：识别客户资产。

对大多数企业而言，资产重要性越发重视，尤其是关键资产与以数据为中心的核心资产的识别能力，比如说医院管辖的业务系统中涉及含有个人健康信息、医院运营数据的医院资产，运营商管辖的业务系统中包含实体身份证明、市场核心经营数据资产等，而这些资产涉及到服务器、中间件、数据库、API接口、账号信息、安全设施等，按照木桶原理，即使某个别点已经完成了安全加固，但只要另外一个点出现错误问题，安全工作还是徒劳，因此灰度安全通过ASM技术进行扫描与测试分析内部存在的攻击面以及暴露的信息中的弱点、技术缺陷或者漏洞，主动发现信息系统内部所存在潜在的隐患，即暂时还未被认为是隐患但将来可能成为木马或者黑客攻击的入口，并能够被成功突破的弱点。这些弱点已经暴露在网络中，只是暂时还未被恶意行为利用，技术的不断发展，使得这些弱点将来可能会被利用，弱点之间联系起来，形成面，危害将更大。

第二步：已知漏洞的利用验证。

根据《网络安全法》的相关要求，很多企业都已经做过漏洞扫描，并且把高危甚至中危漏洞都进行相关安全修复，但这些都是标准化的，因为漏洞扫描评分反映出的是漏洞本质和漏洞武器化后的可能行为，并不能反映出漏洞风险的变量（漏洞变异武器化的概率及对自身单位特性潜在的风险），因此灰度安全基于资产指纹自动适配漏洞验证POC，精准识别企业资产漏洞，无损、精准、高效验证资产漏洞，采用VPT技术通过结合漏洞评估报告、资产重要性、威胁情报等数据，通过高级分析技术，为安全管理人员提供漏洞修复优先级指导，以期在最短的时间内利用有效的资源进行漏洞修复，结合网络环境、企业自身业务对漏洞进行可视化分布呈现，并从漏洞的威胁利用维度进行测绘。

第三步：安全架构的有效性验证。

相信很多企业都存在几个疑问：“我们设备买回来那么多，到底有没有用？”“同行某兄弟公司中了勒索病毒，我们当前的架构能不能防护？”“花了那么多钱，养了那么多人，买了那么多设备，关键时刻还是中招，我们做安全工作有没有必要？”“我们明年预算到底需要补全哪些地方？必要性又是什么？”，以上，都是大家经常问起来却难以回答的问题。

正如上述所问，很多企业虽然都有防火墙、IDS、IPS、WAF、态势感知、防病毒软件、EDR、邮件网关等安全设备，并且每年都有专门的渗透测试及攻防演练，但常态化工作下却无法保障安全状态的实时呈现。灰度安全通过持续不断地模拟针对企业资产的多种攻击载体，无损的验证企业防御措施有效性，甚至包括威胁内网横移等问题。相对于传统的通过审计、应用安全测试和渗透测试等方法检验自身网络安全而言，BAS技术能够更加精准定位防御措施的问题，更加完整直观的还原散乱分布的风险给企业带来的危害。

第四步：纵深防御体系化的验证。

线上办公，以及公有云和私有云的广泛应用使得我们需要保护的边界越来越难以定义，并且面对安全风险的日益泛滥和多样化的传播渠道，传统仅针对某单点进行安全评估难以掌握全面信息，通过先知·智能风险评估系统内置的AI算法对前面的评估结果进行聚合分析，把各安全域进行分层并绘制出起点和终点直接的有效攻击路径，对内网资产状态的掌控，结合漏洞POC和威胁情报，做到对内网横向移动风险的及时发现。

第五步：安全价值的呈现。

MITRE ATT&CK框架包含大量具有潜在价值的实战数据，是目前业界广泛关注的针对网络对手行为精心策划的知识库和实战模型，反应了对手在网络攻击全生命周期的各个阶段及战术目标，目前最新的 v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件，在业界安全实战框架里面是有参考意义，因此灰度安全通过与ATT&CK框架进行热力图映射, 基于ATT&CK模型TTPs的攻击模拟编排，将安全结果与ATT&CK框架进行风险量化，结合Dashboard视图的呈现从而真正实现让“让安全价值看得见！”

信息技术发展每前进一小步，风险治理难度就增加一大步。面对日益变化的网络安全风险，灰度安全先知·智能风险评估系统始终密切关注业界的发展动态和安全需求，聚焦风险度量可视化，持续研发先进的防护策略，致力于帮助企业有效提升主动防御能力。