2019北京网络安全大会（BCS2019）上，奇安信集团董事长齐向东提出了“内生安全：以聚合应万变”的安全防护思路。信息化系统和安全系统的聚合，产生自适应安全能力；业务数据和安全数据的聚合，产生自主安全能力；IT人才和安全人才的聚合，产生自成长的安全能力。

孙子兵法有言：昔之善战者，先为不可胜，以待敌之可胜。网络安全讲一百遍不如打一遍。实战化的攻防演习为企业积极构建网络安全防御体系，可以帮助企业不断的巩固“不可战胜”的地位。

面对“有组织”的攻击，企业需要内生安全

在“组织”的内部，分工都很明确。以红队(实战攻防演习中攻击的一方)为例：通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的人，需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长，具备边界突破、横向移动（利用一台受控设备攻击其他相邻设备）、情报收集或武器制作等某一方面或几个方面的专长。

在“组织化”的攻击面前，没有打不透的“墙”。因此，需要企业建立一种基于“内生”的机制，只有掌握有针对性、精细化的数据，才能精准发现攻击行为从而进行溯源分析和响应处置。

实战化的威胁检测是内生安全的重要基础

面对实战化的网络攻击，需要以内生数据为基础，需要精准发现入侵威胁攻击，以蓝队(实战攻防演习中防守的一方)为例：蓝队通常会在日常安全运维工作的基础上，以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度，提升防守能力。

因此，在实战化网络攻击过程中，首先需要进行精准化的威胁检测，并基于精准事件和异常行为线索进行溯源分析和响应处置。其次，通过全流量日志、文件、DNS、邮件、终端等“内生”数据，结合威胁情报、双向规则检测、沙箱和场景化检测产生精准的攻击告警。最后，在整个的威胁检测过程中，基于全流量行为分析的关键攻防技术对抗、实战化下的情报数据运营能力建设以及通过威胁运营平台打通数据、工具流程和人的威胁运营能力建设，能够很好的“聚合”从而建设属于自己的安全能力。

数据的聚合应变是内生安全的有效手段

以奇安信天眼新一代威胁感知系统为核心，建立一套以“威胁运营”为视角的全新的运营体系，可以有效的将企业“内生”数据和安全人才结合起来，让安全运转起来。

建立天眼威胁运营中心，可以将用户本地“内生”数据进行收集。通过分析流量里的业务信息、行为信息、IT资产信息等内生数据进行大数据聚合，通过人工智能的方法不断地实现威胁检测的“自生长”，再结合安全专家进行精准研判，能够建设企业内部应对外部威胁的“自适应”能力。

奇安信天眼新一代威胁感知系统作为威胁运营的检测引擎，可基于奇安信自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台，进行本地流量深度分析。威胁运营平台则将全网的流量日志进行采集，结合专家级的安全分析人员，对安全事件进行深度研判，帮助用户发现、确定网络存在的已知威胁与未知威胁，并通过边界NDR/终端EDR的联动方式，实时有效的从边界及终端层面阻断威胁。同时，高级威胁运营平台还能将分析人员、分析过程、分析结果、处置过程等高度可视化，让运维人员看得见、看得懂、用得起来。

安全人才的储备是内生安全的发展根基

以某个大型实网攻防演习为例，需要汇聚组织方、攻击方和防守方三支队伍，才能完成对系统安全性和运维保障有效性的检验。在这样的演习中，防守队的组成，并不仅仅由目标系统运营单位独立承担，而是由系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方人才聚合组成的防守队伍。

所以，企业与组织在建设自身安全体系时，不能只想到技术体系的IT人才建设，安全人才的投资建设也非常关键。在规划阶段，提前进行安全人才储备，将IT人才和安全人才聚合起来，是后续安全发展的根基。

作者：奇安信集团副总裁、天眼产品线负责人 张卓