三問TDR

　　題記：我們正處于一個被軟件定義的數字化時代。購物、外賣、導航、網約車等軟件，讓我們買東西、用餐、交通變的“更簡單”，體驗達到“極致完美”。依托“云移大物智”等技術，各種創新應用正滲透到各行業、各領域，網絡安全作為數字化轉型和數字經濟的“四梁八柱”，面臨著諸多挑戰和機遇，需要新的思維、新的商業模式來破局。

　　三問TDR

　　數字化時代，隨著云計算、移動互聯、大數據、物聯網、人工智能等技術演進，IT基礎架構變革加快,傳統網絡安全邊界被打破。之前由網絡安全“硬件盒子”堆砌的邊界防護、靜態防御，一朝土崩瓦解、節節敗退下來。

　　與之同時，威脅檢測與響應的“主動防御”理念，開始躍入網絡安全行業的眼簾，“智能安全運營”開始風生水起。

　　什么是TDR？

　　2016年RSA大會，主席阿米特·約倫(Amit Yoran)在其《沉睡者醒來》的主題演講中指出“安全防御是個失敗的戰略，未來業界應該增加在安全檢測技術上的投資”。

　　Part1：TDR定義“新安全”,智能安全運營平臺面世

　　2017年底，華清信安在業界首次提出“新安全”概念——TDR（Threat Detection and Response）威脅檢測與響應。并將TDR定義為：以平臺化的方式整合縱深防御技術、大數據和機器學習等新型安全檢測技術以及自動化、智能化安全響應技術，以服務的模式交付安全能力，從而實現威脅的閉環管理。

　　2019年初，華清TDR智能安全運營平臺面世，并就相關技術在業界率先申請了軟件著作權和發明專利。

　　TDR基于華清信安BoS安全大腦，由SecWorks USP鐵穹安全引擎或SDA云防護中心（安全防御節點統稱為GSDN網絡）、SOP安全運營平臺、SRC安全響應中心構成，通過打造智能化的P2DR閉環安全運營體系，向客戶交付卓越安全能力。

　　2021年2月，華清TDR智能安全運營平臺4.0版本正式發布。通過全面升級，4.0版本尤其擁有更全面的防護功能、更豐富的直觀數據展示功能，以及威脅預警、應急響應服務，可以為城市大數據中心、集團化企業、行業安全統管和萬物互聯等場景提供“一站式”智能安全運營解決方案。

　　Part2： “安全的最后一公里”是安全運營

　　以威脅發現為導向，以分析處置為關鍵，以發現隱患為結果，通常是政企客戶的安全運營訴求。

　　人員、數據、工具共同構成了安全運營的基本元素。

　　安全運營備受矚目，其實主要源于三方面原因：一是環境所迫。國內外面臨的網絡安全形勢日益嚴峻，迫使我們需要不斷推進安全管理和安全服務的迭代；二是政策法規。比如《網絡安全法》推動下的合規管控要求，等保2.0提到的“一個中心，三重防御”，其中的一個中心就是安全管理中心；三是能力不足。面對常態化安全運營服務，安全能力無法企及。

　　近年來，隨著等保合規驅動安全建設項目落地，單位購置了大量的安全設備，匹配了安全工程師崗位，但受限于網絡安全的專業性，安全能力不足依然明顯。超過50％的組織報告稱，根據ESG調查，招聘到訓練有素的安全運營專家非常困難。

　　應急響應演練、重保、HW等暴露出安全運營諸多問題。人員、設備、流程、機制無法真正的融合，就根本保障不了安全體系的高效運轉。

　　多個媒體時時爆出頭條新聞，都在談論網絡威脅的興起、隱患和危害。因此，在組織內創建網絡安全運營中心也就不足為奇了。

　　由此可見，毫不夸張地講，安全運營才是解決“安全的最后一公里”的關鍵！

　　Part3：說TDR為網絡安全的“新貴”，一點也不過分

　　縱觀“新安全”，大致可分為三大類：新安全場景，比如：云安全、工業互聯網安全、移動互聯網安全等；新安全技術，比如：UEBA、SOAR、零信任等；新安全模式，主要為SaaS安全。

　　“新瓶裝舊酒”。新安全場景和新安全技術，其實沒有突破邊界、終端、身份認證等基本安全框架，而新安全模式即SaaS安全，SaaS 安全即服務（security a as Service）開始對未來網絡安全產業產生極其深遠影響。

　　SaaS安全“未來可期”。SaaS安全服務通過提供一站式可視化數據平臺，集容器云、數據匯聚、數據規劃、數據開發、數據智能、數據資產、數據服務等框架體系于一體?？梢越鉀Q組織所面臨的數據孤島不知所措、數據運維難度大、數據價值利用低的難題，幫助組織讓數據成為真正的資產。

　　華清TDR智能安全運營平臺，技術層面除了融合多種傳統安全檢測能力，還加入UEBA、NTA、機器學習等安全和分析技術，結合安全響應中心可為客戶提供全面、智能、即時的SaaS安全服務。

　　為什么是TDR?

　　隨著云計算、大數據、人工智能技術在威脅檢測與響應領域的廣泛應用，“安全賦能”概念興起。

　　安全運營時代悄然來臨。

　　Part1：技術驅動能力新模式：賦能閉環簡單

　　“山重水復疑無路，柳暗花明又一村”。網絡安全亟需一種以云計算、大數據和人工智能技術驅動的安全能力建設新模式。

　　華清信安以“安全賦能—讓安全更簡單”為使命，踐行智能安全運營2.0理念，持續推進新一代智能安全運營技術創新，著力打造出華清TDR智能安全運營平臺。

　　華清TDR智能安全運營平臺以TDR威脅檢測與響應概念為基礎，建立起了“閉環安全防護”框架體系，可以在節約整體成本的情況下，大幅度提升組織安全能力，讓組織的網絡安全運營從復雜無緒變為“快捷、清晰、簡單”。

　　TDR威脅檢測與響應，真正地賦能網絡安全新定義—“安全可以更簡單”。

　　華清TDR智能安全運營平臺“全能、敏捷、高效”的特點非常適合“快速安全加固、全天候監控、實時應急響應”的應用場景。

　　華清TDR智能安全運營平臺是一款具有全場景適應能力的安全平臺。只要分鐘級接入GSDN網絡，便可以快速構筑一道新的“安全防線”，而且接入時不需要改變原有網絡拓撲和設備配置。

　　Part2：打開困擾投入產出比的“緊箍咒”

　　傳統的安全運營，依賴部署大量傳統安全設備來實現產品迭代和功能疊加，所以無法規避不同品類設備數據互通的功能性障礙梏桎。尤其是傳統網絡安全設備的安全運維值守需要大量人力、物力投入，需要一次性地投入非常高額的預算。

　　華清TDR智能安全運營平臺，遵循智能安全運營2.0的領先理念，只需要部署三個核心功能模組，不存在多個品類設備的互通性問題，DiX核心技術則盡可能減少現場人工值守，大大降低客戶安全運營整體成本壓力。

　　作為組織的網絡安全管理人員，特別是保障政企安全服務和IT安全的團隊，如何量化團隊績效以及投入產出，也是困擾國內網絡安全行業多年的一個問題。

　　理論上講，其實兩個關鍵指標可以用來衡量安全能力的有效性。一個是平均威脅檢測時間(MTTD)，一個是平均響應時間(MTTR)。MTTD是指組織發現和識別那些可能會產生實際風險的威脅所需要的平均時間；MTTR是指組織充分分析并采取有效手段減輕威脅風險所需要的平均時間。

　　不幸的是，筆者“掐指一算”，目前大部分組織的安全運營模式，MTTD和MTTR將以數周或數月來計算。安全公司Trustwave通過對全球691個數據泄漏的事件調查發現，企業安全事件平均檢測時間（MTTD）為87天。在專業的應急響應團隊配合支持下，平均響應時間（MTTR）也需要1周時間。

　　這么久的時間，組織網絡可能被惡意攻陷N次了。沒有威脅檢測與響應，有多恐怖！你懂得。

　　Part3：SaaS安全服務是“顛覆性”技術革命

　　基于云SaaS模式，用戶只需一分鐘即可接入華清信安GSDN網絡，獲得All in One一站式閉環防御體系，無需再額外購買安全產品與招聘專業安全團隊。

　　公有云、私有云、混合云亦或物理機房，TDR均可無縫接入。

　　豎個大拇指。SaaS安全服務所帶來的高彈性、可觀測性、過程自動化是一場顛覆性的技術革命。

　　尤其是隨著全球范圍內SaaS安全的項目應用不斷增加，網絡安全的產業結構和競爭要素與之將會產生重大變化。在萬億規模的網絡安全市場，將有產生收入規模超百億甚至千億規模的網絡安全運營廠商“獨角獸”或者“巨無霸”。

　　無獨有偶。安全管理也是近年來網絡安全界最熱門話題。安全管理的主要推動力來自于主動防御和態勢感知的客戶需求，并且需求方向正在從監管側轉向行業級大客戶群體，此外AI/ML、UEBA及SOAR等技術的成熟，也提升了安全管理平臺的可用性，加速了安全管理平臺的“靴子”快速落地。

　　“一體兩翼”。除了安全管理，安全服務受等保合規政策紅利和數字化轉型戰略布局兩大因素驅動，近年來市場業務增速在快速提升。

　　目前，有戰略眼光的網絡安全廠商都在通過安全頂層設計、安全平臺建設、安全運營服務的組合，持續爭取政府、企事業單位的財政預算“腰包”。

　　安全管理和安全服務戰略價值不斷彰顯，其實都是SaaS安全帶來的“蝴蝶效應”。

　　TDR為什么?

　　想起魯迅先生《從百草園到三味書屋》文章的一個敘述邏輯?！安槐卣f......也不必說......單是......”。不必說華清TDR智能安全運營平臺可以實現對流量、主機、日志數據的采集與精準分析，也不必說平臺對網絡、應用層的安全縱深式防御，平臺快速下工單做出與之對應的處置方案，單是應用最新的安全技術和工具對應用系統進行全面、多維度的安全評估和威脅識別，就值得客戶期待。

　　Part1：敏捷安全，要的是安全能力而非產品

　　相對于業界其他智能安全運營產品，華清TDR智能安全運營平臺具有四個核心優異性特點：

　　一是無縫接入。源于領先的全流量檢測技術，無需變更原有網絡結構，即可分鐘級接入;

　　二是縱深防御。源于擁有自研發、深度學習智能安全分析模型;

　　三是安全零運維。源于知名網絡安全公司和互聯網大廠的安全數據運營和專家應急響應團隊;

　　四是合理TOC。源于平臺的All in One智能安全理念，SaaS按需付費模式。

　　“不漏死角”。華清TDR智能安全運營平臺整合了縱深安全防護體系、SOP安全運營平臺和SRC安全響應中心，在提供下一代防火墻、入侵防御、抗拒絕服務、Web防護等多重安全防護能力的基礎上，支持安全審計和集中管控，以及全局可視化網絡安全態勢感知。

　　華清TDR智能安全運營平臺擁有威脅情報預警，全流量分析和用戶行為分析等技術，可以為客戶持續提供安全專家應急響應服務，尤其實現了為客戶建立一套“檢測—防護—監測—響應—管理”安全運營體系，讓客戶真正擁有了“更全面、更合理、更可持續”提升的安全能力。

　　順藤摸瓜。情報分析，檢測防御，專家響應，“倒吧倒吧，可以倒吧出一頭驢來”。

　　Part2：未來已來，網絡安全第三輪成長“破繭”

　　縱觀網絡安全產業，共經歷了三輪發展。第一輪快速發展期：從1990年前后到2000年中期，信息化和網絡基礎建設，帶動了網絡安全產業從無到有的發展；第二輪加速成長期：從2010年開始，通過云計算、移動互聯網、大數據、物聯網、人工智能等IT基礎設施建設驅動，目前處在第二輪加速成長期的中期；未來隨著人工智能、萬物互聯、5G以及數字化轉型提速，有望推動網絡安全產業快速走向第三輪快速成長期。

　　毋庸置疑，網絡安全已經成為網絡、計算、存儲之外的第四大IT基礎設施。

　　IT基礎架構的演進，隨之而來的IT產業浪潮的背后，都會伴隨網絡安全行業的快速發展。尤其是SaaS安全已經成為網絡安全市場的重要增長極。

　　隨著SaaS安全廠商技術競爭壁壘的提高，必然帶來行業競爭格局變化。譬如，基于輕量化部署所帶來的邊際成本的顯著降低，基于數據在線所帶來的全流量分析效應，基于云原生架構所帶來的一站式、高效能服務。

　　Part3：軟件定義安全，安全要“原生”

　　喜歡喝啤酒的酒友都喜歡喝七天的“泰山原漿”，喜歡喝奪命“大烏蘇”，為什么呢？答案其實就兩個字：原生。

　　云安全如果基于新技術賦能，建設適合云計算環境的原生云安全，豈不是“泰山原漿”、“大烏蘇”？

　　說透了，軟件定義安全其實就是將傳統安全設備的安全能力和安全管理做了“耦合分離”，以最終達到安全管理“中央集權”和安全能力分布執行的“諸侯割據”。

　　“大提琴、小提琴、薩克斯、二胡、手風琴、橫笛......來，奏樂，繼續”！“隔山打?！钡哪繕耸桥c云計算實現“一個樂團一個指揮”，多種樂器分工不同卻“異曲同工”。

　　很明顯，軟件定義原生的云安全不僅增加了新技術應用，而且提升了安全防護效能。

　　正是如此。華清信安將應用軟件定義為安全，把安全能力整合為統一安全資源池，將管理能力匯集到一各平臺，再通過一個平臺與云計算平臺融合交互。以求實現安全能力的統一管理、延伸，安全數據的統一采集、分析，流量與能力的BoS安全大腦自動編排，安全事件的自動化響應。

　　綜上所述，軟件定義安全，豈不是“分分秒秒”可以搞定事情！

　　華清TDR智能安全運營平臺，最終實現的是“大象”般妥妥的安全服務化交付，“獵豹”般安全能力間的協同，安全事件“鷹眼”般的快速發現、應急處置和自動化交付，目標是達成為云計算平臺構建“彈性、智能、協同、開放”的原生安全防護。

　　“TDR智能安全運營平臺作為云原生的安全解決方案，基于P2DR和PDCA理念，整合最新安全技術模塊，實現了為客戶提供一站式閉環威脅管理能力和持續提升的安全運營管理能力，同時大大降低了客戶安全建設成本，必將成為網絡安全建設的主流模式?！比A清信安創始人、CEO田新遠表示。

　　象曰：天行健，君子以自強不息。潛龍勿用，陽在下也。見龍再田，德施普也。終日乾乾，反復道也?；蜍S在淵，進無咎也。飛龍在天，大人造也。

　　讓我們一起期待并見證華清TDR智能安全運營平臺從“潛龍”到“飛龍”的騰躍??！