《北向文集 面向2021》 06期 山海论坛 | 耿志峰-甲方企业安全建设破局

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议，历届北向峰会的行业趋势探索以及战略性指导意义，使其成为安全行业别具一格的风向标。

面向2021，北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块，深入研讨了安全行业战略发展之路。嘶吼作为会议承办方，全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容，嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》，文集将以连载的方式在“嘶吼专业版”独家发布，向大家分期呈现，每日更新，敬请关注！

06期 山海论坛

甲方企业安全建设破局

甲方难！不对称对抗的现状与实践

在很多场合我都听过，安全的本质是对抗，既然是对抗就有攻守双方，但是具体到每个甲方，我们的力量都是比较薄弱的。京东安全目前员工规模是几百人，但整个网络黑产比我们多一百倍。每个甲方都面临这样不对称的对抗困难。因此很多年来，所有的甲方和安全人都在倡导联合共建安全。现在也有情报和各种能力上的合作，但是到今天为止仍被吐槽说甲方做得不好，我们看到了什么现象呢？

一直在寻求联合共建安全、纵深防御，但现实问题仍层出不穷

甲方一直在寻求联合共建，因为自己全部做并不现实，其中纵深防御是最重要的方法之一。今天看到从数据的产生、应用产品的产生一直到产品的运营迭代，整个过程中都有安全布点，比如主机上有十几个Agent各司其职、包括微隔离、HDIS（负责入侵检测）、打补丁等。安全本来是为了做安全的，如果这样下去的话最大的挑战是：第一不知道怎么运营，第二这么多的安全产品在一起，如何平衡？本来要为业务服务的，现在好像在阻碍业务。我们希望在主机、服务器把这些Agent统一起来，以一定标准的数据格式输入到“大脑”里面去，来提高精准度，为运营争取更多的时间。

第一，服务器上的所有Agent统一运营，发挥各自的特长、有序的为安全服务。

第二，是不是只有服务器上才有这个问题？其实不是，云办公，PC电脑也面临相同的问题，所以需要从服务器到所有的终端设备上都统一起来。经过这段时间的实践和思考我们发现，不只有终端，在各种各样的产品和服务叠加下，整个网络现在面临的问题也是如此，

第三，无论是采购还是自己建设的，都有自己数据输出的屏，都会产生告警要进行防御，但这些数据真的没有关联吗？每天海量计的告警数据，能够处理得过来吗？以前说数据不够，所以要数据驱动；现在是数据太多，有没有可能把这些数据变成真正的数据驱动，才是解这个题的关键。

第四，如果假设，我们能够把各种各样的安全事件的先兆融合起来，我们会发现，每一个安全事件在发生之前已经对运营人员有所提示了，但是很多运营人员并没能把握住这个机会，典型的表现是人员A看一块屏、人员B看一堆数据，但是没有联络，真正的联络是把数据融合起来，做到真正的“安全大脑”。

甲方的尝试——企业安全操作系统

“企业安全操作系统（ESOS）”负责的事情是把所有数据融合起来，做到真正的数据驱动。作为甲方，面对这样的架构，我的感受是终于实现了产品皆安全。现在每天有几千个产品迭代上线，以前站在甲方视角看到开发了一个产品，通常会问，在各种各样数据产生并进入的情况下，怎么保障其安全，而真正的原生概念应该是获得了一个产品，这个产品默认就是安全的。

 ⌜IT的数字化程度，对于IT允许有百分之几的误差，但安全是木桶，有一点缺口就会从那里泄漏⌟

    这是数字化水平不高的问题，底座就是数字化部署。

“企业安全操作系统（ESOS）”四大特点：原生、开放、数据驱动和统一运营

几乎每家公司都是公有云和私有云结合的混合云，完全的公有云据我所知没有做到100%的。在此基础上要有适配性，基于标准真正的形成数据融合和数据驱动。除要统一运营外，基于这个架构的实践有三个方面：一是特点——原生，所有的甲方希望原生基础即安全。二是数据驱动，别让人工每天去处理、运营这些数据，需求通过数据驱动节省人工的时间并提高效率。三是开放，任何一个产品靠自己建设有可能，但绝不是最理想的方式。应该发挥各自长处，我们最大的长处在于混合云上的网络隔离，但是前面讲的任何产品都不是这么简单的，比如常常提到的主机安全，这么一个产品一个供应商几百人开发几年才能够做到标品对外销售，我们不可能有这样的精力，需要开放与大家合作。

两年来取得的成绩与城市云案例分享

在我们内部，这套系统已实践了近2年时间，一方面表现在漏洞数量上，尽管2年间京东的业务量暴增了约70%，但安全工单量下降了80%，这说明应用的漏洞在大幅减少；另一方面表现在审批量上，为了安全我们设置了各类人工审批，现在审批量也下降了80%，审批量的减少证明了现在在安全原生的情况下，真正做到了“安全服务业务”。

最近一年多除了治理我们自己的风险以外还发现新的赋能方式，案例介绍——“京东科技城市云”，把数据安全植入到城市里面，从权限角度深刻精细化的控制数字安全，过程中给客户比较完美的体验，就是感觉不到安全的存在，因为给的东西本身就是安全的。

构建共生、共建、共赢的生态圈层

未来，我们将持续打磨企业安全操作系统（ESOS） ，并希望借助安全业界的生态能力，共建以 ESOS为基础“平台生态”，同时将这套系统的能力开放出来，赋能给生态伙伴和客户。这样不仅可以通过我们庞大的业务生态，为安全业界的伙伴提供更多的机会，也能够整合优势资源与技术，为业务生态提供更好的安全服务，从而实现与各方共建共赢的生态安全。

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布