SecXOps：打造安全分析自動化運營平臺

一、概述

隨著數據的積累和算力的提升，人工智能技術的演進，企業組織不斷進行數字化轉型，IT運營必然需要向著更高水平的自動化演進。Gartner指出XOps的目標是使用DevOps的最佳實踐實現效率和規模經濟，在確保可靠性、可用性和可重復性的前提下，減少技術和流程的重復，實現進階自動化。隨著不同的Ops發展，XOps已成為定義DevOps、DevSecOps、DataOps、PlatformOps、MLOps、ModelOps、GitOps和CloudOps等組合的總稱。總的來說，XOps技術促進企業組織通過數據和分析的運營技術賦能業務，推動提升業務價值。

目前，對于企業組織而言軟件的交付速度依舊優先于安全性的考量，導致應用程序遭受攻擊的風險加大，進而導致敏感數據泄露的情況。根據GitLab的第五次全球DevSecOps年度調查顯示 DevOps實踐使得60%的開發人員以兩倍的速度發布代碼。需要注意的是當代碼發布速度提升時可能導致在安全性上做出了取舍。一項關于DevSecOps的研究表明由于時間壓力近一半的組織會有意識的部署易受攻擊的應用程序。由此可以看出必須從軟件開發開始就確保每個流程的安全性，并且只有當各個團隊之間針對安全性有共同的責任感的時候，才能實現最佳的運營。安全運營（Security Operations, SecOps）的關鍵在于，通過流程覆蓋、技術保障及服務化，為企業、組織等提供脆弱性識別與管理、威脅事件檢測與響應等安全能力，以充分管控安全風險。如下圖所示，SecOps倡導在軟件開發生命周期中設置多個自動化的安全檢測點，在不影響交付速度的同時來確保應用程序和基礎架構的安全，以此降低企業組織應用程序、數據和基礎架構面臨的風險。

圖1 DevOps中的“Sec”

當代的技術發展趨勢推動著安全運營不斷地迭代優化。企業組織的數字化轉型帶來了海量的數據，這些數據傾向于云存儲而不是物理存儲，這一趨勢使得安全運營需要分析和監控云端。疫情的長遠影響會加速安全分析自動化運營的發展。例如，為了保護在家和移動設備上的辦公安全，需要新的身份管理系統去保障多源的數據和代碼的安全性，機器學習等技術被引入來管理和分析，以自動化地識別威脅降低風險。因此，安全分析自動化運營平臺需要在企業組織能夠通過數據和分析的運營推動業務價值的過程中，提升安全分析運營的自動化水平，減少全流程中安全運營人員的參與。

二、打造安全分析自動化運營平臺

SecXOps即XOps for security，其目的在于將安全分析充分融入到安全運營涉及的全場景中，涉及數據采集，模型開發，模型部署，模型管理，告警研判、攻擊溯源、關聯決策、應急響應等階段。如下圖所示，SecXOps從大數據的治理、模型開發、部署和管理、模型運營以及人工智能平臺運營的融合方面構建數智融合的安全分析運營體系，在保證安全性的同時，減少技術和流程的重復，實現安全分析運營平臺自動化的進階。

圖2 XOps for security

2.1  數據治理

隨著全球數字經濟的蓬勃發展，各種復雜業務越來越多，高級持續性威脅的出現和演進導致網絡安全所要分析的內容急劇增加。傳統的安全運營仍然深度依賴安全專家去研判，進行調查取證及分析，涉及的數據包括終端側、網絡側、沙箱側、蜜罐側的告警，系統日志以及威脅情報、知識庫、掃描的漏洞等。從數據層面來看，安全數據通常來源分散、語義多樣、格式異構，因此，需要針對不同的數據源進行采集、預處理、打標簽等工作。以往數據分析人員進行數據處理后僅將數據處理成適用于自己場景下的模型訓練的輸入，這種低耦合、低交互的方式導致數據的分析通常無法復用。

DataOps[9]是基于元數據開發和部署數據分析應用的一種靈活敏捷的方法，在提高質量的同時減少數據分析的周期時間，用于自動化數據交付的設計和管理。為了應對數據本地化理解，脆弱性和新的數據用例擴展速度慢等挑戰，需要對安全數據進行有效的管理，包括數據提取，集成，轉換和分析。面向網絡環境數據、威脅行為數據、威脅情報數據、安全知識庫等，引入機器學習和知識圖譜等技術，根據攻擊行為的特征與多源異構數據的特點對數據進行定義和分類，協調不同工具構建數據處理管道，基于深度學習技術進行實體消歧，實體統一等操作，提取安全數據的描述信息，將多源異構數據轉換成可以連接的數據，以靈活的圖數據結構將數據管道中不同階段的數據提供給各個領域的安全專家，使其針對多源異構數據進行高效的協同組織與管理，促進專家知識儲備不同的安全人員之間的合作，使得安全數據可以在動態環境中更快更智能地被利用。最終，實現對數據的持續評估，確保管道中的數據質量，在提高數據質量的同時減少數據分析的周期。

2.2  模型開發，部署和管理

目前各種模型算法在網絡安全領域中大多較難落地。因為即使在各種學術論文中，模型的檢測率達到了99.9%，一旦當安全數據為海量級別的時候，會造成大量的誤報或者漏報。安全領域的建模仍需要業務人員，數據分析工程師、AI建模工程師，安全運營研判人員投入大量的精力，在場景中進行持續的反饋，溝通，迭代和優化。各種算法模型在安全領域的落地尚處于初步，大多方法存在泛化能力差，交付效率低，且在真實場景中無法解決實戰的問題。

MLOps[9]是一種工程化實踐，旨在可靠且高效地在生產中部署和維護機器學習模型，構建機器學習流程自動化，支持模型的發布，激活，監控，管理，更新等。MLOps采用DevOps 的持續集成和持續交付最佳實踐，利用持續訓練和評估來替代持續測試。隨著安全對抗的升級，攻擊手段的變化，以及業務需求的變動，當模型在真實網絡安全環境中出現性能衰減的時候，需要進行模型的持續迭代和自動重新部署，通過在ML模型整個生命周期中融合模型的開發和管理階段所需不同專家的能力，來打破溝通屏障，確保各種ML模型在安全領域的落地。

2.3 模型運營

就安全場景而言，流量分析、用戶實體行為分析、樣本分析、威脅關聯、自動化響應等安全能力逐漸集成機器學習算法，但是在安全領域每一次針對安全事件的漏判錯判都可能會造成無法挽回的損失。為了使AI技術在安全運營領域逐漸落地，從而減少安全運營人員的工作量，需要提供可信任的AI，需要AI以透明、可解釋的方式輸出其判斷和決策，以AI 的性能彌補人類在數據處理上的低效性，AI的魯棒性來適應不同的使用環境，并且保障AI自身的安全性。

IBM 研究人員提出ModelOps，是MLOps的擴展，專注于操作所有AI和決策模型，核心功能包括管理模型倉庫，冠軍/挑戰者試驗，模型回滾，持續集成與持續交付等。網絡安全領域需要通過ModelOps來擴展人工智能的分析與應用，協助部署，治理和監控生產環境中的AI模型。通過為安全業務，開發和運營團隊提供一定程度的透明度，幫助企業最大化和擴展AI相關計劃。目前，ModelOps 在其他領域的動態環境中表現出色，能夠針對不同的業務問題采用不同類型的模型，確保隨著時間的推移模型預測會保持準確，并且遵守所有法規和風險要求。此外，ModelOps 為業務領域專家提供了可解釋的結果，以及在不完全依賴專家的情況下升級和降級用于推理的AI模型的能力。網絡安全分析運營需要在網絡安全檢測、溯源、響應等各環節自動化任務中為業務領域專家提供可解釋的結果，結合AI模型進行推理，豐富安全知識和網絡安全領域的應用，完成威脅建模，風險分析，攻擊推理，加速安全進入認知智能。

2.4 人工智能平臺運營

人工智能平臺運營（Platform Ops for AI）是一種編排和擴展AI的方法，用于構建和交付基于AI的系統，涉及數據，ML，AI和應用程序開發管道的多種最佳實踐，通過DataOps來管理數據管道，利用MLOps和ModelOps來構建機器學習和CI/CD管道，實現分析，ML和AI模型部署的管理，為基于AI的系統創建高效的交付模型。網絡安全領域需要通過人工智能運營平臺構建基于人工智能的安全系統，利用模塊化和業務編排的底層平臺來不斷擴展人工智能在安全中的應用，利用DataOps，MLOps和ModelOps來管理端到端的AI安全平臺，從數據到模型的管道建立一致性，在構建基于人工智能安全系統的各個階段提供持續集成和持續交付的能力，為業務部門提供自主權，加快人工智能解決方案在網絡安全領域的交付和采用。

三、智能安全運營

AIOps是任何模擬運維人員行為的計算機技術，它可以是基于專家知識、經驗、自動化、機器學習、深度學習或它們的某種組合，通過“知識驅動+數據驅動”的手段實現智能自動化 IT 運營平臺。人工智能+安全的技術融合給行業帶來了新的期盼。無論是安全的AI還是AI的安全應用，都已成為學術、工業跨界的熱點話題。AI技術在諸多單點安全技術和指定場景中，如惡意軟件分類、惡意流量識別、入侵檢測等，呈現出不錯的效果。隨著SIEM、SOAR等關鍵技術的產業化，安全能力不再停留在堆砌設備的階段，數據、技術、流程與人員的“接口”被打通，安全運營逐漸得到行業各方的統一關注。而自動化安全運營，特別是基于AI技術的智能化方案，給我們描繪了美好的藍圖。AISecOps（智能安全運營）[6]技術正是安全運營與人工智能技術的碰撞，也是安全技術的重要發展方向之一。AISecOps技術是以安全運營目標為導向，以人、流程、技術與數據的融合為基礎，面向預防、檢測、響應、預測、恢復等網絡安全風險控制、攻防對抗的關鍵環節，構建具有高自動化水平的可信任安全智能，以輔助甚至代替人提供各類安全運營服務的能力。

目前，大多數的企業認識到了自動化和可編排對于交付人工智能應用的價值，但是在網絡安全領域的應用較少。SecXOps將XOps實踐擴展到網絡安全領域，從安全數據治理，ML模型，AI模型和底層基礎設施等各個階段建立強大的DevOps實踐，以支撐安全數據治理，安全模型訓練，管理和監控，為網絡安全的數據分析人員，ML工程團隊，應用開發團隊和安全運營團隊的協作搭建安全，兼容和經濟高效的平臺，從而實現基于AI的安全系統的持續交付。因此，安全分析自動化運營平臺從數據治理，模型定制，關聯決策，響應反饋四個層面完成智能安全運營系統的持續交付。數據治理層面，對數據的來源（網絡環境數據、威脅行為數據、威脅情報數據、安全知識庫等）以及預處理的質量進行自動化地評估，結合專家知識不斷地進行研判和反饋，促進數據治理的自動化；模型定制層面，打造安全運營模型定制全流程的自動化，覆蓋模型開發，模型訓練，模型評估，模型部署以及模型監控的各個環節；關聯決策層面，在動態復雜的安全環境中確保隨著時間的推移和環境的變化模型仍然會保持有效性，并且將多源異構數據包括模型的運行情況、威脅情報與安全專家經驗等全面融合關聯，生成可行動的決策輸出；響應反饋層面，執行決策，處置威脅事件和情報等，根據不同的運營目標、不同的安全場景（例如企業內網、工業互聯網、云計算等）獲取環境和專家的反饋，持續優化迭代，在運營流程中形成機器效率與運營不同階段的安全人員經驗融合的閉環，輔助AI模型在安全運營、攻防實戰中逐漸落地，避免安全分析自動化運營平臺成為“空中樓閣”。

四、總結

為了加快安全分析能力更全面、更深入的自動化，安全分析自動化運營平臺創建一個集成的用于Sec的XOps實踐，提升安全分析的場景覆蓋和運營效率。當然脫離實際的場景與任務目標將導致落地的失敗，在打造安全分析自動化運營平臺的過程中，不能止于亦步亦趨，做其他場景的跟隨者、方法的搬運工，理應針對安全分析涉及的場景，以及安全業務的自動化的實際需求所面臨的挑戰，打造自適應、持續迭代的自動化運營機制。DevOps發展至今成為了將IT全流程融入到應用整個生命周期中的過程、方法與系統的統稱，指引IT運營自動化的發展，并讓安全防護逐漸成為了整個項目團隊的共同責任，其衍生出的DevSecOps進一步強調了安全文化的變革，將”Sec” 嵌入軟件開發生命周期的每個階段，自然融入開發、交付和運營流程。安全分析自動化運營則是將”Sec”始于數據收集階段，嵌入安全運營涉及場景中的所有階段，形成以各個場景需求為導向的運營方案，促進智能安全運營不斷提升。

以上是筆者在探索搭建安全分析運營平臺中的一些思考，不成熟之處，請各位讀者不吝賜教