青藤鹊桥，自动化安全运营的三板斧

程老师是一位拥有丰富经验的安全老兵，3年前接手了某大型基金的安全运营管理工作。这魔幻的3年，给本不富裕的安全行业雪上加霜，但出乎意料，他却斗志昂扬。“程老师，你藏了什么好东西”，他狡黠一笑，“我找到了三板斧”。

何为安全运营的三板斧？以下来自程老师的自述。

第一板斧：自动巡检突破安全设备山

我刚到公司，想着先对安全能力做个盘点，看看下一步安全建设的方向，盘点完，血压直接就上来了。公司在不同时期，陆续采购了不同厂家的、各种技术栈的各种设备。早期的动态数据包过滤防火墙、反垃圾邮件，后来为了合规，搞了一些日志审计、恶意软件分析的系统，前几年还买了一些蜜罐和威胁情报，甚至还有一个烂尾的SOC。

为了捋清楚这些系统是不是还能正常使用，废了我老鼻子劲。你知道，这种重复的工作，我一般不会做第二次，所以就想调研看看有没有啥解决思路，结果遇到了“青藤鹊桥”这个法宝。你知道我们现在巡检怎么做了么？早上我到办公室，会收到一封邮件，里面是我们30多个设备的授权和健康状况，那些有问题的设备，早已经自动提交了工单。

第二板斧：自动处置化解告警龙卷风

在设备巡检的事情有思路后，我就对告警这块有些想法了，但实际情况远比我想象的要糟。最大的问题是，我发现人手全都被限制在告警上，规则优化了好几轮还是没有太大改善。尤其是流量告警，不看担心有风险，要是看，那一天别的基本上啥都不用干了，好不容易招的人不是跑了就是废了。没人愿意做这些重复的、机械的逻辑判断，大家都知道和机器抢活干迟早被淘汰。

现在有了“青藤鹊桥”，对于边界上的告警，我们贴着业务做一些自动的处置判断就能消灭大部分。比如像国外的IP，我们直接就封了，因为根本就没有国际业务嘛，再配合威胁情报，绝大多数告警都能自动处理掉。涉及到内网的告警，在人介入之前，也会自动做一些基础的数据调查，把关键的调查结果放在工单上一起提交，效率高还方便复盘。现在大家都是抢着处理工单，因为一旦发现安全事件，那可是头功。

第三板斧：自动分级跑赢资产攻击面

这几年我们最大的进步，就是安全建设思路清晰了。以前我们都是被告警追着满地跑，现在才发现之前的重点完全放错了。告警只是安全问题的表象，能被天天狼来了的告警耍的身心俱疲，根本原因是我们内部的安全管理是严重缺失的。最首要的是资产的管理，各种负载、应用、供应链的资产是不是能摸清楚。在这些细粒度的资产基础上，风险、漏洞是不是可以探明查清，需要紧急修复的有没有办法持续追踪。

就好比你是你家小区保安，如果对小区的建筑资产和安保风险都心中有数，那就不会有任何风吹草动都乱成一团。战时的关键是跑赢入侵者，但更重要的是在平时要跑赢攻击面。

说实话，最开始我是不相信这事儿能成的，因为资产太多了，漏洞也太多了。我不是装了5000点的主机么，最开始跑完扫描直接给我报了2万多个漏洞，人都麻了，差点原地辞职。结果，“青藤鹊桥”帮我们做了自动化的漏洞分级，1分钟就给出了排序结果。可以很清楚地知道哪些漏洞是最危险的要赶紧修复掉，哪些是没有POC或者EXP的可以往后放。

这三板斧让程老师迅速打开了局面。但是据他说，围绕“青藤鹊桥”这个法宝他可不止练了三招。比如攻击面梳理之后，如何结合自动化来做攻防演练，让备战演练不再过家家。比如那些发现的安全事件，如何结合自动化来做隔离溯源，让处置响应不再苦哈哈。比如那2万多的漏洞，如何结合自动化来做虚拟补丁，让漏洞收敛不再拖拖拉拉。……如此练下来，看来过段时间再见到程老师，又得刮目相看了……

关于作者：

Welder: 青藤平台产品事业部-自动化安全运营专家，主要负责自动化安全运营解决方案咨询与设计。