【洞见·TMT】

　　攻防对抗日趋激烈，攻击路径愈发隐蔽，防御体系在实战中不断迭代——这是当前行业对网络安全态势的共识。近日，在CSOP2025网络安全运营实战大会（北京站）上，多位深耕一线的安全专家，围绕实战安全运营的难点与破局之道，分享了各自的观察与实践了，合力构建更具韧性的安全防线。

　　实战中还面临不少“硬骨头”

　　实战在网络安全中居于核心地位，是检验防御体系有效性、提升应对能力的关键标志和终极目标。

　　“我们的安全运营面临八大硬核难题，包括钓鱼攻击、漏洞管理、海量告警、高质量日志缺失、凭证泄露与滥用、加密流量检测、攻防时间不对称以及不断扩大的攻击面。”微步在线创始人兼CEO薛锋坦言，要想解决这些问题，必须回归安全运营本质，通过提升基础能力实现安全能力质变，而非盲目追逐热点。

　　攻击路径的演变也让防御更具挑战。微步在线技术合伙人赵林林发现，如今的攻击更复杂、更隐蔽，甚至出乎意料，“想要在实战攻防演练中获得高分并非易事”。他认为，应对之策在于精准识别供应链环节风险点，“利用情报收集、厂商协同、快速响应层出不穷的0day，并通过攻击行为与技术特征快速研判对手水平，消耗并压制对方攻势”。

　　具体到办公终端而言，微步在线技术合伙人黄雅芳指出，面对钓鱼木马、漏洞攻击及合法凭据、工具的滥用，即便是EDR这类高级威胁对抗技术，也常陷入困境：“理解复杂攻击行为不易准确理解、检测的实时性与准确性之间难以平衡、被致盲与绕过等”。这要求安全运营必须做到“及时的检测响应、常态化的威胁狩猎、构建企业特有的检测能力”。

　　防御要从被动变主动

　　在实战化安全建设与运营过程中，许多嘉宾不约而同的提到了主动二字。

　　京东方信息安全中心总监李楠介绍，京东方以资产安全为驱动，通过基础平台建设、功能完善、运营优化和效率提升四个阶段，构建了覆盖资产全生命周期的智能安全运营体系，驱动安全能力从被动防护向主动防御演进。

　　金山云企业安全负责人刘鹏介绍了企业安全在梳理、评估、布防、演练、保障等阶段的要点。就攻击新态势而言，他认为，包括攻击频率加快、规模扩大，攻击手段更加多样、隐蔽，攻击目标转向集权、核心系统，攻击流程更加自动化、智能化。在他看来，唯有“主动防御+纵深防御”形态，才能更好抵御网络攻击。

　　顺丰科技网络安全总监梁博从甲方视角分享了实践，通过构建以威胁情报为核心、威胁狩猎为关键手段的主动安全运营体系。并基于XDR理念，构建了检测响应安全工具链，在实战持续优化，初步形成安全运营驾驶舱，确保在攻防对抗中争夺并掌握制信息权，有效应对包括APT和0day在内的高级威胁。

　　但同样需要注意的是，在当前复杂的环境下，安全建设并非一蹴而就，而是要坚持长期主义。中信集团网络安全专家李显旭强调安全建设的长期主义：“坚持可持续性的建设、可升级的安全体系和主动塑造的企业安全生态相结合，围绕终端安全的‘投递—执行—控制’三阶段实施三步防护策略，以实现经济、有效、可控的集团化安全防护，推动安全建设从威胁驱动转向风险驱动”。

　　AI技术让防御更高效

　　随着以人工智能为代表的新技术的广泛应用，攻防两端都随之发生改变，传统的网络安全防护思路在应对新型威胁时，或许已不再适用。换言之，人工智能正为安全运营注入新动能，但其应用需立足实际需求。

　　“传统SOC运营中，存在告警过载、响应延迟、标准化难度高及人才短缺等诸多痛点。”猿辅导信息安全负责人温飞表示，解决方案是建设基于大模型的智能运营三层架构，通过降噪层实现AI告警精准过滤，决策层构建人机协同研判机制，自治层执行安全边界内的剧本自动化响应。

　　中国科学院计算机网络信息中心高级工程师赵静认为，AI驱动的网络安全不应是简单的自动化或智能化，而是要构建一个以数据为燃料、以AI为引擎、以持续对抗为进化压力、以人机协同为控制中枢的动态有机体，能够自动优化监测策略，提升对高级隐蔽攻击的检测与智能处置能力。

　　针对校园网双向流量大、设备多样、用户广泛的特点，清华大学校园网网络安全负责人姚星昆将运营思路概括为“四化”：“复杂的事情简单化，简单的事情标准化，标准的事情流程化，流程的事情自动化”，通过动态、智能、自动化的安全运营，实现“策略设定-发现问题-处置问题-处置确认-优化策略”的完整闭环。

　　总的来看，这些来自一线的实践与思考，正为网络安全运营提供着更清晰的路径——在实战中打磨能力，在协同中筑牢防线，让安全体系更具韧性。（记者 雷渺鑫 李政葳）