近日，国际知名咨询机构Gartner发布《Market Guide for Managed Detection and Response Services, China》报告（以下简称《报告》），报告对MDR（Managed Detection and Response Services，可管理检测与响应）服务在中国的市场情况及发展方向进行了分析和预测。安天常态化安全运营服务入选该报告。

▲来源：Gartner《可管理检测与响应服务中国区市场指南》报告

Gartner在报告中指出，目前国内MDR的核心项包括：7*24小时监测、安全事件应急、发现和响应、威胁情报、威胁猎杀等指标，但同时指出不同规模组织对MDR诉求并不相同：

1.小型规模组织安全设施匮乏，需借助MDR服务快速形成基本的检测和响应能力，同时满足法律法规和标准（如等保2.0体系）的安全基线要求，并响应小概率安全事件或应对小范围影响；

2.大型组织通常具备较为成熟的安全防护体系，但在安全告警和事件响应及处置方面存在效率低下和误报率高的问题，亟需利用MDR服务提高深度威胁检测能力，并关注高价值资产防护，形成闭环的安全告警自动化响应和处置，针对关键信息安全事件投入更多的专家力量。

安天二十多年以来一直站在威胁对抗前沿，持续挖掘和分析网空威胁行为体的关键特征，通过安全产品和安全服务相结合进行威胁发现、防范和处置，协助客户建立有效的安全防护体系。安天以威胁对抗为核心，以持续性威胁猎杀为基础手段，协助客户开展常态化安全运营服务，为客户构建持续安全运营体系，打造安全运营能力，提升动态防御、主动防御水平。安天通过常态化安全运营服务，支撑客户逐步开展业务运营、数据运营和安全运营，随着不断优化演进，最终达成集业务、数据和安全为一体的自动化运营。

安天的常态化安全运营可为规模不同以及安全运营成熟度不同的组织，提供积木组合式安全服务，并将常态化安全运营划分为以下四个层面：

1.安全运营体系建设

安天认为“安全运营”成败的关键，在于客户自身的运营流程，安全服务厂商在其中需要扮演的是能有效与用户流程耦合赋能的角色。安天根据客户安全运营成熟度，判定自身需要扮演的角色。将自身融入到高成熟度客户的流程体系中，强化有安天特色的能力运营支撑强点。同时协助低成熟度客户建立或改善安全运营体系，协助客户设立安全运营组织机构，健全安全运营管理制度体系和应急预案体系，强化关键环节的安全运营协同机制，确保客户的网络安全工作在安全运营组织机构的带领下能井然有序的开展。

2.前置安全评估

安天以全生命周期视角看待客户资产安全运营。协助客户做好安全运营的起点，把风险管控于系统上线之前。针对拟上线设备和系统完成漏洞检测、威胁检测等基本合规动作，同时协助用户针对不同场景用途主机的要求建立差异化的安全基线模板，覆盖可信引导链、安全策略配置、执行体环境和行为管控策略等基线要素，通过同步基线策略，构建对上线系统的治理基础，并推送到后续的实时防护流程中。对高安全需求客户，安天还协助客户从设备上线开始，实现从全量执行对象和完整系统环境与配置的全量识别、清晰化与存档。

该服务可以和安天产品有效融合，安天专门研发了系统上线安全检查设备，辅助安全运营者完成相关工作，实现全量执行体和环境配置识别，实现接近STIG级别的复杂配置同步。针对业务系统上线，安天协助客户检查系统的安全设计，进行从二级制到代码的安全分析评估，形成供应链成分清单，在客户基于DevOps推动弹性的数字化转型的过程中，安天通过RASP部署结合等方式，让应用与安全基因结合。

3.事件应急响应

安天基于重大安全事故、恶意代码事件、漏洞曝光、威胁风险线索等情况，助力客户实施安全事件应急响应。安天的应急响应团队7*24小时待命，确保在安全事件发生的第一时间抵达客户现场响应安全事件，协助客户定位事件源头，及时阻断事件横向蔓延，分析事件发生起因和过程，恢复现场损失，并加固相关脆弱性，防止事件再次发生。

4.常态安全运营

安天坚持防御者和防御资产场景双服务对象主体原则。面向防御资产场景，安天基于资产与系统、应用与执行体、网络与拓扑、身份和账户、数据与业务五个层面协助客户构建基础运营的层次，协助客户梳理资产、建构安全资产台账，跟踪系统是否与安全基线一致。为实现系统、拓扑、业务、数据流向提供建议，协助客户实现数据分类分级，持续开展数据安全治理。基于安全产品的运营结果，不断挖掘新的暴露面、脆弱性和威胁事件。联动进行威胁研判是否需要触发重大事件响应处置流程。

同时，安天坚持认为防御者是网络安全的核心，是最具能动性的因素。安天实时跟进国家和监管部门法规、政策、标准研判，协助客户进行合规研判，开展从面向一般信息系统使用者的安全意识培训到面向安全防御者的安全技能培训和演训活动，和客户共同提升安全技能。

安天智甲、探海、追影等威胁对抗产品体系能为上述服务提供防御响应和情报生产的有效支撑。

▲安天常态化安全运营服务框架图

安天认为在客户资源极为有限的情况下，更需要实现安全资源投入分配的最优化，全生命周期和常态化管控风险，避免陷入到日常马放南山，重保死看死守的负螺旋中。而常态化的安全运营服务，核心就是充分考虑到业务组织和IT环境的特征，以及实际安全需求，有效降低安全运维压力，随时掌握安全态势，持续进行威胁对抗，帮助客户规避安全风险，有效解决Gartner提出的快速和有效响应的问题（Rapid and Effective Response Should Be Addressed by MDR Services）。

同时，安全服务不是安全驻场服务人员和攻击者的“个体对决”，而是一个在产品工具化、情报赋能和专家经验支撑下的体系对抗。为此安天专门为安全服务工程师打造了拓痕应急处置工具箱，内置了主机系统分析处置工具、便携式探海威胁检测系统、便携式追影威胁分析系统。同时可以实现点对点的呼叫后场支撑专家，通过云端获取后端高级安全专家赋能。安天基于海量探针和情报共享体系建立起的感知能力，从外部感知客户关联性风险，实现定向推送。同时基于ATID和AVL insight威胁情报平台，实现对工程师的后场平台支援，实现服务与安全产品结合，实现7*24小时的监测、响应、处置的闭环运营，在不同阶段安排MDR服务专家进行不同级别的验证，缩短响应时间，降低安全建设成本，提高响应和处置的效率。