近日，国际知名咨询机构Gartner发布《Market Guide for Managed Detection and Response Services, China》报告（以下简称《报告》），报告对MDR（Managed Detection and Response Services，可管理检测与响应）服务在中国的市场情况及发展方向进行了分析和预测。安天常态化安全运营服务入选该报告。

▲来源：Gartner《可管理检测与响应服务中国区市场指南》报告

Gartner在报告中指出，目前国内MDR的核心项包括：7*24小时监测、安全事件应急、发现和响应、威胁情报、威胁猎杀等指标，但同时指出不同规模组织对MDR诉求并不相同：

安天的常态化安全运营可为规模不同以及安全运营成熟度不同的组织，提供积木组合式安全服务，并将常态化安全运营划分为以下四个层面：

1. 安全运营体系建设

安天认为“安全运营”成败的关键，在于客户自身的运营流程，安全服务厂商在其中需要扮演的是能有效与用户流程耦合赋能的角色。安天根据客户安全运营成熟度，判定自身需要扮演的角色。将自身融入到高成熟度客户的流程体系中，强化有安天特色的能力运营支撑强点。同时协助低成熟度客户建立或改善安全运营体系，协助客户设立安全运营组织机构，健全安全运营管理制度体系和应急预案体系，强化关键环节的安全运营协同机制，确保客户的网络安全工作在安全运营组织机构的带领下能井然有序的开展。

2. 前置安全评估

安天以全生命周期视角看待客户资产安全运营。协助客户做好安全运营的起点，把风险管控于系统上线之前。针对拟上线设备和系统完成漏洞检测、威胁检测等基本合规动作，同时协助用户针对不同场景用途主机的要求建立差异化的安全基线模板，覆盖可信引导链、安全策略配置、执行体环境和行为管控策略等基线要素，通过同步基线策略，构建对上线系统的治理基础，并推送到后续的实时防护流程中。对高安全需求客户，安天还协助客户从设备上线开始，实现从全量执行对象和完整系统环境与配置的全量识别、清晰化与存档。

安天基于重大安全事故、恶意代码事件、漏洞曝光、威胁风险线索等情况，助力客户实施安全事件应急响应。安天的应急响应团队7*24小时待命，确保在安全事件发生的第一时间抵达客户现场响应安全事件，协助客户定位事件源头，及时阻断事件横向蔓延，分析事件发生起因和过程，恢复现场损失，并加固相关脆弱性，防止事件再次发生。

4. 常态安全运营

安天坚持防御者和防御资产场景双服务对象主体原则。面向防御资产场景，安天基于资产与系统、应用与执行体、网络与拓扑、身份和账户、数据与业务五个层面协助客户构建基础运营的层次，协助客户梳理资产、建构安全资产台账，跟踪系统是否与安全基线一致。为实现系统、拓扑、业务、数据流向提供建议，协助客户实现数据分类分级，持续开展数据安全治理。基于安全产品的运营结果，不断挖掘新的暴露面、脆弱性和威胁事件。联动进行威胁研判是否需要触发重大事件响应处置流程。

同时，安天坚持认为防御者是网络安全的核心，是最具能动性的因素。安天实时跟进国家和监管部门法规、政策、标准研判，协助客户进行合规研判，开展从面向一般信息系统使用者的安全意识培训到面向安全防御者的安全技能培训和演训活动，和客户共同提升安全技能。

安天智甲、探海、追影等威胁对抗产品体系能为上述服务提供防御响应和情报生产的有效支撑。

▲安天常态化安全运营服务框架图

安天认为在客户资源极为有限的情况下，更需要实现安全资源投入分配的最优化，全生命周期和常态化管控风险，避免陷入到日常马放南山，重保死看死守的负螺旋中。而常态化的安全运营服务，核心就是充分考虑到业务组织和IT环境的特征，以及实际安全需求，有效降低安全运维压力，随时掌握安全态势，持续进行威胁对抗，帮助客户规避安全风险，有效解决Gartner提出的快速和有效响应的问题（Rapid and Effective Response Should Be Addressed by MDR Services）。