均勝電子與微軟攜手，構(gòu)建汽車行業(yè)信息安全運維體系

“在信息安全這一高度動態(tài)的領(lǐng)域，我們一直在研究其趨勢，并希望及時應對不斷變化的威脅形勢。具備綜合性和高效性的 Microsoft SOC 安全運維解決方案，可以協(xié)作我們整合現(xiàn)有的安全架構(gòu)、設(shè)備、工具和系統(tǒng)，實現(xiàn)全球業(yè)務范圍內(nèi)的安全運維一體化管理。通過自動化規(guī)則、即時報表和響應通知等功能，我們可以更快速發(fā)現(xiàn)并評估安全威脅，及時采取措施主動應對，這極大地提升了我們的安全運營效能。”—— 寧波均勝電子股份有限公司首席數(shù)據(jù)官 (CDO)余成波

作為一家全球領(lǐng)先的汽車電子與汽車安全供應商，寧波均勝電子股份有限公司(簡稱“均勝電子”)已經(jīng)與全球頂尖整車廠商建立了長期合作關(guān)系。均勝電子深知，只有持續(xù)提升產(chǎn)品質(zhì)量和服務水平，樹立卓越的品牌形象，才能贏得客戶的信賴與青睞。而確保公司內(nèi)信息系統(tǒng)、數(shù)據(jù)平臺的安全可靠，則是其重中之重。均勝電子采用基于Microsoft Sentinel 及 Microsoft Defender 產(chǎn)品服務構(gòu)成的Microsoft SOC(Security Operation Center，安全運維中心)解決方案，旨在幫助均勝電子實現(xiàn)以下目標：

● 提升安全管控能力：實施簡單，自動收集多源頭安全日志數(shù)據(jù)，并進行分析，快速了解安全威脅的最新情況及其可能造成的影響，及時采取措施應對。

● 提高安全運維效率：配置自動化規(guī)則，一旦檢測到安全威脅，自動觸發(fā)告警并通知相關(guān)人員，更快速地發(fā)現(xiàn)和處理安全事件，采用較低成本，提高運維效率。

● 增強安全風險感知度：發(fā)現(xiàn)公司未曾監(jiān)控的安全領(lǐng)域，并幫助公司提高對安全風險的感知度，更早地發(fā)現(xiàn)潛在的安全威脅，并采取措施加以防范。

● 實現(xiàn)全局安全透明度：提供全球化安全態(tài)勢報表，展示所有子公司安全狀況概覽，了解全球各子公司的安全狀況，并制定、推行更具針對性的安全策略。

均勝電子是一家典型的全球化企業(yè)，總部位于中國，并負責對分布在海外的四大核心業(yè)務實體進行管理。作為一家注重業(yè)務穩(wěn)健發(fā)展、并已成為汽車安全的龍頭企業(yè)，均勝電子一直以來都十分重視信息安全建設(shè)，并積極投資于諸多全球領(lǐng)先的安全工具。

“車企對信息安全的需求其實遠大于很多人的認知，一方面是公司本身的知識資產(chǎn)，另一方面是車主客戶的信息安全，特別是智能駕駛領(lǐng)域。這對于公司運營連續(xù)性、客戶信任和品牌信譽，以及法規(guī)遵從，具有重要意義，我們在這些方面必須要做得比以往更好。”——均勝電子首席數(shù)據(jù)官余成波

Microsoft SOC 安全運維中心使用 Microsoft Sentinel SIEM(安全信息與事件管理)能力和 Microsoft Defender XDR(擴展檢測與響應)能力所生成的數(shù)據(jù)來識別威脅，并使用 Sentinel SOAR(安全編排、自動化及響應)服務處理威脅和完成修復。這讓均勝電子的全球化 IT 環(huán)境，包括本地、云端、應用、網(wǎng)絡(luò)和設(shè)備，均得到了全天候監(jiān)控，并降低了本地基礎(chǔ)結(jié)構(gòu)的規(guī)模和復雜性。

提升安全管控能力

均勝電子在亞洲、北美、歐洲等主要汽車出產(chǎn)國均擁有生產(chǎn)基地布局，每個業(yè)務主體各自擁有獨立的 IT 安全團隊來把控信息安全決策權(quán)。因此，在信息安全標準制定、信息安全策略采用、信息安全等級落實，以及信息安全事件響應上，各子公司之間難免存在差異。“這種不對稱性很可能會導致我們在遇到安全事件時，需要花費較多人力和時間來定位問題根源，并做有效處置”， 均勝電子首席數(shù)據(jù)官余成波表示。

為避免因安全風險的評判標準、預防機制和應對措施不一致而導致的潛在風險，集團總部希望采用一體化技術(shù)手段來對各子公司的信息安全實現(xiàn)統(tǒng)籌管理。均勝電子經(jīng)過考察和對比，最終選擇了 Microsoft SOC 解決方案，并與 Microsoft 緊密合作，共同完成部署。

“它是一個統(tǒng)一的安全運營中心平臺，可以將來自不同國家、不同位置、不同工具的安全數(shù)據(jù)進行整合和分析，為均勝電子提供全面的安全態(tài)勢感知。”。”——均勝電子首席數(shù)據(jù)官余成波

均勝電子首席數(shù)據(jù)官余成波希望借助 Microsoft SOC 解決方案，讓均勝電子能夠在一個統(tǒng)一的平臺上關(guān)聯(lián)并打通所有安全工具和能力，形成一個自動化安全運維的管控平臺。而其中，部署 Microsoft Sentinel 并在實施后對其進行設(shè)置以連接安全服務的效率，比沒有該解決方案前至少將時間縮短了 80%。“這讓我們能夠以全方位視角洞察全球子公司的整體安全建設(shè)情況，包括安全事件的追溯和評判。Microsoft SOC 解決方案有效提升了均勝電子的全球一體化安全管控能力，為公司的穩(wěn)健發(fā)展提供了堅實的信息安全保障”。

優(yōu)化安全運維效率

“在當今的網(wǎng)絡(luò)環(huán)境中，安全運維效率極為重要”，均勝電子首席數(shù)據(jù)官余成波表示：“Microsoft SOC 解決方案為均勝電子賦予了一系列自動化 IT 運維和安全管控能力，幫助公司的信息安全團隊更快速發(fā)現(xiàn)和評估潛在的安全威脅，及時采取措施加以預防和響應。”

在正在運行的 Microsoft SOC 解決方案中，均勝電子實現(xiàn)了自動化日志收集和分析。“我們很早就將 Microsoft 365 作為辦公平臺，現(xiàn)在又引入了 Microsoft SOC 解決方案，二者之間無縫集成的特性，讓我們很容易掌控整個辦公平臺的安全態(tài)勢”，均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示。“除此之外，這套解決方案還可以自動采集來自網(wǎng)絡(luò)設(shè)備、服務器、殺毒軟件和防火墻等第三方安全產(chǎn)品和服務，以及 Windows 客戶端的安全日志，并進行綜合分析，為我們的安全團隊提供了重要數(shù)據(jù)支持，讓他們能夠快速了解安全威脅的最新情況及其可能造成的影響。”

基于 Microsoft Sentinel 實現(xiàn)的云原生 SIEM、SOAR和 UEBA 運維管理體系架構(gòu)。

Microsoft SOC 解決方案允許均勝電子的安全運維人員配置自動化規(guī)則和警報觸發(fā)響應機制。一旦觸發(fā)警報，安全運維中心就會以 Teams 消息方式自動傳達給所有相關(guān)人員，而且在警報中還包含了涉及影響的地理位置信息。

“這一能力大大提高了安全團隊的協(xié)同能力和工作效率，使我們能夠更及時了解安全威脅或安全事件的具體情況，并采取相應的應對措施，避免造成進一步損失。”——均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超

同時，均勝電子在 Microsoft SOC 解決方案中可即時獲取全球業(yè)務實體的安全報告，展示所有子公司的安全狀況，對各子公司的安全預警進行跟蹤和分析，并據(jù)此制定具有針對性的安全策略。

關(guān)鍵的，均勝電子還根據(jù)自身安全運維管理需求，在 Microsoft SOC 解決方案中添加了自動流劇本(Playbook)，這些劇本可以自動執(zhí)行常見的安全運維操作。均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示：“自動流劇本讓我們能夠?qū)⒉煌陌踩录獙α鞒虒崿F(xiàn)自動化和標準化。一旦出現(xiàn)安全事件，相應的 Playbook 就會被觸發(fā)，自動完成一系列檢查、分析和修復操作，極大減輕了安全運維人員的工作壓力。”

提高安全風險感知度

一直以來，均勝電子都在公司信息安全建設(shè)上力求不斷優(yōu)化，特別是對各種潛在風險的感知能力。均勝電子首席數(shù)據(jù)官余成波表示：“我們投資于諸多安全工具，目的是不遺漏任何一個盲區(qū)。隨著部署了 Microsoft SOC 解決方案后，我們開始意識到其實公司存在許多未曾監(jiān)控的安全領(lǐng)域，這些地方可能存在潛在的安全風險。Microsoft SOC 的最大意義就在于它能夠發(fā)掘這些我們不知道的地方，提高了對安全風險的全方位感知。”

在 Microsoft SOC 解決方案中，Microsoft Defender 是這種感知能力的具體實現(xiàn)手段，它為均勝電子帶來了全局的安全風險感知和抵御防護。Microsoft Defender 可以自動感知并發(fā)現(xiàn)來自身份、設(shè)備、郵件、文檔和應用等多個領(lǐng)域的安全風險。例如，Defender for Office 365 可以對 Microsoft 365 中信息訪問和使用異常行為發(fā)出警報。均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超表示：“ 通過 Defender for Office 365，可以協(xié)助我們智能響應并自動抵御釣魚郵件攻擊、惡意軟件帶來的隱患和風險，通過安全預警提醒運維團隊及時優(yōu)化必要的防范策略”。除此之外，Defender 還能及時發(fā)現(xiàn)可疑登錄、惡意軟件運行等各類高風險事件，助力均勝電子穩(wěn)固安全基線，提高整體安全事件響應速度。

使用 Microsoft Sentinel 中的數(shù)據(jù)連接器，自動導入 Microsoft 及其他安全產(chǎn)品的日志數(shù)據(jù)。

而要將這些來自不同源頭的安全事件有機整合，就需要依賴 Microsoft SOC 解決方案強大的數(shù)據(jù)采集、分析和關(guān)聯(lián)能力。

“我們使用 Microsoft Sentinel 作為數(shù)據(jù)平面，將 Microsoft 及第三方安全設(shè)備及產(chǎn)品的日志自動導入，并通過自定義警報規(guī)則和場景，及時發(fā)現(xiàn)各類潛在威脅。”——均勝電子網(wǎng)絡(luò)及安全經(jīng)理謝惠超

同時，Microsoft Sentinel 還為均勝電子的 IT 安全運維團隊提供了多維度可視化報表，使他們能夠清晰掌握關(guān)鍵指標，比如高風險事件的類型分布、員工行為異常比例等，從而更好地制定相應的安全策略。以此幫助安全運維團隊減少了高達 79% 的誤報，并將高級多點觸控調(diào)查所需的工作量減少了 85%。均勝電子首席數(shù)據(jù)官余成波談到：“更難能可貴的是，Sentinel 不僅覆蓋內(nèi)部安全數(shù)據(jù)，還通過對接 Microsoft 威脅情報庫，為我們提供了外部威脅的實時情報，真正做到縱深防護。”

一旦出現(xiàn)安全事件，第一時間通過 Teams 消息將警報送達安全團隊。

“在進行事件響應時，我們會結(jié)合 Sentinel 的規(guī)則和報表分析，以及 Defender 的檢測結(jié)果，準確判斷每一個安全事件的實際嚴重程度，從而高效部署資源，及時采取針對性的緩解措施，有效控制了風險擴散”，均勝電子首席數(shù)據(jù)官余成波表示，“可以說，Microsoft SOC 解決方案從根本上改變了我們的安全運營模式，使我們從過去的被動防御，轉(zhuǎn)變?yōu)橹鲃映鰮簦袑嵦嵘藢Π踩L險的感知和應對能力。相信未來通過不斷深化此方面的實踐，我們一定能為公司的信息安全防線增添更多硬核力量。”

實現(xiàn)全局安全透明度

均勝電子的中國區(qū)業(yè)務占比 25%，而海外業(yè)務占比高達 75%，海外員工占比非常高。這意味著，從公司整體信息安全建設(shè)角度來看，掌握海外子公司信息安全狀況的透明度至關(guān)重要。但是，在海外并購后形成的“聯(lián)邦式”IT 架構(gòu)下，各子公司的 IT 安全團隊擁有獨立性和自主性，要想了解某個子公司是否存在安全隱患，需要耗費大量時間等待他們自己的 IT 安全團隊進行調(diào)查和匯總;而且，各子公司的 IT 安全團隊對威脅風險的評判標準存在差異。

“作為一家高度全球化的大型企業(yè)集團，均勝電子一直希望對遍布世界各地的子公司的安全狀況保持全局透明度。直到我們借助 Microsoft SOC 解決方案打造了集團層面的統(tǒng)一安全運維平臺，一切終于有了較為圓滿的答案。”——均勝電子首席數(shù)據(jù)官余成波

在均勝電子所采用的 Microsoft SOC 解決方案中，Microsoft Sentinel 負責自動導入全球子公司的安全日志數(shù)據(jù)，通過設(shè)置規(guī)則和場景，對這些數(shù)據(jù)進行智能分析和關(guān)聯(lián)，及時發(fā)現(xiàn)不同的潛在安全事件。“同時，Sentinel 與 Microsoft XDR 檢測響應平臺無縫集成，確保我們能第一時間獲取最新的威脅情報和異常行為檢測結(jié)果”， 均勝電子首席數(shù)據(jù)官余成波表示。

更為重要的是，Microsoft SOC 能夠匯聚這些源數(shù)據(jù)，為均勝電子生成直觀的全球安全報表，使集團總部的 IT 安全團隊可以毫無障礙地監(jiān)控各個子公司和業(yè)務線的安全態(tài)勢。均勝電子首席數(shù)據(jù)官余成波表示：“我們不僅能一目了然地了解每個分支機構(gòu)面臨的風險類型和嚴重程度，甚至可以針對高風險領(lǐng)域制定統(tǒng)一的防護策略和最佳實踐，切實做到高位統(tǒng)攬。”

Microsoft Sentinel與第三方網(wǎng)絡(luò)安全解決方案日志數(shù)據(jù)集成，全局展示并監(jiān)測可能的安全隱患。

有了這種前所未有的透明度和統(tǒng)一視角，均勝電子的 IT 安全團隊終于可以及時發(fā)現(xiàn)以往那些原本在可見視野之外的安全隱患，并做到防患于未然。與此同時，各子公司也擺脫了之前分散作戰(zhàn)、重復建設(shè)的模式，整個集團的安全運維成本也隨之大幅下降。均勝電子首席數(shù)據(jù)官余成波表示：“更值得驕傲的是，通過不斷提升子公司的安全能力，我們不僅提高了業(yè)務運營的連續(xù)性，更增強了客戶對均勝電子品牌的信賴”。

是的，正是通過 Microsoft SOC 解決方案，均勝電子實現(xiàn)了對集團全球化安全狀況的統(tǒng)一監(jiān)控和透明管理。

“這無疑是我們信息安全建設(shè)的一個重大里程碑。但是，我們并不會就此止步，因為在數(shù)字化轉(zhuǎn)型的浪潮下，新興技術(shù)與新型威脅齊頭并進，安全防護的要求也必須日益提高。我們將繼續(xù)緊密與 Microsoft 合作，不斷完善和創(chuàng)新，努力打造一個真正可持續(xù)化完善的安全防護體系。”——均勝電子AIS部門負責人孫誠

均勝電子已經(jīng)開始使用Copilot for Microsoft 365 智能服務來幫助員工提升辦公效率，但與此同時，均勝電子也意識到，AI 工具的應用場景和功能邊界的擴張也可能帶來全新的安全挑戰(zhàn)。因此，均勝電子首席數(shù)據(jù)官余成波表示：“我們希望借助 Microsoft 在 AI 與安全領(lǐng)域的雙重優(yōu)勢，結(jié)合 Copilot for Security 安全智能副駕，為我們的 IT 安全運維團隊提供更為智能化支持，全面提升信息安全管控的精準性、高效性和智能化水平。”

（來源：微軟科技）