MSS网络安全运营托管服务

销售场景一指禅

内蒙古网智科技服务有限责任公司

不是必成秘籍却是，必成路上的小工具

CONTENTS

01 聊场景

快速找到匹配MSS的目标场景 目录

02 讲故事

通过真实故事，抛出问题引发共鸣，找到用户的需求痛点

03 讲方案

客户应该怎么做、我们的解决方案是如何解决客户的问

题、有哪些优势

04 讲效果

通过视频演示实际效果给客户看

聊场景

快速找到匹配MSS的目标场景

01.

MSS销售场景

4

期望能够提升单位的安全事件预防能

力，前期做好风险排查和预防，能够

及时发现安全问题；当安全事件发生

时能够快速组织力量响应，帮助单位

及时止损，降低安全事件发生的概率。

安全事件预防与响应

人机共智，运营赋能，主动闭环

基于人工智能技术，实现安全专家与机器协同，为用户提供安全运营服务

期望有一个高水平的安全服务团队协

助处置各种安全工作，特别是针对已

发现安全问题的闭环处置，缓解专业

安全人才缺乏的压力；

安全问题闭环

期望能够先于监管单位发现问题，

提前解决问题；降低被监管或主管

单位通报的概率，缓解被通报带来

的压力。

通报风险管理

发挥现有安全设备的最大价值，

提升组织的安全保障能力；降低

安全事件发生的概率，规避因为

安全事件带来绩效或者仕途上的

风险。向上级呈现网络安全工作

的价值，从多个维度展示工作成

果并以量化数据支撑汇报。

效果保障及价值呈现

讲故事

通过真实故事，抛出问题引发共鸣，找到用户的

需求痛点

02.

讲故事

01 资产管理困难的故事

03 防守策略无效的故事

02 脆弱性难修复的故事

04 事件响应被动的故事

01 资产管理困难的故事

故事1

全国抗疫期间，MSS推出免费值守服务，不到一个月的时间，全国就有500多位用户上线体验了

MSS免费值守服务。MSS上线第一步就是梳理用户的数据中心资产情况，我们发现几乎没有一个

用户可以说清楚他们有多少需要值守保护的资产(资产包括但不限于业务系统、中间件、数据库、

虚拟机、服务器、网络设备、IP、端口)。如果资产情况不清楚，优化安全策略的时候就没办法全局

覆盖所有资产，精准拦截攻击根本无从谈起。

01 资产管理困难的故事

故事2

攻防演习期间，某央企集团用户，在防守后期，突然接到GAB通知，核心生产网XX业务系统被打穿。

组织专家对GAB提供的攻击链分析发现，突破口是一个未知业务系统，部署在互联网区的废弃业务系统，

两年前进行业务升级的时候没有对老版本及时清理，导致IP地址和端口依旧可以访问，而且存在大量漏

洞问题，防火墙策略在维护过程中自然也没有为这个业务配置防护策略，这是一个非常典型的利用影子

资产成功突破防御边界的真实案例。

接下来如何挖商机

领导，咱们单位资产管理这块是怎

么做的？有没有遇到同样的困难？

抛问题

梳理台账

利用资产台账进行资产梳理

主动探测

利用资产探测工具主动发现在网资产

被动监测

利用全流量分析工具对全网资产进行监测，当残余资产

被访问或者攻击立刻预警并触发处置流程。

变更探测

同期性探测录入资产可用性以及资产台账变更状态

（设备指纹级别）；同时主动发现是否有新增资产。

触发流程

发现资产变更或可用性问题，触发服务工单与流程，通

告用户，并更新资产信息。

维护台账

安全运营中心提供线上的资产台账，实现资产信息的及

时更新和高度可信。

给思路

主动+被动双机制监测并识别资产，清理影子资产，适应变更资产

MSS在资产管理困难方面的核心价值

掌握资产状况，从保护对象（资产）出发，

构建持续有效的安全运营机制，降低被通报风险。

02 脆弱性难修复的故事

故事1

某高校用户：“我们每年都会进行漏洞扫描，但是扫出的漏洞数以千计，报告中的漏洞排列非常粗放，不

知道漏洞对业务的影响有多大，哪些漏洞要先修复，也不知道怎么修复，只有一堆漏洞报告，根本 没有太

大价值，我们需要一个明确的漏洞修复指导，不是一堆漏洞报告”

02 脆弱性难修复的故事

故事2

某制造企业用户，上班期间核心业务突然中断，溯源分析后发现，有黑客利用漏洞攻击，入侵了他们的数

据中心(WebLogic-WLS组件远程命令执行漏洞)，黑客在存在漏洞的服务器里面部署了挖矿病毒，该程序会

消耗大量的主机CPU资源，导致资源耗尽，影响业务系统正常运行。近几年，最新漏洞的武器化时间越来

越短，在发现最新漏洞时，用户缺乏精确化的危害评估和风险规避手段。

接下来如何挖商机

IT资产底层都是软件，软件是人写的,漏洞必然存在,而且会

不断的暴露出来，永远解决不完,那么已经发现的漏洞,哪些

是高危的，可利用程度如何?是否可以修复?怎么修复?不少

漏洞又无法修复,带漏洞运行, 又该如何规避风险?另外系统

的前端和后台有大量的账号和口令，是否又有弱口令问题?

抛问题

已知漏洞管理

漏洞识别与分析:安全专家对扫描到的漏洞进行确认并进行优先级排

序(传统方法基本就到这一步)。

漏洞重要性排序:综合威胁情报、资产等级、漏洞危害害性等要素进

行重要性排序。

漏洞修复状态跟踪:提供可落地的漏洞处置指导方案，协助用户现场

人员处理，并通过安全运营中心跟踪漏洞的闭环修复情况。

最新漏洞通告和排查

情报监测:实时监测国家主管机构(CNVD、CNNVD)、第三方漏洞情

报及我公司挖掘的漏洞数据。

关联分析:安全运营中心对检测到的漏洞数据与资产信息库进行关联

验证。

预警与响应:安全专家对最新漏洞进行通告与排查，并提供处置建议。

安全加固:协助用户现场人员处理，并同步处理结果到安全运营中心。

跟踪复测:安全运营中心开启漏洞复测流程,确认漏洞是否成功修复。

给思路

真正意义的漏洞管理不只是发现

MSS在脆弱性难修复方面的核心价值

通过关键绩效和风险指标展示安全风险控制情况

降低因为漏洞问题而被通报风险，

减少被黑客利用机会。

03 防守策略无效的故事

故事1

北京某知识产权公司，存储近10年知识产权数据的服务器被黑客勒索加密，直接影响到公司的生死

存亡(交赎金解密)，老板大怒“我们花了近30W买的安全设备就是一堆废铁吗? ”后面我们在应急时

候发现，用户只开启了防火墙 NAT转换和基于IP/端口的访问控制功能，IPS、WAF等策略完全没有

启用。我们还了解到，2年间用户没有优化过一次安全策略，把防火墙当成路由器在使用。

03 防守策略无效的故事

故事2

去年攻防演习期间，某能源企业，邀请三家安全服务商做HW防守工作。用户在进行边界防火

墙和服务器区WAF安全策略梳理的时候发现，相同位置的防火墙，三个厂商给了三套不同的策

略优化建议，没有一套策略对业务资产进行了完整梳理，不是深度分析脆弱性及暴露面问题后

给出的策略建议，完全依赖人工配置，而且在攻防演习期间也无法实时掌握业务的内外部威胁

变化情况，无法客观适应业务资产、脆弱性和威胁的变化，攻防对抗和精准拦截根本无从谈起。

再牛逼的人都是主观的，完全依赖人工是不可行的。人的精力是有限的，肯定无法做好持续有

效的防守策略，有效防守需要实时对资产和暴露面进行监测，深度分析脆弱性和内外部威胁问

题，并且需要结合威胁情报，才能形成适应业务资产、脆弱性和威胁变化客观的防守策略。

接下来如何挖商机

资产、脆弱性和威胁会动态变化，如何有效

防守？资产发生变化应该如何调整安全策略？

新型威胁消息如何第一时间掌握并优化安全

策略？持续性攻击如何快速识别并阻断？

抛问题

基于已知威胁的动态安全策略管理

实时对资产和暴露面进行监测，深度分析脆弱性和

内外部威胁问题，形成适应业务资产、脆弱性和威

胁变化客观的防守策略。

基于新型威胁的攻击对抗

威胁情报:攻防专家、数据科学家、安全分析师利用

Al驱动UseCase日夜不停分析海量安全日志，挖掘

新型威胁;并且有国内外安全机构合作共享威胁情报。

威胁预警及规避:主动检测被运营的资产是否受到影

响(感染)，是否会受到影响(是否有漏洞、边界是否

有开启有效防护策略)，形成预警信息，通知用户并

协助处置

给思路

再牛逼的人都是“主观的”，运营中心是“客观的”，

只有运营中心能百分百客观地分析安全问题。

MSS在防守策略无效方面的核心价值

把现有安全设备的效果进一步发挥出来，提升组织的安全保障能力；

大幅降低安全事件发生的概率，规避因为安全事件事业来的责任追究。

04 事件响应被动的故事

故事1

现在大多数组织，应对安全事件基本都是救火式应急，等着被通报、或者被投诉才能发现安全事件。

比如某部委用户，专网100多台核心服务器被勒索病毒加密，核心业务受到严重影响，要知道这样的

单位每年都会组织应急演练，一个小时之内就能组织起最强的应急力量，但是问题还是发生了，为

什么呢?溯源以后发现，江苏某地市的基层单位将一个 Web 业务违规外联到了互联网，黑客利用这

个业务作为跳板，利用 RDP爆破，在内网漫游渗透了两个月，最终在100 多台服务器里面植入了勒

索病毒，两个月时间毫无感知。对安全事件毫无感知能力，导致了巨大的业务损失，用户的安全组

织架构随后也发生了很大的调整。无法持续监测网络安全设备中的事件告警信息，往往都是被监管

单位通报或者被业务部门投诉后，才被动响应安全问题，处置完以后会承担一定责任后果。

接下来如何挖商机

面对摸不着看不见的安全事件，被动响应只

会加大处置难度，带来更大的损失;如何主动

发现，并快速止损呢?咱们应对安全事件进

行响应时，是否存在资源协调困难、响应人

员对网络和资产情况不了解、处置时间长、

损失大问题?

抛问题

给思路

持续监测安全事件，主动发现事件，主动处置闭环事件。

应急预案

安全运营中心针对潜在事件制定相应预案，并明确各人员分工

及配合机制，确保预案有效。

持续监测及分析

通过全网(SIP)、边界(AF)、终端(EDR)全面监测安全事件,一

旦发生安全事件，则按照预案开展前期处置工作，并对安全事

件进行检测分析。

控制、根除及恢复

分析确定攻击来源,立即采取行动进行控制，并进一步分析造

成安全事件的原因，快速采取措施进行根除，尽快恢复业务正

常运转。

总结优化

事件处理完毕后，根据整个事件情况进行分析汇总输出《应急

响应报告》，同时给出针对本次事件的后续改进方案。

MSS在事件响应被动方面的核心价值

从模式上颠覆救火式应急响应慢、损失大、处置不闭环的问题。

讲方案

客户应该怎么做、我们的解决方案是如何解决客

户的问题、有哪些优势

03.

网智科技网络安全运营托管服务

运营组件 MSS安全运营服务

安全运营团队

网 智 科 技 安 全 运 营 中 心

资产管理

漏洞管理

事件管理

威胁管理

攻击者

责任人

持续有效，更安全

全程保障，更省心

随时随地

掌控网络安全

网智科技网络安全运营托管服务

03

安全运营团队

安全运营中心专家团队通过远程或者上门方

式进行处置，并对处置结果进行价值汇报。

02

MSS安全运营服务

安全运营平台对收集的流量信息进一步挖掘，对用

户安全状况的持续监测,一旦发现问题及时告警;借

助网智科技安全专家团队的专业能力, 对发现的问

题进行及时处理,形成问题的主动闭环; 围绕安全风

险的四个要素(资产、漏洞、威胁和事件),帮助用户

建立起持续监测、主动闭环的安全运营机制。

01

运营组件

在网络汇聚处部署SIP/NTA/AF或服

务器上部署EDR，全面收集客户端

的全网流量信息，为后端的安全运

营平台和安全专家的深度分析提供

基础来源。

人机共智 运营赋能 主动闭环 7 × 24小时

网智科技网络安全运营托管服务分工协作

对接服务用户， 7×24小时监

测及通知安全事件。

01 全员参与安全监测

负责人安全事件的溯源应急处

置等工作。

02 部分人员溯源应急处置

负责对使用案例的效果优化，

进行安全研究，发现更多安全

事件。

03 部分人员研判

不同的分工协作确保安全服务高质、高效、高量

网智科技网络安全运营托管服务给客户带来的价值

持续在线,有效保护

网智科技安全运营中心7 × 24H在线持续监

测网络安全问题，动态适应资产、漏洞和

威胁的变化，实时保护业务安全。

高性价比，一站交付

无需投入专人和大量资金，即可构建

完善（技术+人员+流程）的安全运营

体系，获得TOP级单位的安全能力。

闭环问题，呈现价值

网智安全服务专家，按需提供专业援

助，大大降低安全压力。

专家护航，缓解压力

主动上门处置安全问题，将风险降到

最低；定期汇报呈现安全工作价值。

看效果

通过视频演示实际效果给客户看

04.

销售MSS可以带来哪些价值

VS

卖产品（供货关系）

弱依赖 强依赖

卖安全运营（服务关系）

交互动作 带货机会

设备上架 弱

技术咨询 弱

故障咨询 弱

维保服务 弱

交互动作 带货机会

项目启动 弱

持续监测 强，掌握问题

主动响应 中，加强粘性

上门处置 中，加强粘性

根因分析 强，加固规划

定期汇报 强，年度规划

专业咨询 强，其他需求

到期续费 强，续费扩容

安全运营托管服务通过安全运营平台持续监测用户网络、流量和终端中的资产、漏洞、弱口令、威胁、事件等安全问题，

利用网智科技的运营机制调动线上线下的安全专家团队帮助用户解决问题，

大量的交互动作不仅可以让和客户产生依赖，还可以利用安全问题带动其他方案销售。

销售MSS可以带来哪些价值

主动上门处置安全问题；

定期汇报，呈现安全工作价值

闭环产品/方案问题

通过安全运营平台可以深度了解用

户安全现状和需求，例如：资产、

漏洞、威胁、事件、用户期望等

深耕用户需求

卖安全运营带来的是服务关系，不

是简单的供货关系，通过持续地运

营用户安全问题，主动帮助用户解

决安全问题，用户会产生依赖。

升级用户关系

安全运营服务在主动响应、季度汇

报、年度汇报等环节融入了整改方

案，可以挖掘升级加固、年度规划、

续费扩容等机会。

精准投递方案

无运营 不安全

内蒙古网智科技服务有限责任公司