說到安全態(tài)勢感知，很多人覺得很神秘，很牛牛的那種，基本上現(xiàn)在但凡正規(guī)的網(wǎng)絡(luò)安全建設(shè)都離不開他，同時(shí)呢又覺得很模糊，到底能干啥，又干了啥，反倒說不清楚，很是矛盾。這也難怪，因?yàn)榘踩珣B(tài)勢感知確實(shí)復(fù)雜，而且發(fā)展的很快，今天我們主要聊一聊安全態(tài)勢感知產(chǎn)品的前世今生。

安全態(tài)勢感知的出現(xiàn)是網(wǎng)絡(luò)安全防御發(fā)展的必然

互聯(lián)網(wǎng)發(fā)展的歷程中，很長一段時(shí)間大家對網(wǎng)絡(luò)安全是不關(guān)注的，至少是不那么關(guān)注的。即使當(dāng)前也有很大一波人其網(wǎng)絡(luò)安全意識仍然很淡薄。隨著網(wǎng)絡(luò)攻擊影響的范圍越來越大，產(chǎn)生的損失越來越多，網(wǎng)絡(luò)安全才被大家接受和認(rèn)可，從而逐漸出現(xiàn)了以被動響應(yīng)為核心特征的安全防御體系。主要的特征就是花錢買盒子，防火墻(FW)，入侵防御系統(tǒng)(IPS)，只要沒有影響到業(yè)務(wù)正常運(yùn)轉(zhuǎn)，有沒有被攻擊，攻擊的程度有多深，都沒有人關(guān)注。

但是一旦出現(xiàn)了重大的安全事故，被偷數(shù)據(jù)了，或者服務(wù)器掛了，好了，請求安全產(chǎn)商緊急支持吧，安全產(chǎn)商趕緊派安全專家緊急響應(yīng)，一頓操作也不知道做了什么，只要能業(yè)務(wù)正常就不管了。不過吃過網(wǎng)絡(luò)攻擊的虧的，后來都重視網(wǎng)絡(luò)安全了，但總體上這一時(shí)期還主要以這種被動響應(yīng)為主。

互聯(lián)網(wǎng)越繁榮，網(wǎng)絡(luò)安全形勢越嚴(yán)峻，網(wǎng)絡(luò)攻擊越來越簡單了，干壞事的人就會越來越多，變現(xiàn)牟利的誘惑也越來越大。被動的響應(yīng)已經(jīng)無法滿足用戶對網(wǎng)絡(luò)安全的需求了，需要一種可以滿足用戶網(wǎng)絡(luò)安全需求的防御理念和工具。所以主動防御就應(yīng)用而生了，為了落地主動防御理念，安全態(tài)勢感知也就出現(xiàn)了。為了提升安全防御的能力，安全態(tài)勢感知在分別向事前，事后進(jìn)行擴(kuò)充。

在你沒有被攻擊前摸清楚有哪些風(fēng)險(xiǎn)，對一些熱門的攻擊提前預(yù)防，就跟打了預(yù)防針一樣，盡量減少網(wǎng)絡(luò)攻擊。當(dāng)然網(wǎng)絡(luò)攻擊防不勝防，一旦被攻擊，就能很快的檢測到網(wǎng)絡(luò)攻擊，并且能很快進(jìn)行響應(yīng)，及時(shí)阻斷攻擊，避免事態(tài)擴(kuò)大，減少攻擊可能造成的損失。消除攻擊影響以后，還要對為什么沒有防住此次攻擊做個(gè)秋后算賬，加強(qiáng)防御，避免再次踩坑。

這一系列操作就構(gòu)成了縱深防御體系，預(yù)防為主，防治結(jié)合，多種手段檢測威脅。而要實(shí)現(xiàn)這一目標(biāo)，就必然要采集大量的數(shù)據(jù)，各種日志，在日志的基礎(chǔ)上進(jìn)行攻擊分析檢測，識別威脅，可以想象這樣要處理的數(shù)據(jù)量要比以前大的多，所以業(yè)界一般都采用安全大數(shù)據(jù)的方式進(jìn)行數(shù)據(jù)處理。為了在最短時(shí)間內(nèi)止損，必然要求自動化的操作，要是等人來操作，那就晚了，所以要支持對安全設(shè)備的聯(lián)動，直接下策略，阻斷先，復(fù)雜一些的還要聯(lián)動終端殺毒。一切搞好了以后，是不是要調(diào)查一些攻擊鏈條，該修補(bǔ)的修改，該處理的要處理了吧。這就是安全態(tài)勢感知的核心建設(shè)思路，確實(shí)很復(fù)雜，也很先進(jìn)。

安全態(tài)勢感知的出現(xiàn)是國家安全戰(zhàn)略發(fā)展的必然

但安全態(tài)勢感知真正出現(xiàn)卻是在國家領(lǐng)導(dǎo)人的高瞻遠(yuǎn)矚統(tǒng)籌部署之后。習(xí)總書記在4.19講話中提出“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)路安全防御能力和威懾能力”，總書記的講話，提升了網(wǎng)絡(luò)安全的國家戰(zhàn)略地位，讓更多的人重新認(rèn)識網(wǎng)絡(luò)安全，也給網(wǎng)絡(luò)安全產(chǎn)業(yè)增加了催化劑。此后，安全態(tài)勢感知如雨后春筍般爆發(fā)。網(wǎng)絡(luò)安全是一種自上而下的工作，企業(yè)的網(wǎng)絡(luò)安全建設(shè)水平高低，取決的企業(yè)的領(lǐng)導(dǎo)層對網(wǎng)絡(luò)安全的認(rèn)識。

SIEM和SOC

很多人會有疑問，那態(tài)勢感知出現(xiàn)之前就沒有“態(tài)勢感知”嗎?答案是否定的。態(tài)勢感知的雛形其實(shí)就是SIEM(Security Information and Event Management)，就是一個(gè)廣泛收日志，再對日志進(jìn)行分析的平臺。SIEM把傳統(tǒng)的安全設(shè)備的日志，例如防火墻，IPS，服務(wù)器，交換機(jī)等的安全日志，審計(jì)日志，流量日志等收集起來，建立統(tǒng)一的日志采集規(guī)范，根據(jù)日志中的字段對日志的含義做一定的適配，分別存儲，利用大數(shù)據(jù)的關(guān)聯(lián)檢索就可以做一些分析，以便發(fā)現(xiàn)一些威脅和進(jìn)行響應(yīng)分析。安全態(tài)勢感知平臺就是依托于SIEM，構(gòu)造出更加豐富的功能，以支撐其強(qiáng)大的安全防御能力。

說到SIEM，就不能不提MSS(安全服務(wù))和SOC(安全運(yùn)營中心)，SOC更多的強(qiáng)調(diào)安全運(yùn)營，把工具，人，流程等綜合利用起來，從而最大的發(fā)揮安全工具的價(jià)值。SIEM就像一輛轎車，可以很快很舒適的把你送到你想去的地方，但是它畢竟是一輛車，沒有人開，它就不會動，哪也去不了。所以需要人去發(fā)動他，正確的操作，才能跑起來。但是你不能開車它去闖紅燈，不能逆行開車，這就是開車的規(guī)則。SOC就是持續(xù)安全的保障。

安全態(tài)勢感知的若干發(fā)展階段

回到安全態(tài)勢感知的話題，我們來看看安全態(tài)勢感知的發(fā)展的幾個(gè)階段。

第一階段的安全態(tài)勢感知比較的初級，因?yàn)榇蠹叶紱]有多少經(jīng)驗(yàn)。基本沿用傳統(tǒng)SIEM的方式，把傳統(tǒng)安全設(shè)備的告警日志統(tǒng)統(tǒng)收上來，但是進(jìn)行了整合，除了例行的安全事件角度，更是聚焦到了以資產(chǎn)為核心，從風(fēng)險(xiǎn)資產(chǎn)的角度來展示風(fēng)險(xiǎn)。資產(chǎn)上除了安全事件，必不可少的就是漏洞，因此把漏洞也整合了進(jìn)來，形成脆弱性分析。考慮到可視化特性，紛紛做了幾個(gè)大屏，例如風(fēng)險(xiǎn)資產(chǎn)大屏，攻擊大屏，脆弱性大屏，動態(tài)刷新，可不要太炫酷。這也造成了大家固有的印象，一說到態(tài)勢感知，就是賣大屏的。其實(shí)不是，大屏是有效的可視化手段，需要后臺大量數(shù)據(jù)和計(jì)算力的支持。

第二階段的態(tài)勢感知經(jīng)歷了客戶的洗禮，有了更多的實(shí)踐經(jīng)驗(yàn)，發(fā)現(xiàn)傳統(tǒng)的安全設(shè)備基本都屬于邊界防御，內(nèi)部威脅無法有效透視。于是對數(shù)據(jù)的要求就提高了。不僅僅要求收傳統(tǒng)安全設(shè)備的告警日志，還需要客觀存在的訪問日志，這些訪問日志不具備主觀判定，需要構(gòu)建一些行為基線，對于偏離基線的訪問行為進(jìn)行安全告警，于是UEBA(user and entity behavior analytics)風(fēng)靡一時(shí)，也確實(shí)很有用，尤其是對內(nèi)部橫向滲透可以快速發(fā)現(xiàn)。

除此之外，威脅情報(bào)的利用，大大加快簡化了安全威脅的發(fā)現(xiàn)。站在別人的肩膀上肯定更快一些，威脅情報(bào)就是把別人的經(jīng)驗(yàn)拉過來為我所用，我外聯(lián)了一個(gè)勒索的C2，證明是中毒了，那此時(shí)你也外聯(lián)了這個(gè)C2，十有八九你也中毒了。所以威脅情報(bào)很有用。 威脅情報(bào)不僅可以檢測失陷，也可以有外部的攻擊者，掌握了這部分情報(bào)，及時(shí)的封堵這些惡意IP的訪問，可以大大減少被攻擊的概率。而這些都對探針提出了更多的要求，除了可以檢測鏡像過來的流量上報(bào)安全告警，還要上報(bào)客觀訪問數(shù)據(jù)，進(jìn)行更多的分析。

隨著安全態(tài)勢感知在客戶實(shí)際生產(chǎn)環(huán)境中不斷的實(shí)踐，其提升效率的服務(wù)屬性逐漸得到改良和演進(jìn)。同時(shí)隨著國家的網(wǎng)絡(luò)安全戰(zhàn)略持續(xù)提升，人們對網(wǎng)絡(luò)安全越來越重視，對實(shí)用性有了更高更強(qiáng)更好的期望。比如平戰(zhàn)一體化的需求，就要求能快速準(zhǔn)確定位，證據(jù)充分，快速響應(yīng)，這對平臺的要求是很高的，實(shí)現(xiàn)這些需求，就要求更先進(jìn)的檢測手段和方式，例如一些AI算法，簡單的規(guī)則無法滿足要求，基于無監(jiān)督的AI算法就被應(yīng)用進(jìn)來，比如孤立森林，尋找異常點(diǎn)，效果還是很不錯(cuò)的。

同時(shí)知識圖譜的應(yīng)該也讓數(shù)據(jù)的關(guān)聯(lián)更加緊密，數(shù)據(jù)挖掘的更深，發(fā)揮的價(jià)值越大。除此之外，就是云端能力的強(qiáng)大賦能。以前的安全態(tài)勢感知平臺都是單點(diǎn)，忽略了一個(gè)強(qiáng)大的云端平臺，可以提供更深層次的數(shù)據(jù)擴(kuò)展，可以提供更快的更新頻率，可以提供更強(qiáng)大的算力支持，還可以提供更多安全知識庫，云端能力中心的賦能讓安全態(tài)勢感知如同猛虎添翼。為了快速響應(yīng)，整合資源，安全態(tài)勢感知開始與各種安全設(shè)備進(jìn)行聯(lián)動，如防火墻，IPS，交換機(jī)，蜜罐，漏洞掃描工具等等進(jìn)行了集成，統(tǒng)一納管，一個(gè)地方搞定，不用這個(gè)設(shè)備要登，那個(gè)設(shè)備要看，可以實(shí)現(xiàn)在發(fā)現(xiàn)問題以后全部自動化，這效率就高了。

我曾經(jīng)有個(gè)高校的客戶給我說，一個(gè)人每天光登錄各種安全設(shè)備一天就過去了。安全態(tài)勢感知就是要解決這個(gè)效率低下的問題。前面一直都是說安全態(tài)勢感知產(chǎn)品上的不斷升級，往往忽略了一個(gè)很重要的事件就是產(chǎn)品畢竟還是需要人來使用。就像前面說的，車得開才能動。有人就說了，你不是說都全部自動化了嗎，還要什么人啊?這里存在一個(gè)問題就是發(fā)展階段的問題，就像我們說的自動駕駛一樣，雖然有了進(jìn)步，很大的進(jìn)展，但是距離真正的自動化還有一段距離，當(dāng)前階段還是需要安全服務(wù)來保障產(chǎn)品的作用發(fā)揮，這就是安全運(yùn)營，只有好好運(yùn)營了，才有真正的安全。

安全態(tài)勢感知的若干發(fā)展趨勢

可以很容易的看出，安全態(tài)勢感知的迭代其實(shí)就是在不斷創(chuàng)新，不斷提升用戶體驗(yàn)，不斷提升用戶效率的過程。所以我們要說的安全態(tài)勢感知的發(fā)展趨勢也離不開這幾方面。

1. 云化

早期的態(tài)勢感知基本都是孤島式的，一個(gè)客戶跟別人是不關(guān)聯(lián)的。現(xiàn)在的態(tài)勢感知基本都建立了與云的通道，數(shù)據(jù)可以上云下云，增加數(shù)據(jù)的流動渠道，繁榮了數(shù)據(jù)價(jià)值。但是當(dāng)前與云的聯(lián)動仍然還不徹底，還是束手束腳。很容易因某個(gè)客戶表現(xiàn)出一些上云的擔(dān)憂而變得膽小起來。云化的確很容易讓客戶產(chǎn)生安全方面的擔(dān)憂，那是因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)安全護(hù)城河的觀念造成的，顯然已經(jīng)無法滿足新的網(wǎng)絡(luò)安全形勢的要求。此時(shí)需要明顯表現(xiàn)出云化的安全性，其次是表現(xiàn)出云化帶來的好處，即提供可以讓客戶唾手可得所需功能的機(jī)會。這是時(shí)代發(fā)展的必然選擇。脫離這個(gè)預(yù)期，就會掉隊(duì)，就會被歷史淘汰。

2. 一體化

安全態(tài)勢感知是一個(gè)比較龐大的系統(tǒng)，覆蓋的功能很多很雜，帶來便利的同時(shí)也帶來了麻煩，各種安全探針難以合理配置，系統(tǒng)配置繁瑣，專業(yè)安全的人員缺乏等等都導(dǎo)致實(shí)際中往往出現(xiàn)安全態(tài)勢感知沒有得到合理的配置和使用。客戶希望什么?就希望“不要麻煩，開箱即用，簡單統(tǒng)一，使用方便”，把安全態(tài)勢感知平臺復(fù)雜的系統(tǒng)構(gòu)建給客戶屏蔽掉，就像我們開車一樣，汽車的發(fā)動機(jī)呀，齒輪呀，輪胎呀，空調(diào)呀，車燈呀，他們的關(guān)聯(lián)我們不需要知道，我只需要知道怎么開車就行了，把復(fù)雜留給自己，把方便留給客戶。所以現(xiàn)在“All in One”的思想豁然開朗，傾力打造超融合一體機(jī)，就是讓客戶不在麻煩，減少使用上的障礙。

3. 自動化

自動化其實(shí)就是為了節(jié)省安全運(yùn)營人員重復(fù)低效的工作。理論上來說，一定條件下，只要流量接上來，從安全威脅分析，到安全事件處置，整個(gè)流程均可以自動化。一旦實(shí)現(xiàn)了自動化，就像自動駕駛一樣，就可以省心省力了。這是非常好的期望，而且整個(gè)流程也已經(jīng)被證明是可行的。當(dāng)前對于把握較大的安全威脅，確實(shí)可以通過聯(lián)動劇本編排來向終端防護(hù)下發(fā)策略執(zhí)行安全威脅處置。但是這種安全威脅占比很低，仍舊有大量的安全威脅需要人工介入分析，從而導(dǎo)致自動化流程的中斷。自動化還有一個(gè)很大的挑戰(zhàn)是不同設(shè)備的集成能力。傳統(tǒng)很多廠商的安全設(shè)備是很封閉的，就導(dǎo)致去聯(lián)動設(shè)備產(chǎn)生很大的阻塞。我認(rèn)為自動化的發(fā)展方向可以理解為地圖導(dǎo)航，目標(biāo)驅(qū)動下只要用戶阻塞解決，不管你怎么調(diào)整路線，都會給你規(guī)劃好一條最合適的路線，并推動解決，直到目標(biāo)完成。但這無疑是需要更長時(shí)間的發(fā)展

4. 實(shí)戰(zhàn)化

網(wǎng)絡(luò)威脅日益嚴(yán)重以及客戶對網(wǎng)絡(luò)安全的緊迫性需求日益高漲，尤其是對重大活動保障，攻防演練等對戰(zhàn)性要求特別搞的場景下，客戶要求快速精準(zhǔn)的發(fā)現(xiàn)安全威脅，要能對發(fā)現(xiàn)的威脅提供更充足的擴(kuò)展關(guān)聯(lián)信息等等，所以對安全態(tài)勢感知提出了滿足實(shí)戰(zhàn)需要的需求。很多人談到平戰(zhàn)一體化的思想就是為了兼容這種趨勢。在實(shí)戰(zhàn)時(shí)能滿足緊張對戰(zhàn)需要，在平時(shí)時(shí)正常安全防護(hù)。實(shí)戰(zhàn)對擴(kuò)充信息的把握要求很高，需要聚合更為廣泛的安全知識，尤其是安全威脅情報(bào)。

5. 標(biāo)準(zhǔn)化

對安全態(tài)勢感知的理解，各大安全廠商的理解都不一致，就導(dǎo)致安全態(tài)勢感知產(chǎn)品的建設(shè)思路不一致，就導(dǎo)致各家的產(chǎn)品概念，功能等都不同。但是經(jīng)過近幾年的發(fā)展，各大廠商的安全態(tài)勢感知基本同質(zhì)化了，你有的功能我也有，我有的功能你也做了覆蓋，整體功能都大體相當(dāng)，區(qū)別就在于功能細(xì)節(jié)貼近客戶的程度。所以經(jīng)常服務(wù)一家安全態(tài)勢感知的安全人員對另外一家的安全態(tài)勢感知不是很懂但又似曾相識的感覺。所以缺乏標(biāo)準(zhǔn)。這對于安全態(tài)勢感知的長遠(yuǎn)發(fā)展是不利的。對安全服務(wù)來說也是不利的，對整個(gè)安全行業(yè)發(fā)展也是不利的，對客戶提升網(wǎng)絡(luò)安全建設(shè)水平也是不利的。盡管目前也有組織牽頭成立標(biāo)準(zhǔn)化，但距離實(shí)際落地困難依舊很大。

6. 安全運(yùn)營

前面幾點(diǎn)都是談的工具，還有很重要的一點(diǎn)是安全運(yùn)營。我遇到很多客戶的負(fù)面反饋說安全態(tài)勢感知沒用，我一去調(diào)研發(fā)現(xiàn)，壓根就沒有用，配置也不對，有效數(shù)據(jù)也沒上來，威脅情報(bào)也沒有升級等等，可不就是沒有用嘛，有用了才是怪事。安全態(tài)勢感知是一個(gè)重服務(wù)的產(chǎn)品，需要安全服務(wù)的持續(xù)安全運(yùn)營才能發(fā)揮作用。好在越來越多的客戶也逐漸意識到了這一點(diǎn)，客戶買了安全態(tài)勢感知也是希望能用起來，保障業(yè)務(wù)正常運(yùn)行。所以如果通過制度，工具保障安全運(yùn)營，讓安全態(tài)勢感知真正發(fā)揮作用，也是未來一大熱點(diǎn)。

結(jié)語

安全態(tài)勢感知平臺其實(shí)不復(fù)雜，他的出現(xiàn)和演化是緊隨的客戶的需求和認(rèn)識發(fā)展變化的。現(xiàn)在的安全態(tài)勢感知已經(jīng)走過最艱難的迷茫階段，開始找到了適合自己發(fā)展的道路，逐漸的走向成熟，以自己強(qiáng)大的功能賦能客戶的網(wǎng)絡(luò)安全建設(shè)。