上世紀(jì)九十年代，“態(tài)勢感知”帶著它引以為傲的軍方（美國空軍）血統(tǒng)，空降到信息安全領(lǐng)域。經(jīng)過幾十年的演進(jìn)，態(tài)勢感知已經(jīng)“身居高位”，在美國的國家安全和其他個別行業(yè)得到了極大的發(fā)展和應(yīng)用。其目前的標(biāo)準(zhǔn)定義是“在一定的時間和空間范圍內(nèi)，企業(yè)的安全態(tài)勢及其威脅環(huán)境的感知。理解這兩者的含義以及意味的風(fēng)險，并對他們未來的狀態(tài)進(jìn)行預(yù)測。”該定義決定了安全態(tài)勢感知平臺不應(yīng)該是一個傳統(tǒng)的安全攻防產(chǎn)品，而是一個兼具數(shù)據(jù)分析和異常檢測的發(fā)現(xiàn)預(yù)警平臺。

在國內(nèi)，最近幾年，尤其是隨著2018年國家《網(wǎng)絡(luò)安全法》的出臺，安全態(tài)勢感知迅速成為信息安全的一個熱門話題。一時間，相關(guān)產(chǎn)品或方案頻頻亮相，使得該領(lǐng)域呈現(xiàn)百花齊放，百家爭鳴之勢。但細(xì)心的業(yè)內(nèi)人士很快就會發(fā)現(xiàn)，安全態(tài)勢感知平臺想要高效落地，對企業(yè)的背景極為挑剔，它要求企業(yè)數(shù)據(jù)資源豐富完整、業(yè)務(wù)場景定義清晰、分析需求必要持久。然而，能達(dá)到上述要求的企業(yè)大多屬于國家層面或某些特定的垂直行業(yè)層面，普通企業(yè)并不充分具備這些條件。因此，安全態(tài)勢感知平臺在普通的企業(yè)信息安全領(lǐng)域?qū)嵤┞涞夭槐M理想，雷聲大雨點(diǎn)小，究其原因，有如下局限性：

從需求方講，大多數(shù)企業(yè)的信息安全部門，目前多為應(yīng)付常規(guī)的安全運(yùn)維業(yè)務(wù)而疲于奔命，能夠開展安全數(shù)據(jù)分析的本就不多（這點(diǎn)和美國同行差距很大，基于日志分析的SIEM在美國的大中型企業(yè)已經(jīng)有近二十年的使用經(jīng)驗(yàn)），所存儲的安全相關(guān)的數(shù)據(jù)（日志），也多為特定的審計任務(wù)而設(shè)計，其數(shù)據(jù)特征對于安全業(yè)務(wù)的覆蓋性遠(yuǎn)遠(yuǎn)不夠，這樣的數(shù)據(jù)源對于一個企業(yè)安全態(tài)勢感知平臺來說只是杯水車薪，完全無法支撐起平臺對整個企業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀和未來的分析。

從供給方講，雖然眾路神仙各顯神通，短時間內(nèi)都推出了各自的安全態(tài)勢感知產(chǎn)品/平臺/方案以蹭熱度，但是：

1

傳統(tǒng)安全廠商倉促應(yīng)戰(zhàn)，大多是立足于自身已有安全產(chǎn)品，推出外延性的安全態(tài)勢感知產(chǎn)品。他們借助于沉浸企業(yè)安全領(lǐng)域多年的經(jīng)驗(yàn)，和對企業(yè)安全現(xiàn)狀相對清晰的了解，能夠迅速地推出一款看似抓住客戶現(xiàn)時需求的產(chǎn)品，但從長期效果看，這種做法根本無法達(dá)到一個真正的安全態(tài)勢感知平臺的需求。傳統(tǒng)安全產(chǎn)品往往都聚焦于“攻防”問題，沒有哪個產(chǎn)品在設(shè)計之初會把數(shù)據(jù)分析做為產(chǎn)品的目標(biāo)之一，他們需要更多地考慮企業(yè)網(wǎng)絡(luò)和應(yīng)用的穩(wěn)定，以及用戶體驗(yàn)的維護(hù)，這就必然把產(chǎn)品產(chǎn)生相關(guān)數(shù)據(jù)（日志）的能力壓到最低，而這些數(shù)據(jù)（日志）又恰好是態(tài)勢感知平臺所需要的數(shù)據(jù)源，這就導(dǎo)致了原本可以“大展身手”的安全態(tài)勢感知平臺陷入了“巧婦難為無米之炊”的境地。這是基于傳統(tǒng)SIEM產(chǎn)品做態(tài)勢感知平臺的致命缺陷，對安全廠商來講，要想根本解決這個問題，其一，需要重新設(shè)計一個強(qiáng)大的數(shù)據(jù)特征采集器；其二，平臺需要具備數(shù)據(jù)分析功能，兩個前提必不可少。

2

傳統(tǒng)網(wǎng)絡(luò)設(shè)備廠商，一直也在關(guān)注企業(yè)網(wǎng)絡(luò)安全市場，但傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全技術(shù)產(chǎn)品已經(jīng)相當(dāng)成熟，跨界操作實(shí)屬不易。態(tài)勢感知需求的出現(xiàn)，對他們無疑是一利好消息，尤其是做網(wǎng)絡(luò)性能分析（NPM/APM）的廠商，他們具有產(chǎn)品基因是數(shù)據(jù)分析的優(yōu)勢，也很想分一塊蛋糕。但網(wǎng)絡(luò)運(yùn)維和信息安全看似相近的技術(shù)，實(shí)則是完全不同的業(yè)務(wù)方向，兩者之間甚至存在沖突關(guān)系：企業(yè)網(wǎng)絡(luò)安全的最大威脅對象不是外部，而是內(nèi)部；內(nèi)部最大的安全隱患不是其他部門，恰恰是IT運(yùn)維部門，甚至是IT安全部門自身。短時間內(nèi)能夠推出符合企業(yè)網(wǎng)絡(luò)安全真正需要、而不是IT運(yùn)維需要的安全態(tài)勢感知平臺難度不小。

3

互聯(lián)網(wǎng)運(yùn)營商，互聯(lián)網(wǎng)技術(shù)在中國過去二十年是發(fā)展最快的行業(yè)，也是與世界領(lǐng)先水平差距最小（可能很多人都認(rèn)為已經(jīng)沒有差距，我們已是領(lǐng)先者了）的行業(yè)，以至于很多相關(guān)人士都忽略了internet和IT實(shí)際上是有交集，但又完全獨(dú)立的兩個不同領(lǐng)域。但業(yè)界的共識是，互聯(lián)網(wǎng)領(lǐng)域發(fā)展到今天已經(jīng)不再容易有賺大錢的機(jī)會了，因此近幾年幾個互聯(lián)網(wǎng)大廠大舉入侵企業(yè)IT市場（號稱toC轉(zhuǎn)toB），城墻失火殃及池魚，企業(yè)信息安全領(lǐng)域也不可避免地充斥著互聯(lián)網(wǎng)氣息。從技術(shù)上講，互聯(lián)網(wǎng)企業(yè)的大數(shù)據(jù)處理也先天帶有數(shù)據(jù)分析的屬性，但從筆者視覺看，互聯(lián)網(wǎng)的數(shù)據(jù)分析是海量的“大（big）”數(shù)據(jù)分析，而企業(yè)信息安全需要的則是“精準(zhǔn)(right)”數(shù)據(jù)分析，兩者看似相似，實(shí)則差別很大。互聯(lián)網(wǎng)企業(yè)面對的消費(fèi)者市場和企業(yè)IT安全面對的企業(yè)市場完全是兩個世界，所以互聯(lián)網(wǎng)企業(yè)想直接進(jìn)入企業(yè)IT的一個細(xì)分市場——安全態(tài)勢感知平臺，要做的功課和要走的路還太多。當(dāng)然，基于中國國情，政府機(jī)構(gòu)和某些敏感垂直行業(yè)的場景和互聯(lián)網(wǎng)有一定的相似度，也許這些領(lǐng)域才是互聯(lián)網(wǎng)企業(yè)應(yīng)該考慮占有的領(lǐng)地，而不是廣大的個體企業(yè)市場。

那么，做為一個企業(yè)的CISO，當(dāng)建設(shè)一個安全態(tài)勢感知平臺已迫在眉睫時，需要如何定義目標(biāo)，又要如何入手呢？
近幾年市場上涌現(xiàn)出的的網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品或平臺，除個別定制化分析平臺（業(yè)務(wù)場景化很深，基本上是甲方主導(dǎo)，項目實(shí)現(xiàn)）之外，由廠商直接提供的大多數(shù)解決方案，更像是根據(jù)企業(yè)網(wǎng)絡(luò)安全可視的需求，把多個傳統(tǒng)安全產(chǎn)品的UI數(shù)據(jù)匯聚到一起后按照不同維度重新劃分后再呈現(xiàn)的過程。

首先我們必須承認(rèn)，做到這一點(diǎn)已經(jīng)能夠滿足目前部分企業(yè)的一些需求，譬如之前企業(yè)網(wǎng)絡(luò)安全運(yùn)維人員為了生成企業(yè)網(wǎng)絡(luò)安全報告，不得不分別登陸到不同的安全設(shè)備上獲取相關(guān)信息，然后人工合成報告，這是一個痛苦又復(fù)雜的過程。現(xiàn)在的態(tài)勢感知產(chǎn)品的出現(xiàn)，恰恰滿足了安全運(yùn)維人員這個日常運(yùn)維工作的“剛需”。

但是，我們也要清楚的認(rèn)識到，目前這些平臺方案，有“態(tài)”未“勢”，有“感”未“知”，離真正意義上的“態(tài)勢感知”還很遠(yuǎn)：

“態(tài)”：狀態(tài)，代表著當(dāng)下正在發(fā)生

“勢”：趨勢，代表著未來可能發(fā)生

“感”：感覺，是一種直覺的看清楚

“知”：知曉，是意識心理層面的經(jīng)過邏輯分析的理解

因此，建設(shè)一個真正的企業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺，一定要考慮以下技術(shù)環(huán)節(jié)：

靈活的數(shù)據(jù)特征采集功能

一切數(shù)據(jù)分析平臺的起點(diǎn)是真實(shí)精準(zhǔn)的數(shù)據(jù)源，要想做到真正的態(tài)勢感知，“巧婦”需有“米”。而企業(yè)之間情況各異，能夠提供的數(shù)據(jù)和所關(guān)聯(lián)的安全業(yè)務(wù)場景千差萬別，這就決定了設(shè)計一個無需定制化、不同場景通用的數(shù)據(jù)采集器是不現(xiàn)實(shí)的。市場需要有一個能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺“量身定做的”的數(shù)據(jù)特征采集器，客戶能夠輕而易舉地自定義需要采集的數(shù)據(jù)特征，這樣才能建設(shè)一個既滿足現(xiàn)時設(shè)計需求、又可在未來刪加自如、及時更新的網(wǎng)絡(luò)安全態(tài)勢感知平臺。

清晰的安全維度劃分和關(guān)聯(lián)

需要有能力從企業(yè)網(wǎng)絡(luò)各主要安全要素中的任意一個維度drill down看問題，譬如從人、設(shè)備、應(yīng)用或敏感數(shù)據(jù)等任一角度，滿足客戶可能有的“人”的態(tài)勢感知、“設(shè)備”的態(tài)勢感知、“應(yīng)用”的態(tài)勢感知和“數(shù)據(jù)”的態(tài)勢感知等不同需求。而且，企業(yè)網(wǎng)絡(luò)環(huán)境的復(fù)雜性，決定了我們往往無法從單個維度入手就能解決某個安全問題，而是需要綜合多個維度去關(guān)聯(lián)分析。因此，能夠在這幾個維度間任意切換視角也是一個優(yōu)秀的網(wǎng)絡(luò)安全態(tài)勢感知平臺的必備特征，這恰恰是目前傳統(tǒng)安全廠商基于自身產(chǎn)品之上建立的態(tài)勢感知平臺的致命缺陷（傳統(tǒng)安全產(chǎn)品從設(shè)計之初就是從企業(yè)的單個安全維度看問題，為不同安全維度設(shè)計的多個產(chǎn)品產(chǎn)生的數(shù)據(jù)之間從技術(shù)上很難做到無縫關(guān)聯(lián)）。

高效落地的UEBA功能

態(tài)勢感知平臺不是一個匯總羅列的UI界面，也不是日志或告警信息的排列組合，它與在網(wǎng)絡(luò)安全界長期占有重要地位的傳統(tǒng)SIEM產(chǎn)品相比，必須要有質(zhì)的飛躍。而“勢”和“知”的需求更是對平臺的數(shù)據(jù)分析能力提出了巨大的挑戰(zhàn)，基于AI/機(jī)器學(xué)習(xí)的UEBA技術(shù)應(yīng)該是當(dāng)仁不讓的挑戰(zhàn)者，如何1）從海量數(shù)據(jù)中準(zhǔn)確地抓取敏感或高風(fēng)險安全信息且不是誤報；2）無需或減少數(shù)據(jù)分析專家的參與，企業(yè)安全運(yùn)維人員就能夠“被動”獲得安全告警；3）事前、事中、事后都能夠及時分析并高效響應(yīng)。這三點(diǎn)是驗(yàn)證一個安全態(tài)勢感知平臺UEBA功能的試金石。

實(shí)時分析的能力

很多廠商在對外宣傳時也會強(qiáng)調(diào)實(shí)時處理分析能力，但目前看到的絕大多數(shù)的“實(shí)時“是指單個安全日志（這個“實(shí)時”實(shí)際上是由做為數(shù)據(jù)源的相關(guān)的安全產(chǎn)品決定的，還沒有考慮到從數(shù)據(jù)源到分析平臺的時延）或單個統(tǒng)計數(shù)據(jù)的實(shí)時展現(xiàn)，一個真正的安全態(tài)勢感知平臺必須有很強(qiáng)的實(shí)時關(guān)聯(lián)分析能力，否則“態(tài)”和“勢“都將成為空談。

強(qiáng)大的輸入/輸出接口

一個企業(yè)不可能只使用一個廠商的網(wǎng)絡(luò)或安全產(chǎn)品，但一個企業(yè)只能有一個安全態(tài)勢感知平臺。要做到對企業(yè)網(wǎng)絡(luò)全方位無死角的態(tài)勢感知，就需要有強(qiáng)大的輸入能力，以接收企業(yè)網(wǎng)絡(luò)上所有節(jié)點(diǎn)發(fā)出的各種格式的數(shù)據(jù)（日志），或是來自第三方的情報等信息。而一個好的安全態(tài)勢感知平臺，也一定要有為企業(yè)更高層的業(yè)務(wù)或管理平臺及時輸出所需信息的能力。

易于定制化BI和UI的能力

由于每家企業(yè)情況的千差萬別，為市場提供一款拿來即用的安全態(tài)勢感知產(chǎn)品基本上是一個奢望。理想的安全態(tài)勢感知平臺本身應(yīng)該是一個“框架”，有著非常友好的二次開發(fā)功能，無論是甲方還是第三方，都能夠根據(jù)自身的特殊業(yè)務(wù)場景，隨時高效定制化相關(guān)的BI和UI，這才是一個企業(yè)真正需要的安全態(tài)勢感知平臺。

最后，給讀者留下一個思考問題：做為一個企業(yè)的CXO，到底需要給企業(yè)建設(shè)一個怎樣的安全態(tài)勢感知平臺，是“網(wǎng)絡(luò)”安全態(tài)勢感知平臺？“數(shù)據(jù)資產(chǎn)”安全態(tài)勢感知平臺？還是“業(yè)務(wù)”安全態(tài)勢感知平臺？或者就是一個企業(yè)頂層的沒有主語的安全態(tài)勢感知平臺？也許這個問題的答案才是企業(yè)如何頂層設(shè)計安全態(tài)勢感知平臺的起點(diǎn)？而“歸全返真，居諸不息”就是企業(yè)建設(shè)這個平臺的目標(biāo)吧！

關(guān)于全息網(wǎng)御：全息網(wǎng)御科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進(jìn)技術(shù)，結(jié)合機(jī)器學(xué)習(xí)（人工智能），發(fā)現(xiàn)并實(shí)時重構(gòu)網(wǎng)絡(luò)中不可見的”用戶-設(shè)備-數(shù)據(jù)”互動關(guān)系，推出以用戶行為為核心的信息安全風(fēng)險感知平臺，為企業(yè)的信息安全管理提供無感知、無死角的智能追溯系統(tǒng)，高效精準(zhǔn)的審計過去、監(jiān)控現(xiàn)在、防患未來，極大提高IT安全運(yùn)維和安全人員響應(yīng)事故、抓取證據(jù)鏈、追責(zé)去責(zé)無責(zé)、恢復(fù)IT系統(tǒng)的能力和效率。

總結(jié)

以上是生活随笔為你收集整理的安全态势感知之我见的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。