上世紀九十年代，“態勢感知”帶著它引以為傲的軍方（美國空軍）血統，空降到信息安全領域。經過幾十年的演進，態勢感知已經“身居高位”，在美國的國家安全和其他個別行業得到了極大的發展和應用。其目前的標準定義是“在一定的時間和空間范圍內，企業的安全態勢及其威脅環境的感知。理解這兩者的含義以及意味的風險，并對他們未來的狀態進行預測。”該定義決定了安全態勢感知平臺不應該是一個傳統的安全攻防產品，而是一個兼具數據分析和異常檢測的發現預警平臺。

在國內，最近幾年，尤其是隨著2018年國家《網絡安全法》的出臺，安全態勢感知迅速成為信息安全的一個熱門話題。一時間，相關產品或方案頻頻亮相，使得該領域呈現百花齊放，百家爭鳴之勢。但細心的業內人士很快就會發現，安全態勢感知平臺想要高效落地，對企業的背景極為挑剔，它要求企業數據資源豐富完整、業務場景定義清晰、分析需求必要持久。然而，能達到上述要求的企業大多屬于國家層面或某些特定的垂直行業層面，普通企業并不充分具備這些條件。因此，安全態勢感知平臺在普通的企業信息安全領域實施落地不盡理想，雷聲大雨點小，究其原因，有如下局限性：

從需求方講，大多數企業的信息安全部門，目前多為應付常規的安全運維業務而疲于奔命，能夠開展安全數據分析的本就不多（這點和美國同行差距很大，基于日志分析的SIEM在美國的大中型企業已經有近二十年的使用經驗），所存儲的安全相關的數據（日志），也多為特定的審計任務而設計，其數據特征對于安全業務的覆蓋性遠遠不夠，這樣的數據源對于一個企業安全態勢感知平臺來說只是杯水車薪，完全無法支撐起平臺對整個企業網絡的安全現狀和未來的分析。

從供給方講，雖然眾路神仙各顯神通，短時間內都推出了各自的安全態勢感知產品/平臺/方案以蹭熱度，但是：

1

傳統安全廠商倉促應戰，大多是立足于自身已有安全產品，推出外延性的安全態勢感知產品。他們借助于沉浸企業安全領域多年的經驗，和對企業安全現狀相對清晰的了解，能夠迅速地推出一款看似抓住客戶現時需求的產品，但從長期效果看，這種做法根本無法達到一個真正的安全態勢感知平臺的需求。傳統安全產品往往都聚焦于“攻防”問題，沒有哪個產品在設計之初會把數據分析做為產品的目標之一，他們需要更多地考慮企業網絡和應用的穩定，以及用戶體驗的維護，這就必然把產品產生相關數據（日志）的能力壓到最低，而這些數據（日志）又恰好是態勢感知平臺所需要的數據源，這就導致了原本可以“大展身手”的安全態勢感知平臺陷入了“巧婦難為無米之炊”的境地。這是基于傳統SIEM產品做態勢感知平臺的致命缺陷，對安全廠商來講，要想根本解決這個問題，其一，需要重新設計一個強大的數據特征采集器；其二，平臺需要具備數據分析功能，兩個前提必不可少。

2

傳統網絡設備廠商，一直也在關注企業網絡安全市場，但傳統的企業網絡安全技術產品已經相當成熟，跨界操作實屬不易。態勢感知需求的出現，對他們無疑是一利好消息，尤其是做網絡性能分析（NPM/APM）的廠商，他們具有產品基因是數據分析的優勢，也很想分一塊蛋糕。但網絡運維和信息安全看似相近的技術，實則是完全不同的業務方向，兩者之間甚至存在沖突關系：企業網絡安全的最大威脅對象不是外部，而是內部；內部最大的安全隱患不是其他部門，恰恰是IT運維部門，甚至是IT安全部門自身。短時間內能夠推出符合企業網絡安全真正需要、而不是IT運維需要的安全態勢感知平臺難度不小。

3

互聯網運營商，互聯網技術在中國過去二十年是發展最快的行業，也是與世界領先水平差距最小（可能很多人都認為已經沒有差距，我們已是領先者了）的行業，以至于很多相關人士都忽略了internet和IT實際上是有交集，但又完全獨立的兩個不同領域。但業界的共識是，互聯網領域發展到今天已經不再容易有賺大錢的機會了，因此近幾年幾個互聯網大廠大舉入侵企業IT市場（號稱toC轉toB），城墻失火殃及池魚，企業信息安全領域也不可避免地充斥著互聯網氣息。從技術上講，互聯網企業的大數據處理也先天帶有數據分析的屬性，但從筆者視覺看，互聯網的數據分析是海量的“大（big）”數據分析，而企業信息安全需要的則是“精準(right)”數據分析，兩者看似相似，實則差別很大。互聯網企業面對的消費者市場和企業IT安全面對的企業市場完全是兩個世界，所以互聯網企業想直接進入企業IT的一個細分市場——安全態勢感知平臺，要做的功課和要走的路還太多。當然，基于中國國情，政府機構和某些敏感垂直行業的場景和互聯網有一定的相似度，也許這些領域才是互聯網企業應該考慮占有的領地，而不是廣大的個體企業市場。

那么，做為一個企業的CISO，當建設一個安全態勢感知平臺已迫在眉睫時，需要如何定義目標，又要如何入手呢？
近幾年市場上涌現出的的網絡安全態勢感知產品或平臺，除個別定制化分析平臺（業務場景化很深，基本上是甲方主導，項目實現）之外，由廠商直接提供的大多數解決方案，更像是根據企業網絡安全可視的需求，把多個傳統安全產品的UI數據匯聚到一起后按照不同維度重新劃分后再呈現的過程。

首先我們必須承認，做到這一點已經能夠滿足目前部分企業的一些需求，譬如之前企業網絡安全運維人員為了生成企業網絡安全報告，不得不分別登陸到不同的安全設備上獲取相關信息，然后人工合成報告，這是一個痛苦又復雜的過程。現在的態勢感知產品的出現，恰恰滿足了安全運維人員這個日常運維工作的“剛需”。

但是，我們也要清楚的認識到，目前這些平臺方案，有“態”未“勢”，有“感”未“知”，離真正意義上的“態勢感知”還很遠：

“態”：狀態，代表著當下正在發生

“勢”：趨勢，代表著未來可能發生

“感”：感覺，是一種直覺的看清楚

“知”：知曉，是意識心理層面的經過邏輯分析的理解

因此，建設一個真正的企業網絡安全態勢感知平臺，一定要考慮以下技術環節：

靈活的數據特征采集功能

一切數據分析平臺的起點是真實精準的數據源，要想做到真正的態勢感知，“巧婦”需有“米”。而企業之間情況各異，能夠提供的數據和所關聯的安全業務場景千差萬別，這就決定了設計一個無需定制化、不同場景通用的數據采集器是不現實的。市場需要有一個能夠為企業網絡安全態勢感知平臺“量身定做的”的數據特征采集器，客戶能夠輕而易舉地自定義需要采集的數據特征，這樣才能建設一個既滿足現時設計需求、又可在未來刪加自如、及時更新的網絡安全態勢感知平臺。

清晰的安全維度劃分和關聯

需要有能力從企業網絡各主要安全要素中的任意一個維度drill down看問題，譬如從人、設備、應用或敏感數據等任一角度，滿足客戶可能有的“人”的態勢感知、“設備”的態勢感知、“應用”的態勢感知和“數據”的態勢感知等不同需求。而且，企業網絡環境的復雜性，決定了我們往往無法從單個維度入手就能解決某個安全問題，而是需要綜合多個維度去關聯分析。因此，能夠在這幾個維度間任意切換視角也是一個優秀的網絡安全態勢感知平臺的必備特征，這恰恰是目前傳統安全廠商基于自身產品之上建立的態勢感知平臺的致命缺陷（傳統安全產品從設計之初就是從企業的單個安全維度看問題，為不同安全維度設計的多個產品產生的數據之間從技術上很難做到無縫關聯）。

高效落地的UEBA功能

態勢感知平臺不是一個匯總羅列的UI界面，也不是日志或告警信息的排列組合，它與在網絡安全界長期占有重要地位的傳統SIEM產品相比，必須要有質的飛躍。而“勢”和“知”的需求更是對平臺的數據分析能力提出了巨大的挑戰，基于AI/機器學習的UEBA技術應該是當仁不讓的挑戰者，如何1）從海量數據中準確地抓取敏感或高風險安全信息且不是誤報；2）無需或減少數據分析專家的參與，企業安全運維人員就能夠“被動”獲得安全告警；3）事前、事中、事后都能夠及時分析并高效響應。這三點是驗證一個安全態勢感知平臺UEBA功能的試金石。

實時分析的能力

很多廠商在對外宣傳時也會強調實時處理分析能力，但目前看到的絕大多數的“實時“是指單個安全日志（這個“實時”實際上是由做為數據源的相關的安全產品決定的，還沒有考慮到從數據源到分析平臺的時延）或單個統計數據的實時展現，一個真正的安全態勢感知平臺必須有很強的實時關聯分析能力，否則“態”和“勢“都將成為空談。

強大的輸入/輸出接口

一個企業不可能只使用一個廠商的網絡或安全產品，但一個企業只能有一個安全態勢感知平臺。要做到對企業網絡全方位無死角的態勢感知，就需要有強大的輸入能力，以接收企業網絡上所有節點發出的各種格式的數據（日志），或是來自第三方的情報等信息。而一個好的安全態勢感知平臺，也一定要有為企業更高層的業務或管理平臺及時輸出所需信息的能力。

易于定制化BI和UI的能力

由于每家企業情況的千差萬別，為市場提供一款拿來即用的安全態勢感知產品基本上是一個奢望。理想的安全態勢感知平臺本身應該是一個“框架”，有著非常友好的二次開發功能，無論是甲方還是第三方，都能夠根據自身的特殊業務場景，隨時高效定制化相關的BI和UI，這才是一個企業真正需要的安全態勢感知平臺。

最后，給讀者留下一個思考問題：做為一個企業的CXO，到底需要給企業建設一個怎樣的安全態勢感知平臺，是“網絡”安全態勢感知平臺？“數據資產”安全態勢感知平臺？還是“業務”安全態勢感知平臺？或者就是一個企業頂層的沒有主語的安全態勢感知平臺？也許這個問題的答案才是企業如何頂層設計安全態勢感知平臺的起點？而“歸全返真，居諸不息”就是企業建設這個平臺的目標吧！

關于全息網御：全息網御科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智能），發現并實時重構網絡中不可見的”用戶-設備-數據”互動關系，推出以用戶行為為核心的信息安全風險感知平臺，為企業的信息安全管理提供無感知、無死角的智能追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。

總結

以上是生活随笔為你收集整理的安全态势感知之我见的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。