态势感知的发展趋势

只看该作者 · 发表于 2023-3-7 11:25

态势感知的发展趋势
安全态势感知的迭代其实就是在不断创新，不断提升用户体验，不断提升用户效率的过程。所以我们要说的安全态势感知的发展趋势也离不开这几方面。

1、云化

早期的态势感知基本都是孤岛式的，一个客户跟别人是不关联的。现在的态势感知基本都建立了与云的通道，数据可以上云下云，增加数据的流动渠道，繁荣了数据价值。但是当前与云的联动仍然还不彻底，还是束手束脚。很容易因某个客户表现出一些上云的担忧而变得胆小起来。云化的确很容易让客户产生安全方面的担忧，那是因为传统的网络安全护城河的观念造成的，显然已经无法满足新的网络安全形势的要求。此时需要明显表现出云化的安全性，其次是表现出云化带来的好处，即提供可以让客户唾手可得所需功能的机会。这是时代发展的必然选择。脱离这个预期，就会掉队，就会被历史淘汰。

2、一体化

安全态势感知是一个比较庞大的系统，覆盖的功能很多很杂，带来便利的同时也带来了麻烦，各种安全探针难以合理配置，系统配置繁琐，专业安全的人员缺乏等等都导致实际中往往出现安全态势感知没有得到合理的配置和使用。客户希望什么？就希望“不要麻烦，开箱即用，简单统一，使用方便”，把安全态势感知平台复杂的系统构建给客户屏蔽掉，就像我们开车一样，汽车的发动机呀，齿轮呀，轮胎呀，空调呀，车灯呀，他们的关联我们不需要知道，我只需要知道怎么开车就行了，把复杂留给自己，把方便留给客户。所以现在“All in One”的思想豁然开朗，倾力打造超融合一体机，就是让客户不在麻烦，减少使用上的障碍。

3、自动化

自动化其实就是为了节省安全运营人员重复低效的工作。理论上来说，一定条件下，只要流量接上来，从安全威胁分析，到安全事件处置，整个流程均可以自动化。一旦实现了自动化，就像自动驾驶一样，就可以省心省力了。这是非常好的期望，而且整个流程也已经被证明是可行的。当前对于把握较大的安全威胁，确实可以通过联动剧本编排来向终端防护下发策略执行安全威胁处置。但是这种安全威胁占比很低，仍旧有大量的安全威胁需要人工介入分析，从而导致自动化流程的中断。自动化还有一个很大的挑战是不同设备的集成能力。传统很多厂商的安全设备是很封闭的，就导致去联动设备产生很大的阻塞。我认为自动化的发展方向可以理解为地图导航，目标驱动下只要用户阻塞解决，不管你怎么调整路线，都会给你规划好一条最合适的路线，并推动解决，直到目标完成。但这无疑是需要更长时间的发展

4、实战化

网络威胁日益严重以及客户对网络安全的紧迫性需求日益高涨，尤其是对重大活动保障，攻防演练等对战性要求特别搞的场景下，客户要求快速精准的发现安全威胁，要能对发现的威胁提供更充足的扩展关联信息等等，所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势。在实战时能满足紧张对战需要，在平时时正常安全防护。实战对扩充信息的把握要求很高，需要聚合更为广泛的安全知识，尤其是安全威胁情报。

5、标准化

对安全态势感知的理解，各大安全厂商的理解都不一致，就导致安全态势感知产品的建设思路不一致，就导致各家的产品概念，功能等都不同。但是经过近几年的发展，各大厂商的安全态势感知基本同质化了，你有的功能我也有，我有的功能你也做了覆盖，整体功能都大体相当，区别就在于功能细节贴近客户的程度。所以经常服务一家安全态势感知的安全人员对另外一家的安全态势感知不是很懂但又似曾相识的感觉。所以缺乏标准。这对于安全态势感知的长远发展是不利的。对安全服务来说也是不利的，对整个安全行业发展也是不利的，对客户提升网络安全建设水平也是不利的。尽管目前也有组织牵头成立标准化，但距离实际落地困难依旧很大。

6、安全运营

前面几点都是谈的工具，还有很重要的一点是安全运营。我遇到很多客户的负面反馈说安全态势感知没用，我一去调研发现，压根就没有用，配置也不对，有效数据也没上来，威胁情报也没有升级等等，可不就是没有用嘛，有用了才是怪事。安全态势感知是一个重服务的产品，需要安全服务的持续安全运营才能发挥作用。好在越来越多的客户也逐渐意识到了这一点，客户买了安全态势感知也是希望能用起来，保障业务正常运行。所以如果通过制度，工具保障安全运营，让安全态势感知真正发挥作用，也是未来一大热点。