1.更加彻底的云化 早期的态势感知基本都是孤岛式的,一个用户跟别人是不关联的。如图1所示,现在的态势感知基本都建立了与云的通道,数据可以上云下云,增加数据的流动渠道,繁荣了数据价值。但是当前与云的联动仍然不彻底,很容易因用户表现出一些上云的担忧而变得束手束脚。云化的确很容易让用户产生安全方面的担忧,那是因为传统的网络安全护城河的观念造成的,然而传统的安全模式已经难以满足新的网络安全形势的要求。我们需要明确云化的安全性,增强用户上云的信心;其次是更加强劲的表现出云化后所带来的好处,让用户获取前所未有的优化体验,例如云SaaS服务等。这是时代发展的必然选择,脱离这个发展,就会掉队,会被历史淘汰。 图1 彻底的云化2.更加智能的一体化 安全态势感知是一个比较庞大的系统,覆盖的功能很多、很杂,带来便利的同时也带来了麻烦,各种安全探针难以合理利用、系统配置繁琐、缺乏专业安全人员等问题,都导致安全态势感知在实际应用中没有得到合理的配置和使用。用户希望什么?是希望“不要麻烦,开箱即用,简单统一,使用方便”,把安全态势感知平台复杂的系统构建给用户屏蔽掉,把复杂留给自己,把方便留给用户。所以现在“All in One”的思想豁然开朗,倾力打造超融合一体机,就是让用户不再麻烦,减少使用上的障碍。而超融合一体机并不是把多个组件硬性的集成在一起,需要有机的组合,在需要某个组件发挥作用时适时地正确的发挥作用,这需要在统筹调度方面进行更加深入的探索和应用。如图2,XDR(扩展威胁检测与响应)在Gartner 2021 安全运营热度曲线中仍处于爬坡阶段。 图2 Gartner 2021 安全运营热度曲线3.更加自动化 自动化本质上是为了节省安全运营人员重复低效的工作。理论上来说,一定条件下,只要流量接上来,从安全威胁分析,到安全事件处置,整个流程均可以自动化。一旦实现了自动化,就像自动驾驶一样,省心省力,这是非常好的期望,而且整个流程也已经被证明是可行的,如图3所示。当前对于把握较大的安全威胁,确实可以通过联动剧本编排来向终端等边界防护设备下发策略,执行安全威胁处置;但是这种安全威胁占比很低,仍旧有大量的安全威胁需要人工介入分析,从而导致自动化流程的中断,因为安全威胁也是在不断演进的。自动化还有一个很大的挑战,即不同设备的集成能力。很多厂商的传统安全设备是很封闭的,导致在联动这些设备时产生很大的阻塞。自动化的发展方向可以理解为地图导航,目标驱动下不管用户怎么调整路线,都会给你规划好一条最合适的路线,并推动解决,直到目标完成。但这无疑是需要更长时间的发展。 图3 SOAR(安全编排自动化与响应)4.更加倾向实战化 网络威胁日益严重,用户对网络安全的紧迫性需求日益高涨,尤其是对重大活动的保障、攻防演练等对战性要求特别高的场景下,用户要求快速精准的发现安全威胁,要能对发现的威胁提供更充足的扩展关联信息,所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势,在实战时能满足紧张对战需要,在平时可以满足正常的安全防护。实战对扩充信息的把握要求很高,需要聚合更为广泛的安全知识,尤其是安全威胁情报。 5.持续推进标准化落地 各大安全厂商对安全态势感知的理解不一致,导致安全态势感知产品的建设思路不同,各家的产品概念、功能等都存在差异。但是经过近几年的发展,各大厂商的安全态势感知基本同质化了,你有的功能我也有,我有的功能你也做了覆盖,整体功能都大体相当,区别就在于功能细节贴近用户的程度,所以经常服务一家安全态势感知的安全人员对另外一家的产品不是很懂但又似曾相识。由此可以看出,态势感知缺乏统一的标准,这对于安全态势感知的长远发展是不利的,对安全服务来说也是不利的,对整个安全行业发展也是不利的,对用户提升网络安全建设水平也是不利的。 6.更加突出安全运营 前面几点都是谈的工具,还有很重要的一点是安全运营。有些用户反馈说安全态势感知没用,经过调研发现,根本没有用起来,配置不对,有效数据没上来,威胁情报也没有升级等等,典型的建而不用。安全态势感知是一个重服务的产品,需要安全服务的持续安全运营才能发挥作用。好在越来越多的用户也逐渐意识到了这一点,用户买了安全态势感知也是希望能用起来,保障业务正常运行。所以如何通过工具保障引导安全运营,让安全态势感知真正发挥作用,也是未来一大热点。 |