安全資訊

近年來(lái)態(tài)勢感知的熱度非常高，不少安全廠(chǎng)商也紛紛推出了態(tài)勢感知（平臺）。在今年五月份，我國正式推出了等保2.0，并已于12月1日正式實(shí)施。在等保2.0的安全框架中也明確提出了要具備態(tài)勢感知的能力,要具備對新型攻擊分析的能力，能夠檢測到重點(diǎn)的節點(diǎn)及其對其入侵的行為?？梢哉f(shuō)態(tài)勢感知已經(jīng)成為企業(yè)安全防護中非常重要的一環(huán)。那基于等保2.0的大背景，企業(yè)應當如何去構建新形勢下的態(tài)勢感知平臺？針對這一問(wèn)題我們進(jìn)行相關(guān)探討：

   問(wèn)：首先第一個(gè)問(wèn)題我想問(wèn)一下，今年發(fā)布的等保2.0中對態(tài)勢感知平臺提出了一些新的要求，對此如何看待的？

   答：等保2.0出臺經(jīng)歷了比較長(cháng)的時(shí)間，在很多方面都進(jìn)行的一個(gè)比較有效的修改，其中也重點(diǎn)提到了把安全管理中心提到這個(gè)很高的高度，那么在安全管理中心的一個(gè)最重要的體現就是態(tài)勢感知，所以我們認為的話(huà)，隨著(zhù)等保2.0的這個(gè)法規的一個(gè)發(fā)布，態(tài)勢感知平臺將在其中起到越來(lái)越重要的一個(gè)作用。

  問(wèn)：提到態(tài)勢感知未來(lái)會(huì )在平臺中起到越來(lái)越重要的作用，那覺(jué)得就是態(tài)勢感知平臺在企業(yè)安全防護中，它主要能起到哪些作用的呢？給大家介紹一下。

  答：早期我們傳統的安全，運維的時(shí)候面臨幾個(gè)最重要的頭疼的問(wèn)題，第一個(gè)問(wèn)題就是現有的安全設備的種類(lèi)很多，它的安全日志，包括一些異常流量也很多，面對這么多的信息怎么樣做有效的甄別，找到一些問(wèn)題的關(guān)鍵，很多的IT運維人員是束手無(wú)策的。態(tài)勢感知作為一個(gè)非常有效的一個(gè)工具，它可以很好地幫助用戶(hù)去梳理這些異常的攻擊，異常的流量，包括大量的日志，進(jìn)行有效的分析，這是一個(gè)方面。另一個(gè)方面的話(huà)，傳統IT運維的時(shí)候，在面臨發(fā)現安全風(fēng)險的時(shí)候，到底怎么來(lái)做應急響應和處置，是比較困難的，新型的態(tài)勢感知平臺本身在設計的時(shí)候就對于這種應急處置有專(zhuān)門(mén)的要求，IT的管理員一旦發(fā)現安全風(fēng)險之后，可以通過(guò)態(tài)勢感知平臺做一個(gè)有效的ip響應動(dòng)作，能夠改變原來(lái)只看到問(wèn)題但是對問(wèn)題的處理缺乏有效及時(shí)的手段（的情況）。等保2.0里對安全管理中心強調，包括對態(tài)勢感知的強調，也意味著(zhù)在新的形勢下，對安全的運維管理要突破原來(lái)的單點(diǎn)防御的思想，更多要看協(xié)同防御?？吹揭粋€(gè)事前、事中和事后，整個(gè)三個(gè)環(huán)節的一個(gè)全流程的閉環(huán)處理。

  問(wèn)：對于用戶(hù)來(lái)說(shuō)，用戶(hù)在部署態(tài)勢感知時(shí)都應該注意哪些問(wèn)題？

  答：在實(shí)際部署的過(guò)程也遇到了很多用戶(hù)提到一些問(wèn)題，態(tài)勢感知是一個(gè)系統性的工程，那么系統性工程意味著(zhù)什么？首先需要有大量的數據的采集，數據采集的信息越全，那么對后續的安全風(fēng)險的分析會(huì )更精確更有效。有了這些廣泛的數據的分析之后，還有最重要的用戶(hù)安全工具的分析呈現。針對態(tài)勢感知系統本身的一些差異化的或者說(shuō)用戶(hù)定制化的需求開(kāi)發(fā)，也是一個(gè)很重要的一個(gè)問(wèn)題。

  問(wèn)：其實(shí)我們也知道，經(jīng)過(guò)多年的積累，我們的解決方案在各個(gè)行業(yè)都得到了一些很好的應用，在不同的行業(yè)對態(tài)勢感知的需求也是不一樣的，那我們的態(tài)勢感知解決方案，在每個(gè)行業(yè)有沒(méi)有進(jìn)行一些定制化的一些服務(wù)，去滿(mǎn)足不同行業(yè)的個(gè)性化需求？

  答：這個(gè)肯定是有的，剛才也提到了，態(tài)勢感知本身不是一個(gè)標準化的產(chǎn)品，它是跟用戶(hù)的需求密切相關(guān)的，針對不同的行業(yè)，肯定有些差異化的需求。比如我們看到的，政府對態(tài)勢感知的需求，更多可能是看內網(wǎng)的一些安全風(fēng)險的變化，內網(wǎng)員工的一些安全行為，一些行為是不是存在異常的風(fēng)險。對教育來(lái)說(shuō)，我們看到很多的教育的場(chǎng)景更關(guān)注的是，除了對終端用戶(hù)的畫(huà)像以外，更多關(guān)注的是一些異常流量出口，異常流量的檢測，包括一些異常行為的檢測。我們在過(guò)去兩年，在教育、政府還是有很多很成功的實(shí)踐。我們在一些985的高校，在一些省的教育城域網(wǎng)，包括在一些政府的廳局委辦，都做了針對性的部署。

  問(wèn)：針對態(tài)勢感知來(lái)說(shuō)，威脅情報是態(tài)勢感知系統中非常重要的一個(gè)環(huán)節，那我們在獲取威脅情報方面是怎么來(lái)做的呢？

  答：對于態(tài)勢感知來(lái)說(shuō)，情報也是至關(guān)重要的。在情報這一塊做了很多方面的嘗試。首先從來(lái)源方面啊，第一，我們有專(zhuān)門(mén)的攻關(guān)的團隊，我們根據在網(wǎng)部署的網(wǎng)絡(luò )設備的一些信息反饋，能夠自動(dòng)地生產(chǎn)一些相對專(zhuān)業(yè)精確的案件。另外一塊，我們也是國內CNNVD（國家信息安全漏洞庫）的資深成員，和這些國家漏洞庫的單位的合作，我們可以有效地進(jìn)行一些情報的交換。當然還有一個(gè)最重要的，有很多的開(kāi)源的情報，我們也做了一些開(kāi)源情報的的抓取。但是最重要的是一些商業(yè)情報的合作。

  我們目前和國外的一些頂尖的情報公司，包括國內比較知名的幾家情報公司，都在進(jìn)行專(zhuān)業(yè)方向的合作。來(lái)源我們還是很多的,另外針對這些情報的內容的篩選，我們是有專(zhuān)門(mén)的情報分析的團隊在做這個(gè)工作。

  問(wèn)：剛才也向大家介紹了一下態(tài)勢感知的解決方案，那其實(shí)在整個(gè)市場(chǎng)上，各個(gè)安全廠(chǎng)商都推出了自己的態(tài)勢感知平臺的解決方案，那和友商的解決方案相比，我們的態(tài)勢感知的解決方案，優(yōu)勢體現在哪一方面？

  答：態(tài)勢感知是一個(gè)相對專(zhuān)業(yè)的領(lǐng)域，從我們的角度，第一個(gè)出發(fā)點(diǎn)就是為廣大企業(yè)的IT運維提供一個(gè)更好的手段。我們的態(tài)勢感知第一個(gè)方面，我們針對不同企業(yè)的基礎設施，不同的安全設備，不同的中間件，不同的數據庫，在安全信息的收集、安全日志的收集，包括這些異常流量提取，我們有得天獨厚的優(yōu)勢，因為我們在很多的行業(yè)都有相關(guān)的網(wǎng)絡(luò )安全的部署實(shí)踐。

  另外一塊，大家知道網(wǎng)絡(luò )安全一直是以total solution的角度出現。剛才我們也提到了態(tài)勢感知，其中對安全風(fēng)險的分析和應急響應是很重要的一個(gè)環(huán)節。我們的態(tài)勢感知在整個(gè)云網(wǎng)端的協(xié)同聯(lián)動(dòng)這一塊，有我們自己得天獨厚的優(yōu)勢，包括后面的終端和我們的3A系統(認證Authentication、授權Authorization、賬號Account)和交換機、路由器包括安全設備，都可以形成一個(gè)很好的協(xié)同聯(lián)動(dòng)的機制。這是我們深耕企業(yè)IT運維最直接的體現，也是能給客戶(hù)企業(yè)IT安全運維管理帶來(lái)一個(gè)最直接的幫助。

  第三個(gè)方面，我們也看到了，在這個(gè)過(guò)程中需要兼顧一些互聯(lián)網(wǎng)的安全風(fēng)險和監控。通過(guò)自研加合作的方式，包括我們剛才提到的情報獲取的方式，能夠針對企業(yè)在面對來(lái)自互聯(lián)網(wǎng)的安全風(fēng)險時(shí)，能夠進(jìn)行有針對性的解決方案的交付。

  問(wèn)：能不能請您簡(jiǎn)單地舉幾個(gè)案例，我們態(tài)勢感知解決方案，現在在行業(yè)內有哪些成功的案例呢？簡(jiǎn)單介紹一下。

  答：態(tài)勢感知在過(guò)去兩年的還是得到了很廣泛的部署。我們在教育（行業(yè)），我們在海南、青島，包括在廣州一些教育的城域網(wǎng)上都有很成功的部署，主要是通過(guò)一些流量的監控流量的分析，能夠發(fā)現異常風(fēng)險。政府這一塊，我們在江西、寧夏、合肥這三個(gè)地方都有非常成功的部署，主要是針對這個(gè)政府內網(wǎng)的員工的一些異常的行為。

  問(wèn)：剛才在您介紹的過(guò)程中，也對于我們的態(tài)勢感知的解決方案的一些優(yōu)勢進(jìn)行了介紹，還介紹了一些成功的案例，那我想問(wèn)一下我們下一步會(huì )有哪些規劃？

  答：態(tài)勢感知本身是一個(gè)和用戶(hù)的需求相關(guān)性比較密切的產(chǎn)品，所以后續我們針對態(tài)勢感知會(huì )從幾個(gè)方面做針對性的規劃。第一，結合用戶(hù)的場(chǎng)景化的需求，針對教育、政府、醫療、電力等不同行業(yè)用戶(hù)的場(chǎng)景化的需求，做一些有針對性的一個(gè)解決方案。接下來(lái)呢，我們會(huì )把AI的模型進(jìn)行進(jìn)一步的深化，在用戶(hù)的行為畫(huà)像，資產(chǎn)的畫(huà)像，在這些業(yè)務(wù)系統的流量甄別這一塊，這是第二個(gè)方面。

  第三個(gè)方面，在發(fā)現安全風(fēng)險之后，攻擊溯源取證，攻擊路徑的可視化呈現，在這一塊來(lái)做進(jìn)一步的工作，能提升用戶(hù)對態(tài)勢感知的使用體驗。

  問(wèn)：對于用戶(hù)來(lái)講，用戶(hù)在對態(tài)勢感知解決方案在選型的過(guò)程中，我們能給到哪些可行性的建議？

  答：第一個(gè)呢？態(tài)勢感知本身不是一個(gè)標準化的產(chǎn)品，所以用戶(hù)在選擇態(tài)勢感知的時(shí)候，首先要結合自身的網(wǎng)絡(luò )的需求，結合自身的安全的需求，或者說(shuō)結合自身的IT部署情況，有針對性的選擇態(tài)勢感知的相應的功能。因為態(tài)勢感知看上去功能是大而全，但是對很多用戶(hù)來(lái)說(shuō)，大而全意味著(zhù)可能就是價(jià)格比較昂貴。但實(shí)際上呢，可以進(jìn)行模塊化的拆解，所以我覺(jué)得第一個(gè)建議就是用戶(hù)切實(shí)根據自己的網(wǎng)絡(luò )安全運維的需求，選擇態(tài)勢感知相對應的功能，避免浪費過(guò)多成本，這是第一個(gè)。

  第二個(gè)，在選擇態(tài)勢感知的時(shí)候，需要考慮廠(chǎng)商是不是具備專(zhuān)業(yè)的服務(wù)交付的能力?；蛘哒f(shuō)廠(chǎng)商是不是能夠提供專(zhuān)業(yè)的安全分析的服務(wù)的交付，這樣的話(huà)才可能有效地配合態(tài)勢感知，在發(fā)現問(wèn)題之后對一些安全的問(wèn)題進(jìn)行人工的輔助，（通過(guò)）一些工具的分析，達到一個(gè)更好的一個(gè)效果。

  第三個(gè)方面，用戶(hù)在選擇態(tài)勢感知的時(shí)候需要考慮這個(gè)系統的平滑升級，（比如）平滑的升級對日志量有由小到大的適配。系統的可平滑升級能力，也是選擇的一個(gè)最重要的一個(gè)關(guān)鍵點(diǎn)。

  問(wèn)：最后想請問(wèn)一下，如何看待態(tài)勢感知這個(gè)市場(chǎng)的，最后想請您簡(jiǎn)單的預測一下，您認為這個(gè)市場(chǎng)將來(lái)他的發(fā)展趨勢是怎樣的？

  答：應該說(shuō)，對于整個(gè)的態(tài)勢感知的市場(chǎng)，我們還是非?？春玫?。原因很簡(jiǎn)單，因為現在網(wǎng)絡(luò )安全已經(jīng)上升到一個(gè)很高的高度了，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，隨著(zhù)這個(gè)等保2.0的發(fā)布，等保2.0也對于安全管理提出了更明確的要求，所以態(tài)勢感知作為這個(gè)安全管理中心的一個(gè)最佳的載體。在未來(lái)的信息化的建設中，一定會(huì )有一個(gè)很好的市場(chǎng)表現。

  我們認為態(tài)勢感知未來(lái)可能有幾個(gè)方面，第一個(gè)方面，態(tài)勢感知未來(lái)一定是會(huì )跟行業(yè)的需求緊密的結合，它的場(chǎng)景化的適配會(huì )越來(lái)越多，場(chǎng)景化的版本也會(huì )越來(lái)越多，這是第一個(gè)。

  另外一個(gè)，安全與AI有效的結合，或者說(shuō)如何利用AI，利用機器學(xué)習的技術(shù)為態(tài)勢感知在安全風(fēng)險的發(fā)現，包括在未知威脅的告警這一塊，提供更好的幫助。

  另外一個(gè)，態(tài)勢感知平臺在部署過(guò)程中，大家也看到了它是個(gè)重服務(wù)的，重交互的，重用戶(hù)體驗的一個(gè)解決方案，會(huì )和我們專(zhuān)業(yè)安全服務(wù)的交付和我們的一些安全事件發(fā)生之后的安全事件的分析，安全日志的分析，工具的溯源取證等這些服務(wù)的結合方面會(huì )有更緊密的結合。

  我們認為，隨著(zhù)態(tài)勢感知平臺的進(jìn)一步的發(fā)展和建設，會(huì )有效地推動(dòng)國內的很多用戶(hù)對于專(zhuān)業(yè)安全服務(wù)能力的理解，有了專(zhuān)業(yè)安全服務(wù)的保障，整個(gè)（社會(huì )）信息化的水平，我相信會(huì )有一個(gè)很好的提升。