什么是态势感知？

　同学，听说过态势感知吗？啥？不知道？不知道很正常，因为态势感知是一个比较小众、比较神秘的概念。为什么态势感知很神秘，首先是因为这是来自军事情报领域的概念，然后服务的是一些关键任务领域，一涉及关键任务自然就变得高级而且神秘了。

态势感知的定义

维基百科的定义：Situation awareness (SA) is the perception of environmental elements and events with respect to time or space, the comprehension of their meaning, and the projection of their future status.（态势意识(SA)是指对环境要素和事件在时间或空间上的感知，对其意义的理解，以及对其未来状态的预测。）

百度百科的定义：态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

可以看出英文解释更加抽象，中文解释更侧重应用领域，比如军事作战，城市安防，网络安全等领域，百度的这个解释其实更接近网络态势感知。如果这还是很抽象，可以这么理解，态势感知的最终目的是保持安全状态，最接地气的理解就是“保安”了

态势感知也可以很简单

其实不看网络态势感知，态势感知本身很日常，涉及到最基本的行为习惯，态势感知是一种基本方法论，隐藏在日常生活当中。

初级态势感知比如开车，远远地看到红灯知道踩刹车，绿灯亮了起步同时提防抢灯的其他车，这就算态势感知了，非常常识化。

高级态势感知比如驾驶飞机，但开飞机这事……就比较复杂了，有仪表飞行也有目视飞行，都离不开态势感知的运用，在这里就不分析了。

网络态势感知，基本上现在但凡正规的网络安全建设都离不开他，同时呢又觉得很模糊，到底能干啥，又干了啥，反倒说不清楚，很是矛盾。这也难怪，因为安全态势感知确实复杂，而且发展的很快，目前小德跟大家讲解游戏态势感知产品的前世今生

态势感知的出现是网络安全防御发展的必然

互联网发展的历程中，很长一段时间大家对网络安全是不关注的，至少是不那么关注的。即使当前也有很大一波人其网络安全意识仍然很淡薄。随着网络攻击影响的范围越来越大，产生的损失越来越多，网络安全才被大家接受和认可，从而逐渐出现了以被动响应为核心特征的安全防御体系。主要的特征就是花钱买盒子，防火墙（FW），入侵防御系统（IPS），只要没有影响到业务正常运转，有没有被攻击，攻击的程度有多深，都没有人关注。

但是一旦出现了重大的安全事故，被偷数据了，或者服务器挂了，好了，请求安全产商紧急支持吧，安全产商赶紧派安全专家紧急响应，一顿操作也不知道做了什么，只要能业务正常就不管了。不过吃过网络攻击的亏的，后来都重视网络安全了，但总体上这一时期还主要以这种被动响应为主。

SIEM和SOC

很多人会有疑问，那态势感知出现之前就没有“态势感知”吗？答案是否定的。态势感知的雏形其实就是SIEM（Security Information and Event Management），就是一个广泛收日志，再对日志进行分析的平台。SIEM把传统的安全设备的日志，例如防火墙，IPS，服务器，交换机等的安全日志

说到SIEM，就不能不提MSS(安全服务)和SOC（安全运营中心），SOC更多的强调安全运营，把工具，人，流程等综合利用起来，从而最大的发挥安全工具的价值。SIEM就像一辆轿车，可以很快很舒适的把你送到你想去的地方，但是它毕竟是一辆车，没有人开，它就不会动，哪也去不了。所以需要人去发动他，正确的操作，才能跑起来。但是你不能开车它去闯红灯，不能逆行开车，这就是开车的规则。SOC就是持续安全的保障。

态势感知的若干发展阶段

回到安全态势感知的话题，我们来看看安全态势感知的发展的几个阶段。

第一阶段的安全态势感知比较的初级，因为大家都没有多少经验。基本沿用传统SIEM的方式，把传统安全设备的告警日志统统收上来，但是进行了整合，除了例行的安全事件角度，更是聚焦到了以资产为核心，从风险资产的角度来展示风险。资产上除了安全事件，必不可少的就是漏洞，因此把漏洞也整合了进来，形成脆弱性分析。考虑到可视化特性，纷纷做了几个大屏，例如风险资产大屏，攻击大屏，脆弱性大屏，动态刷新，可不要太炫酷。这也造成了大家固有的印象，一说到态势感知，就是卖大屏的。其实不是，大屏是有效的可视化手段，需要后台大量数据和计算力的支持。

第二阶段的态势感知经历了客户的洗礼，有了更多的实践经验，发现传统的安全设备基本都属于边界防御，内部威胁无法有效透视。于是对数据的要求就提高了。不仅仅要求收传统安全设备的告警日志，还需要客观存在的访问日志，这些访问日志不具备主观判定，需要构建一些行为基线，对于偏离基线的访问行为进行安全告警，于是UEBA（user and entity behavior analytics）风靡一时，也确实很有用，尤其是对内部横向渗透可以快速发现。

除此之外，威胁情报的利用，大大加快简化了安全威胁的发现。站在别人的肩膀上肯定更快一些，威胁情报就是把别人的经验拉过来为我所用，我外联了一个勒索的C2，证明是中毒了，那此时你也外联了这个C2，十有八九你也中毒了。所以威胁情报很有用。威胁情报不仅可以检测失陷，也可以有外部的攻击者，掌握了这部分情报，及时的封堵这些恶意IP的访问，可以大大减少被攻击的概率。而这些都对探针提出了更多的要求，除了可以检测镜像过来的流量上报安全告警，还要上报客观访问数据，进行更多的分析。

随着安全态势感知在客户实际生产环境中不断的实践，其提升效率的服务属性逐渐得到改良和演进。同时随着国家的网络安全战略持续提升，人们对网络安全越来越重视，对实用性有了更高更强更好的期望。比如平战一体化的需求，就要求能快速准确定位，证据充分，快速响应，这对平台的要求是很高的，实现这些需求，就要求更先进的检测手段和方式，例如一些AI算法简单的规则无法满足要求，基于无监督的AI算法就被应用进来，比如孤立森林，寻找异常点，效果还是很不错的。

同时知识图谱的应该也让数据的关联更加紧密，数据挖掘的更深，发挥的价值越大。除此之外，就是云端能力的强大赋能。以前的安全态势感知平台都是单点，忽略了一个强大的云端平台，可以提供更深层次的数据扩展，可以提供更快的更新频率，可以提供更强大的算力支持，还可以提供更多安全知识库，云端能力中心的赋能让安全态势感知如同猛虎添翼。为了快速响应，整合资源，安全态势感知开始与各种安全设备进行联动，如防火墙，IPS，交换机，蜜罐，漏洞扫描工具等等进行了集成，统一纳管，一个地方搞定，不用这个设备要登，那个设备要看，可以实现在发现问题以后全部自动化，这效率就高了。

态势感知的若干发展趋势

可以很容易的看出，安全态势感知的迭代其实就是在不断创新，不断提升用户体验，不断提升用户效率的过程。所以我们要说的安全态势感知的发展趋势也离不开这几方面。

1、云化云化

早期的态势感知基本都是孤岛式的，一个客户跟别人是不关联的。现在的态势感知基本都建立了与云的通道，数据可以上云下云，增加数据的流动渠道，繁荣了数据价值。但是当前与云的联动仍然还不彻底，还是束手束脚。很容易因某个客户表现出一些上云上云的担忧而变得胆小起来。云化的确很容易让客户产生安全方面的担忧，那是因为传统的网络安全护城河的观念造成的，显然已经无法满足新的网络安全形势的要求。此时需要明显表现出云化的安全性，其次是表现出云化带来的好处，即提供可以让客户唾手可得所需功能的机会。这是时代发展的必然选择。脱离这个预期，就会掉队，就会被历史淘汰。

2、一体化

安全态势感知是一个比较庞大的系统，覆盖的功能很多很杂，带来便利的同时也带来了麻烦，各种安全探针难以合理配置，系统配置繁琐，专业安全的人员缺乏等等都导致实际中往往出现安全态势感知没有得到合理的配置和使用。客户希望什么？就希望“不要麻烦，开箱即用，简单统一，使用方便”，把安全态势感知平台复杂的系统构建给客户屏蔽掉，就像我们开车一样，汽车的发动机呀，齿轮呀，轮胎呀，空调呀，车灯呀，他们的关联我们不需要知道，我只需要知道怎么开车就行了，把复杂留给自己，把方便留给客户。所以现在“All in One”的思想豁然开朗，倾力打造超融合一体机，就是让客户不在麻烦，减少使用上的障碍。

3、自动化

自动化其实就是为了节省安全运营人员重复低效的工作。理论上来说，一定条件下，只要流量接上来，从安全威胁分析，到安全事件处置，整个流程均可以自动化。一旦实现了自动化，就像自动驾驶一样，就可以省心省力了。这是非常好的期望，而且整个流程也已经被证明是可行的。当前对于把握较大的安全威胁，确实可以通过联动剧本编排来向终端防护下发策略执行安全威胁处置。但是这种安全威胁占比很低，仍旧有大量的安全威胁需要人工介入分析，从而导致自动化流程的中断。自动化还有一个很大的挑战是不同设备的集成能力。传统很多厂商的安全设备是很封闭的，就导致去联动设备产生很大的阻塞。我认为自动化的发展方向可以理解为地图导航，目标驱动下只要用户阻塞解决，不管你怎么调整路线，都会给你规划好一条最合适的路线，并推动解决，直到目标完成。但这无疑是需要更长时间的发展

4、实战化

网络威胁日益严重以及客户对网络安全的紧迫性需求日益高涨，尤其是对重大活动保障，攻防演练等对战性要求特别搞的场景下，客户要求快速精准的发现安全威胁，要能对发现的威胁提供更充足的扩展关联信息等等，所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势。在实战时能满足紧张对战需要，在平时时正常安全防护。实战对扩充信息的把握要求很高，需要聚合更为广泛的安全知识，尤其是安全威胁情报。

5、标准化

对安全态势感知的理解，各大安全厂商的理解都不一致，就导致安全态势感知产品的建设思路不一致，就导致各家的产品概念，功能等都不同。但是经过近几年的发展，各大厂商的安全态势感知基本同质化了，你有的功能我也有，我有的功能你也做了覆盖，整体功能都大体相当，区别就在于功能细节贴近客户的程度。所以经常服务一家安全态势感知的安全人员对另外一家的安全态势感知不是很懂但又似曾相识的感觉。所以缺乏标准。这对于安全态势感知的长远发展是不利的。对安全服务来说也是不利的，对整个安全行业发展也是不利的，对客户提升网络安全建设水平也是不利的。尽管目前也有组织牵头成立标准化，但距离实际落地困难依旧很大。

6、安全运营

前面几点都是谈的工具，还有很重要的一点是安全运营。安全态势感知是一个重服务的产品，需要安全服务的持续安全运营才能发挥作用。好在越来越多的客户也逐渐意识到了这一点，客户买了安全态势感知也是希望能用起来，保障业务正常运行。所以如果通过制度，工具保障安全运营，让安全态势感知真正发挥作用，也是未来一大热点。