从《网络安全态势感知能力指南》报告再谈态势感知

国信智库 昨天

2020年3月19日，独立第三方的新锐数字安全咨询机构——数世咨询——发布了《网络安全态势感知能力指南》报告。

报告对国内23家安全厂商进行了综合分析，绘制了一幅“态势感知能力点阵”图，并对国内态势感知市场现状、分类、技术特点、能力、落地和发展趋势等进行了剖析。本人参与创立的盛华安公司继入选IDC 2019年的中国态势感知解决方案MarketScape象限图之后，再次入选数世咨询的态势感知能力点阵图，位居潜力者阵营，并且在技术创新力方面表现突出。对此，笔者深感自豪。

根据报告对被调研者的问卷反馈的统计分析，认为2019年国内态势感知市场规模约在32亿元左右，预计2021年将达到54亿元左右。

笔者在这里不再赘述报告内容，而重点谈谈对报告的几点读后感，结合自己在SOC和态势感知领域19年的从业经验，再谈谈自己对态势感知的一些观点。

态势感知的定义

分析一个产品和细分市场，首先就要对它进行定义。

数世咨询认为，网络安全态势感知系统是一种由内外部多维数据驱动的，综合性的安全管理与运营体系。该体系对网络安全态势相关的所有安全要素进行收集并处理，结合大数据平台进行智能化关联分析，以实现对网络安全态势的全面感知、主动防护、风险预测和联动响应。

IDC的定义：网络安全态势感知解决方案由网络安全分析与情报、响应和编排（AIRO）三类技术组成的，一套专注于允许组织确定、解析和改进公司风险态势的全面的解决方案，是成熟安全架构的基本组成部分。

盛华安认为：网络安全态势感知平台以特定网络空间资产及上面运行的业务系统为保护对象，整合分散的安全防护和检测技术，持续收集目标对象的资产数据、运行数据、脆弱性数据、内外部安全情报、日志及流量数据，及各类情境数据，进行多层次安全分析，从多个维度持续监测、评估和预测网络安全态势，及时进行预警、告警、响应处置和情报分享，协助网络管理者全面细致地掌握网络安全运行状况，有效识别入侵、攻击、违规、泄露和破坏行为，并通过与其它系统的协同联动来达成对目标网络安全的有效防护。

简单的说，就是在多安全要素融合基础上的多层次分析、多维度监测预警、全方位态势评估与预测，以及及时有效的安全协同响应。

更早以前，笔者也曾经介绍过包括学术界、政界、Gartner等给出的经典的态势感知定义。

笔者认为，数世咨询对于国内网络安全态势感知系统的核心理解是很完整的，即态势感知系统首先是一个体系。也就是说，不仅是一个平台，也包括让这个平台运行起来的支撑资源、人员和团队、流程、场所等等。态势感知系统的落地核心是要能够运营起来，产生效果。其次，态势感知系统是一个闭环的系统，即所谓的OODA也罢，PDCA也罢，既要能够发现问题，也要能够解决问题。这些理解都超越了经典态势感知的范畴，与笔者的思路是一致的。第三，我们一般意义上所讨论的态势感知是指综合型态势感知，强调多要素信息的采集与分析，而非某一单一门类的态势感知，譬如不是漏洞态势感知、不是终端态势感知、也不是威胁感知，这些单一门类的态势感知应该归入漏洞管理、终端管理、威胁检测等等细分市场。

所以，现在我们都知道，如果光讲态势感知四个字都是耍流氓。啥东东都可以冠以态势感知。在谈态势感知的时候，需要考察这四个字前面的定语【譬如综合、漏洞、威胁、终端、网站、工控、云，等等】，以及后面的补语【譬如平台、系统、体系、服务、解决方案，等等】。顺便说一下，如果未加说明，本文所写的态势感知都是指综合型态势感知系统。

当然，如果对网络安全态势感知这个概念进一步深挖，还有极多可以展开的内容，譬如业内大咖黄晟在译作《网络空间安全防御与态势感知》中的超长序言所论述的内容。这里，作为对一个细分市场的定义而言，已经足够了。

态势感知的分类

这又是一个比较复杂的问题。在419讲话之后态势感知概念炒作的高峰时期，这个问题困扰的很多人，即便统一到综合型态势感知的定义之下，人们发现很多需求和做法也大相径庭。笔者在就职的上一家公司中就遇到过这个问题。经过一段时间的梳理，笔者在2016年首先对业界的态势感知系统进行了划分。后来经过多次整理，形成了下图：

最关键的，就是划分出了监管类态势感知和非监管类态势感知。后来，这个这个认识得到了业界的广泛认同，很多安全厂商在开展态势感知业务的时候，从部门设置上就对其进行了划分，有专门面向监管者的态势感知团队和专门的面向网络运营者的态势感知团队。

回到这个《报告》，也是对态势感知系统进行了切分，从应用场景（使用对象）的角度分为了三种类型：政府监管类、行业监管类、机构运营类。这个划分和笔者的思路是一致的，只是分的更细。

透过《报告》对态势感知系统的定义和划分，可以看出数世咨询对国内态势感知市场还是有深入理解的。数世咨询的创始人李少鹏有着极为丰富的安全厂商调研咨询经验，从更早前作为安全牛的主编起，笔者就跟他有过很多交流。作为第三方独立咨询机构，他有机会遍访国内的各色态势感知厂商，因而有更全面的视野和更快的研判路径。

随着态势感知概念炒作高潮期的褪去，客户更加理性，厂商也更加聚焦，态势感知系统这个市场也变得十分分化，市场边界更加难以界定。以后可能不能称作为一个细分型市场，而是某种覆盖型市场。

态势感知当前存在的问题

《报告》列举了4大问题：体系化思维缺乏、检测能力不足、产品对接成本高、运营人员匮乏。这再次印证了对于用户而言，态势感知系统是一个体系，是一个长期持续的能力建设过程，必将注重实战化落地，注重对抗、注重运营。

报告之外

作为这次调研报告的参与者，在数世咨询给到笔者的调研问卷中大部分问题都是厂商视角，但有这样一个问题是涉及用户视角的：对于可能在近期选购部署态势感知产品的用户，是否有一些建议？

这里，笔者将当时的答复贴出来，供用户和厂商一起参考。

1. 一定要先搞清楚自己的安全建设现状和安全建设水平（能力成熟度），综合评估自身在人、技术和流程等诸多方面的配合程度，管理层的支持程度，合理规划对态势感知的战略路线图，切忌一蹴而就。

2. 一定要要从自身的工作实际出发，先定义出态势感知的应用场景，然后围绕场景进行产品和技术选型，并根据情况引入POC测试和桌面推演，确保落地性，能够出效果。

3. 态势感知系统不是一个简单的采购行为，也不是一般意义上的定制开发就能够做好的。态势感知是一种能力，应该是客户内生的一个建设过程，要跟客户现有的和未来的安全基础设施紧密结合，要考察供应商的技术集成能力，要考察服务商的场景化运营能力。

4. 要想有成效，强烈建议采用平台+服务的模式去建设。

最后，引用盛华安对调研问卷中询问该领域技术优势的答复作为结束：

开放式大数据技术架构：系统内置Elasticsearch，并支持多种Hadoop系统，支持Kafka、Spark、Flink等多种大数据基础设施；能够运行在X86和国产化安全可控硬件平台上，也支持虚拟化、Docker和云部署。系统具有良好的分析能力开放性，允许用户自定义安全分析的算子。系统具备良好的整合能力开放性，能够方便地与第三方开源或商业NTA、EDR、SIEM，以及安全情报等系统对接。系统底层基于赛博坦安全管理套件开发平台，对外提供SDK，允许用户进行二次开发。

多要素采集融合：系统能够采集多维多源异构的安全要素信息，既采集设备和端点的日志，也采集流量数据；既能够采集资产数据，也能够采集漏洞和配置等脆弱性数据，还能够采集包括情报、身份、业务在内的各种情境数据。对于采集到的数据通过大数据技术进行融合，既包括日志、流量、资产、漏洞、情报信息的各自融合，也包括这些要素信息的交叉融合。内置数据治理功能，既支持对要素信息的动态建模（比如日志建模、资产建模、弱点建模、威胁建模、风险建模、态势指标建模等），也支持对要素信息采集、传输、存储、利用的全程质量监控。

纵深化智能安全分析：系统实现了将基于规则匹配的关联分析、基于机器学习的行为分析和可以自定义算子的专项分析三种分析引擎叠加到一起，并集成了情报分析、攻击链分析和用户及实体行为分析（UEBA）功能，形成一个纵深化、立体式的分析网络，综合发挥各种分析能力的优势。

多方位态势感知：系统强调从资产、用户、运行、弱点、攻防、威胁、风险等多个角度进行多方位的态势评估、预测与呈现，帮助用户全面地掌控目标网络安全态势。

安全编排与自动化：盛华安国内率先发布了SOAR（安全编排自动化与响应）产品，并率先发布了具备SOAR功能的网络安全态势感知系统，通过具备分诊与调查能力的告警管理、案件管理和安全编排自动化模块，帮助用户快速核实告警、自动响应处置、持续事件调查，实现积极安全响应。系统内置符合BPMN规范的工作流引擎、具备可视化剧本编辑器。

高性能：系统采用分布式架构设计，实现了高性能的信息采集、分析、存储和响应。系统具备高性能分布式关联分析引擎，借助4个分布式节点，每秒钟能够处理10万条以上的事件。

原文来源：专注安管平台