選型寶訪談：面對新型威脅，如何建構全局可視的企業“安全大腦”？

前言

網絡資訊安全被稱為“沒有硝煙的戰場”,網絡上的攻防較量，一刻也沒有停止過，而且戰況之慘烈，常常超出我們的想象。比如去年5月，WannaCry勒索軟體病毒爆發，波及全球150個國家，造成了80多億美元的經濟損失。就連安全體系比較完善的高校、醫院、科研機構等，也有很多機關不幸中招。

大家不禁要問：我們天天在強調網絡安全，并且部署了大量的IDS、IPS、防火牆、防毒軟體等安全基礎設施，為什麼在新型威脅到來的時候，依然感到無可奈何呢？今天的安全威脅有那些新的特點？傳統的安全防護體系到底出了什麼問題？

什麼是“安全态勢感覺”？

為什麼說“安全的未來就是态勢感覺”？

安全态勢感覺能為企業帶來怎樣的價值？

李維良：安全是永不停歇的戰場。近年來，針對企業的安全威脅和惡意攻擊又出現了哪些新的變化？

王金紅：近年來的安全威脅，有兩個非常明顯的趨勢：一是攻擊技術專業化。今天的攻擊，已從過去的個人炫技，變成了分工明确的黑客團夥作案，其技術更加先進、手段更加高明、方法更加多樣。二是攻擊目的商業化，出現了Hacking as a Service這樣的服務，敏感資訊、滲透服務等，都被明碼标價。

就拿最近醫療行業爆發勒索病毒這個事件來說吧，黑客的攻擊越來越進階，連醫院這種内外網隔離的環境也會中招。同時，攻擊的影響面越來越大，湖南某三甲醫院的業務系統癱瘓，整個醫院工作停滞。我們分布在全國的幾乎所有省份的辦事處，都接到了當地醫院的邀請，讓我們過去幫助他們做檢測。可以斷定，未來類似這樣大規模的進階攻擊還會越來越多。

李維良：在今天的新形勢下，傳統的安全技術和防禦體系面臨着哪些新的挑戰？

王金紅：我們認為有三個方面的挑戰：一個是“看不見”。攻擊越來越進階，越來越難以發現和檢測，傳統靜态檢測的方式無法應對進階攻擊。二個是“看不懂”。一個客戶的安全日志每天就有上萬條，而且大多是以安全事件的角度堆疊，客戶根本看不懂。三個是“響應慢”。安全裝置多，一出問題全靠人力解決，精通各種攻擊原理，又精通各種安全裝置的人才，又貴又難找，大部分客戶又沒有這種進階人才。是以處理問題就非常慢。

李維良：在安全威脅日益嚴峻，合規性要求日益提高的背景下，我們該如何更新安全理念和安全工具？

王金紅：首先，傳統的安全體系以防禦為核心，當新型威脅到來時，就顯得捉襟見肘、力不從心。未來的安全，必然要在檢測、響應兩方面進行提升。道理很簡單，進階攻擊靠靜态檢測防不住，那我們就在威脅潛伏進來之後、爆發之前檢測出來，并快速地響應并處置它。基于此，相關工具就需要加強在網絡内部東西向流量上進行持續檢測的能力。

李維良：“安全态勢感覺”是怎樣的一種理念和方法？它具備的核心能力有哪些？

王金紅：業内對态勢感覺有個通用的了解，那就是：感覺、了解和預測。

感覺：包括狀态識别與确認，以及對各種狀态資訊的來源和素材的品質評價；

了解：了解攻擊的影響、攻擊者的行為和目前态勢發生的原因及方式；

預測：對态勢發展情況的預測評估，主要包括态勢演化、影響評估。

我們認為，安全态勢感覺至少它應該具備4個核心能力：

第一、收集有效的海量資訊的能力；

第二、基于海量資料的智能分析能力；

第三、基于宏觀和微觀的安全可視能力；

第四、應對安全威脅的協同響應能力。

李維良：哪些企業需要安全感覺系統？

王金紅：我們認為，網路安全的發展，必然是從割裂到集中，從局部到整體，是以，安全的未來，必然就是“态勢感覺”。是以說，态勢感覺應該是全行業的一個通用方案。

李維良：安全态勢感覺解決方案能為使用者帶來哪些價值？

王金紅：安全态勢感覺的價值，我們總結為四點-

看清業務：發現資産和資産的脆弱性；

看到威脅：能夠檢測潛伏到網絡内部的進階威脅；

看懂風險：以簡單易用的方式，讓非專業人士看懂安全現狀；

輔助決策：能夠提供有效的決策資訊，幫助決策者做出正确決策。

如何選擇合适的安全态勢感覺産品？

怎樣讓安全态勢感覺在企業快速落地？

李維良：關于“安全态勢感覺”産品的選型，您有哪些建議？對企業來說，怎麼才能讓安全感覺平台快速、有效落地？

王金紅：安全态勢感覺屬于方案性的産品，選型可能會比較複雜。因為要收集全網的流量，是以需要弄清楚全網流量的走向，哪裡是安全重點（比如關鍵業務）、哪裡适合鏡像流量、流量大概有多大等等問題。隻有充分了解自身的網絡情況和安全現狀，才能選到适合自己的産品和解決方案。

态勢感覺類型的産品很多，但是側重點各有不同，有的側重裝置日志收集，有的側重殺毒、沙箱類的檢測，而深信服則側重全流量檢測和智能分析。對企業來說，有效是關鍵，是以，一定要選擇适合自己的産品和解決方案。為此，前期要做好充分的調研、溝通和對比。