360左英男: 态势感知能力落地的三要素

中新网4月25日电 4月25日，第七届运营商和互联网行业网络安全年会在合肥举行，360企业安全集团副总裁左英男受邀在年会主论坛上做了题为“新形势、新挑战和新对策”的主题演讲，在演讲中，左英男提出了态势感知能力落地的三个要素：数据是基础、处置是关键、人员是保障。

新形势：“没有攻不破的网络和系统”

最近几年，网络空间安全形势发生了显著的变化，左英男分析其背后有两个方面的原因：首先，IT基础设施正在发生深刻的变化：虚拟化技术、软件定义网络、移动办公技术逐渐从概念走向实际应用。云计算的兴起、BYOD的普及，改变了传统的数据中心架构，改变了办公方式，使得传统的网络边界变得模糊，甚至消失，这给传统的、以安全边界为核心的防护思想和安全产品带来了巨大的挑战。

其次，安全威胁的形势也在发生深刻的变化：网络攻击的实施者不再是个人，而是具有明确的政治、经济利益目的的黑产组织、国家机构；攻击的手段和工具也日新月异，零日漏洞已经成为网络空间地下黑市的抢手货，甚至可以称之为“军火”。正如洛克希德马丁公司的杀伤链模型所描述的那样，网络空间威胁已经呈现集团化、工具化、流程化运作的趋势。隐藏多年的APT攻击逐渐为人所知。这一切，都给传统的、以特征检测为核心的防御手段带来了巨大的挑战。

左英男表示，人们逐渐接受了“没有攻不破的网络和系统”这一现实，”世界上只有两种组织，一种是已经被攻陷，一种是还不知道已经被攻陷”。同时也逐渐意识到，传统的中世纪城堡式的被动防护战略思维已经不能适应如今的网络空间安全态势，需要采用更加积极的对抗措施来应对这种变化。以持续检测和响应为核心的自适应安全架构和对抗思想被人们所接受，成为应对网络空间安全新挑战的新对策。

新挑战：用态势感知解决安全问题

按照美国SANS研究所提出的网络安全能力滑动窗口模型，过去20多年组织安全能力的建设主要在被动防御层面开展，建立纵深防御体系成为流行的做法，强调不依赖人的参与，依靠传统的安全设备自动执行预先设定好的安全策略，目的是缩小攻击面，消耗攻击者的资源，降低攻击者的自由度。

而积极防御，强调人的参与，通过持续的检测，主动消费威胁情报，获取当前的安全态势，从而采取行动，对抗攻击者。所以如今“态势感知”已经成为网络空间安全领域聚焦的热点，也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现，更代表了当前网络安全攻防对抗的最新趋势。

随着《网络安全法》和《国家网络安全战略》的相继出台，在我国，态势感知被提升到了战略高度，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。

安全态势感知应该是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

态势感知经历了一个曲线发展过程，经历了萌芽、热潮、低谷、恢复和成熟等多个阶段：

1、SOC/SIEM这类产品和技术已经发展了很多年，受限于数据的处理和安全分析能力，始终停留在大量微观的安全事件告警的处理层面。大数据技术的出现，让建立在SOC/SIEM之上，基于大数据的安全分析技术成为现实，这可以看作是态势感知的萌芽。

2、安全行业很快兴起了对态势感知的炒作热潮，认为这种技术代表了威胁对抗技术的先进生产力，能够解决大多数安全问题。客户也对这种新技术满怀期望。

3、最初的态势感知产品上市后，所呈现的能力让大家比较失望，人们发现态势感知真正能解决的问题是非常有限的，并不像大家开始预期的那样，于是对新技术的心理预期降到谷底。

4、安全厂商和客户坚定不移地继续发展态势感知产品和技术，能够解决的问题越来越多，技术成熟度也越来越高，逐渐实现了安全能力的落地。

左英男认为，态势感知发展的初期，受限于对态势感知的理解偏差、数据和安全分析能力，态势感知很多都沦为了展示汇报的“地图炮”，用户在使用的过程中，发现这些系统的能力与期望还是有很大的差距，而没有真正解决安全问题。

新对策：态势感知能力落地的三要素

进入去年下半年，经过行业和企业用户和网络安全企业的共同努力，用户逐渐的对态势感知在安全运营上的能力落地有了一些共同的认识，以态势感知为基础的这类系统和体系开始逐渐的走向实用了。

“360已经帮助公安、网信等监管机构，税务、交通、能源、金融、教育等多个行业和大型企业成功建设并运营态势感知和安全运营系统，切实帮助客户提升了安全能力，解决了安全问题”，左英男表示，“基于在帮助这些机构、行业和企业成功实施态势感知项目建设的实践，我们认为必须具备以下三个要素，才能实现态势感知能力落地”。

数据是基础：“未知攻，焉知防”，威胁情报是研究“敌情”，刻划的是攻击者的面貌。知道谁实施的攻击，攻击目标、攻击目的、攻击手段是什么，攻击程度、攻击现象、攻击后果如何，如何补救。要想获得高质量的威胁情报，离不开对漏洞利用、恶意代码两大类攻击工具的研究和分析，360的安全卫士和天擎终端安全管理，360的补天漏洞平台，是收集这两类攻击武器的最好的工具。威胁情报的质量，外部数据的质量和价值对整个态势感知能力落地变得非常关键，360多年来积累了大量的安全大数据、安全大数据的理解和处理能力，是态势感知能力落地的基础。

对威胁检测和追踪溯源来说，仅仅采集资产信息和设备日志是远远不够的，终端的行为日志，网络的流量数据，是非常有价值的要素数据，能不能收集到更多的全要素数据对于安全态势感知的能力落地极其关键的，这个也给我们安全企业带来很大挑战，如何在收集终端和网络数据的同时又不能够影响终端和网络的可用性。

图：360高价值的威胁情报生产能力

处置是关键：应用态势感知和安全运营的目标是降低MTTD/MTTR(平均检测时间/平均响应时间)，安全运维人员始终在和攻击者赛跑：在攻击者针对你发动攻击之前，完成防御策略的调整，阻断或者迟滞其攻击；在已经潜入内部的攻击者盗取数据、造成破坏之前，揪出他来，并且立刻评估可能的损失范围和程度，及时响应和处置，避免造成真正的损失。及时、高效的处置动作完成，才算完成闭环，才算真正解决了安全问题。所以处置是态势感知能力落地的关键，这对态势感知系统的自动化响应处置能力提出了很高的要求。

人员是保障：除了给客户数据和平台工具，还要帮助客户构建安全能力，训练安全人才，客户的安全能力才是完整的,态势感知和安全运营离不开安全人员的参与，安全运维人员和安全分析人员匮乏。数据有了，平台搭建起来，没有合格的安全人才，平台和工具用不起来，不能真正做到能力落地，无法获得安全的投资回报。那怎么解决安全人才的问题？

左英男称，360的使命是帮助客户有效解决安全问题，完整构建安全能力，安全人员也是态势感知和安全运营能力落地的重要保障，没有安全人员的参与，安全能力是缺失的。所以我们为客户提供了相应的产品和服务，帮助客户培养和训练安全人才。360企业安全集团推出了“网络安全攻防实训基地”，包含安全态势感知、安全进阶、攻防体验、安全实训系统、安全竞赛系统等内容，旨在通过搭建基于网络对抗的仿真模拟演练平台，设计逼真的网络攻防环境，组织网络安全技能攻防对抗赛等形式，快速掌握网络安全相关知识，提升自身实战水平。

除了攻防实训平台, 360企业安全还具备国内首个以检测并提升防御体系有效性为目的的网络安全演习解决方案——360对抗式演习。通过红蓝紫三方的真实对抗演习，从安全技术、管理和运营等多个维度着手，发现企业安全防御能力的问题和缺陷，帮助企业不断完善安全体系的建设，提升对抗新兴威胁的能力。

红蓝紫三方分别代表着不同的角色，其中红军为企业内部安全人员，负责内部防护。蓝军为企业外部安全人员(白帽子)，负责外部攻击。紫军为企业外部教练(360人员)，负责演习导调、监控进程、全程指导、应急处置、活动总结等技术咨询工作。通过平台实训和对抗演示，让安全人员在真实的对抗环境下积累实战经验，迅速成长，同时也能够检验态势感知和安全运营的能力是否真正落地。

左英男认为，对于CISO和CSO来说，只有在中观层面真正具备了态势感知能力落地的三要素，或许才”敢”把宏观层面的“大屏”呈现给领导。

责编：海闻