您当前的位置是:  首页 > 资讯 > 文章精选 >
 首页 > 资讯 > 文章精选 >

浅谈网络安全态势感知产业的发展

--一花独放不是春,百花齐放春满园

2020-04-30 10:32:33   作者:   来源:CTI论坛   评论:0  点击:


  安全态势感知的概念已经出现多年,被行业开始炒作是在4.19讲话之后,这两年被广大的用户熟知并接纳。关于什么是安全态势感知,NIST、Gart呢如何IDC都有定义。总体来看都包含以下5个方面:风险识别。安全检测、取证溯源。威胁响应以及各种安全态势城市呈现和报表,如果按照字面的意思应该再加上对未来安全态势的预测,但这是后话了。
  随着社会数字化转型的深入,网络攻击事件日渐增多、破坏力逐步增强。国际上通用的安全方法论,正逐步从“针对威胁的安全防御”向“面向业务的安全治理”(IPDRR等)演进。2014年美国NIST发布了CSF(Cybersecurity Framework,网络安全框架)三大组成部分,IPDRR是其核心框架。
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁绘劦鍓欓崝銈囩磽瀹ュ拑韬€殿喖顭烽幃銏ゅ礂鐏忔牗瀚介梺璇查叄濞佳勭珶婵犲伣锝夘敊閸撗咃紲闂佺粯鍔﹂崜娆撳礉閵堝洨纾界€广儱鎷戦煬顒傗偓娈垮枛椤兘骞冮姀銈呯閻忓繑鐗楃€氫粙姊虹拠鏌ュ弰婵炰匠鍕彾濠电姴浼i敐澶樻晩闁告挆鍜冪床闂備浇顕栭崹搴ㄥ礃閿濆棗鐦遍梻鍌欒兌椤㈠﹤鈻嶉弴銏犵闁搞儺鍓欓悘鎶芥煛閸愩劎澧曠紒鈧崘鈹夸簻闊洤娴烽ˇ锕€霉濠婂牏鐣洪柡灞诲妼閳规垿宕卞▎蹇撴瘓缂傚倷闄嶉崝宀勫Χ閹间礁钃熼柣鏂垮悑閸庡矂鏌涘┑鍕姢鐞氾箓姊绘担鍛婃儓闁活厼顦辩槐鐐寸瑹閳ь剟濡存担鍓叉建闁逞屽墴楠炲啫鈻庨幘宕囶啇濡炪倖鎸鹃崳銉ノ涜濮婂宕掑▎鎴犵崲濠电偘鍖犻崗鐐☉閳诲酣骞嬮悙瀛橆唶闂備礁婀遍崕銈夈€冮幇顔剧闁哄秲鍔庣弧鈧梻鍌氱墛娓氭宕曢幇鐗堢厸闁告侗鍠氶崣鈧梺鍝勬湰缁嬫垿鍩ユ径鎰闁绘劕妯婂ḿ缁樹繆閻愵亜鈧垿宕曢弻銉﹀殞濡わ絽鍟悡姗€鏌熺€电ǹ浠滅紒鐘靛█濮婅櫣绮欓崠鈩冩暰濡炪們鍔屽Λ婵嬬嵁閸儱惟闁冲搫鍊搁埀顒€顭烽弻锕€螣娓氼垱楔闂佹寧绋掔粙鎴﹀煘閹达附鍊烽柡澶嬪灩娴滃爼姊洪悷鎵紞闁稿鍊曢悾鐑藉醇閺囥劍鏅㈡繛杈剧秮閺呰尙绱撻幘鍓佺=闁稿本鐟чˇ锔姐亜閹存繃鍤囬柟顔矫埞鎴犫偓锝庡亜閳ь剙鐏氶妵鍕箻鐠虹儤鐎虹紓浣筋嚙濡繈寮婚弴銏犻唶婵犻潧鐗忛濠囨⒑閸涘﹤绗傞柛妤佸▕瀵鈽夐姀鈥充簽婵炶揪缍侀弲鑼姳閻e瞼纾藉〒姘搐閺嬶附銇勯弴鍡楁搐閻撯€愁熆鐠哄ソ锟犳偄閼姐倗鏉搁梺瑙勫劤婢у孩顨欓梻鍌欐祰濡椼劑鎮為敃鍌氱婵炲棗绻掗弳锕傛煏婵炵偓娅撻柡浣革躬閹绗熼婊冨弗闂佽 鍋撻柕濞у懐锛濋梺绋挎湰閼归箖鍩€椤掑嫷妫戠紒顔肩墛缁楃喖鍩€椤掑嫨鈧線寮介鐐殿槹濡炪倖鐗楃粙鎴濃枔閹达附鈷戦柛娑橈攻鐏忣偊鏌i幒鐐电暤闁挎繄鍋ゅ鎾閿涘嫬骞嶉梻浣侯攰椤宕濋敃鍌氬惞婵炲棙鍨瑰Λ顖炴煙椤栧棗鍟崐顖炴⒑闁稓鈹掗柛鏂跨焸閿濈偛饪伴崼婵嗚€垮┑掳鍊愰崑鎾搭殽閻愬樊鍎旀慨濠呮缁瑥鈻庨幆褍澹夐梻浣告贡閹虫挸煤椤撱垻宓侀柛鎰╁妷閸亪鏌涢銈呮瀻婵炲牏鍠栧娲濞戣鲸肖闂佺ǹ瀵掗崳锝呯暦閹达箑绠婚悹鍥ㄧ叀閺佹粌鈹戞幊閸婃捇鎳楅崼鏇炵煑闁糕剝绋掗埛鎴︽煕濠靛棗顏璺哄閹便劌螣缁嬪灝顫囬悗瑙勬礃缁诲倿顢橀崗鐓庣窞閻庯綆鍓欓獮宥夋⒒娴e憡鍟為柛鏃€岣挎禍绋库枎閹炬潙鈧潡鏌涘☉姗堟敾闁告瑥绻愰埞鎴︽偐閹绘帩浼€闁汇埄鍨遍惄顖炲蓟閻旈鏆嬮柣妤€鐗嗗▓妤呮倵鐟欏嫭纾搁柛鏂跨Ф閹广垹鈹戠€n亞锛滃┑鐐村灦閻熝囧汲椤撱垺鈷掗柛灞捐壘閳ь剙鍢查湁闁搞儜鍛闂佹眹鍨绘灙缂佹劖顨婇弻娑㈠焺閸愵亖妲堢紒鐐劤濞硷繝寮婚悢鐓庣畾闁绘鐗滃Λ鍕磽娴e搫校闁绘搫绻濆濠氬即閿涘嫮鏉搁梺鍝勬川閸庢劙鍩€椤掆偓閺堫剛鎹㈠☉姘辩當闁告繂瀚~鍥⒑閸濆嫯瀚扮紒澶屽厴绡撳〒姘e亾闁哄本鐩獮妯尖偓闈涙啞閸f澘顪冮妶鍐ㄧ仾鐎光偓閹间礁鏋侀柟鐗堟緲楠炪垺绻涢崱妯虹仼婵℃彃娲︾换婵嗏枔閸喗鐏嶉梺鎸庢磵閺呯姴鐣烽姀銈呯闁兼祴鏅╁ú绋库攽閻樿宸ラ柟铏姉婢规洘绺介崨濠勫幗闂侀€涘嵆濞佳勬櫠椤斿浜滈幖娣灮閻﹥銇勯鍕殶闁逞屽墯缁嬫帟鎽梺绋匡攻閸旀鍩€椤掍緡鍟忛柛鐘愁殜閹繝鏁撻悩顔瑰亾娴h倽鏃堝川椤撶媭妲规俊鐐€栭崹鍏兼叏閵堝洠鍋撳顑惧仮婵﹦绮幏鍛村川婵犲懐顢呴梺鍝勵儛娴滄繄鎹㈠☉銏犵妞ゆ洖鎳忛ˉ鏍磽娓氬洤鏋涙い顓犲厴閻涱喖螣鐏忔牕浜鹃梻鍫熺⊕閹插憡銇勯弮鈧ú鐔煎蓟閿濆鍋愰柛娆忣槸瀹稿爼姊洪崨濠佺繁闁告ê銈搁幃锟犲磼閻愮补鎷洪柡澶屽仦婢瑰棝藝閿曞倹鐓熸俊銈傚亾闁挎洏鍎崇划姘綇閵娧呯槇闂佹悶鍎洪悘娑滎樄闁哄本绋戦埥澶愬础閻愬浜繝鐢靛仜閹冲矂宕愬┑鍡╂綎闁惧繐婀遍惌娆愮箾閸℃ê鍔ら柛鎿冨墴濮婃椽宕ㄦ繝鍐ㄩ瀺缂備浇顕х€氫即鐛幋锕€顫呴柣姗嗗亝閺傗偓闂備焦鎮堕崕顕€寮插┑瀣剨闁割偁鍎查埛鎴犵磼鐎n偄顕滄繝鈧幍顔剧<閻庯綆鍋勯悘銉╂煃鐠囪尙效闁轰焦鍔欏畷顏呮媴閻熸壆妲i梻鍌欑窔濞佳囨偋閸℃瑦宕查柟鐑橆殔缁€鍡椕归悡搴f憼闁绘挸绻橀弻娑㈩敃閵堝懏鐎鹃梺绋匡攻閸旀牠銆冮妷鈺傚€烽柟缁樺笚濞堣尙绱撴担绋库偓鍦暜閻愬搫鐒垫い鎺戯功閸掍即鏌h箛鏂垮摵鐎殿喗鐓¢、妤呭焵椤掑嫬鐓橀柟杈鹃檮閸婄兘鏌℃径瀣仼濞寸姵鎮傞弻锕傚礃椤旂粯鍠氶梺璇″枛缂嶅﹤鐣烽崼鏇炵厸濞达綁鏀遍~鏇熺節濞堝灝鏋涢柨鏇樺妼閳诲秹鏁愭径濠勵唵闂佺粯枪椤曆囨倶閹惰姤鐓i煫鍥风到娴滅偛霉濠婂啰鍩f慨濠勭帛閹峰懘鎸婃径濠冨劒闂備線娼荤紞鍥⒔閸曨剛鈹嶅┑鐘叉搐閻愬﹥銇勯幒鍡椾壕缂備胶濮甸悡锟犲蓟閺囷紕鐤€闁哄洨鍊☉銏$厸闁逞屽墯缁傛帞鈧綆鍋勯埀顒傛暬閺屻劌鈹戦崱娆忓毈缂備降鍔嬬划娆撳蓟濞戞瑧绡€闁告洦鍋傚Σ鎰攽椤旂》鏀绘俊鐐舵铻為柛鎰电厑瑜版帒围闁糕剝鐟﹂崚娑㈡倵鐟欏嫭绀冮柨鏇樺灪娣囧﹪骞栨担鑲濄劍銇勯弮鍥棄闁哄濮电换婵嬫偨闂堟刀銉╂煛娴e憡鍟為柟渚垮姂閹粓鎸婃径瀣偓顒勬⒑閸涘﹦鈽夐柨鏇樺劦瀹曪綀绠涘☉娆戝幗闂佺鎻徊楣兯夋径鎰厸閻庯絺鏅濈粣鏃堟煛瀹€鈧崰鏍ь潖閼姐倐鍋撻棃娑橆棌婵″樊鍠氱槐鎺楁倷椤掆偓缁€鍐┿亜椤愩埄妯€濠碉紕鏁诲畷鐔碱敍濮橆剙鏁ゆ俊鐐€栭崝锕€顭块埀顒傜磼椤旇偐鍩f慨濠呮缁辨帒螣閾忓湱鎳嗛梻浣筋嚙缁绘垵鐣濋崨濠佺箚闁汇垻枪缁€瀣亜閺嶃劍鐨戞い鏂匡躬濮婃椽鎮烽幍顔芥喖缂備浇顕х粔鐢电矉閹烘鍤冮柍鍝勫暟閿涙粓姊虹紒妯哄Е闁告挻鐟╁畷婵嬪Χ閸℃劒绨诲銈嗘尵婵挳宕㈢€电硶鍋撳▓鍨灈妞ゎ厾鍏橀獮鍐閵堝棗浜楅柟鑹版彧缂嶅棗危閸洘鐓熼柣鏂挎憸閻﹦绱掔紒妯烘诞鐎殿噮鍋婇、娆戜焊閺嶎煈娼旈梻渚€娼ф蹇曟閺囥垹鍌ㄥù鐘差儐閳锋垿鎮峰▎蹇擃仼闁告柣鍊栭妵鍕即閵娿儱绠归柣鎾卞€濋弻鐔虹磼閵忕姵鐏嶉梺缁樻尰閻燂箓濡甸崟顖氱睄闁稿本绮嶉幉妯衡攽閻愯尙澧涚紒顔芥崌瀵鍩勯崘鈺侇€撻梺鑽ゅ枑濠㈡﹢锝炲澶嬧拺閻犲洠鈧磭浠┑鈽嗗亜閸熸潙鐣风憴鍕╁亝闁告劏鏅涘▓銈咁渻閵堝棗绗傞柣鎺炵畱閳诲秹鏁冮埀顒勫煘閹达附鍋愰柛顭戝亝濮e嫭绻濆▓鍨珮闁告瑥鍟撮悰顔跨疀濞戞ḿ顦ㄥ銈嗘閸嬫劙藝閵娿儺娓婚柕鍫濇噽缁犱即鏌涢悢鍝勵暭闁靛洦鐟╅獮搴ㄦ嚍閵夈垺瀚藉┑鐐存尰閸╁啴宕戦幘缁樼厓鐟滄粓宕滃杈╃煓闁规崘顕ч悡姗€鏌熼悜姗嗘畷闁绘挻娲熼弻锟犲磼濠靛洨銆婇柤鍙夌墵濮婃椽鎮烽幍顔炬殯闂佹悶鍔岀紞濠囧春閻愬搫绠i柣姗嗗亜娴滈箖鏌ㄥ┑鍡欏嚬缂併劏宕电槐鎺楀箛椤撶姭妲堝銈庝簻閸熷瓨淇婇崼鏇炲耿婵☆垳鈷堝Σ顒勬⒒娴g儤鍤€闁哥喕娉曠划鏃堟偡閹殿喗娈惧銈嗗姀閹筹繝寮崼婵嗙獩濡炪倖妫侀~澶屸偓姘虫閳规垿鎮欓懜闈涙锭缂備浇寮撶划娆撶嵁婢舵劖鏅柛鏇ㄥ墮椤忔悂姊虹捄銊ユ灁濠殿喚鏁婚幃鈥斥枎閹惧鍙勯棅顐㈡祫缁茶姤绂嶅┑瀣€堕煫鍥ㄦ礃閺嗩剟鏌$仦鐣屝ユい褌绶氶弻娑㈠箻绾惧顥濆銈庡亝缁诲牊淇婇幖浣规櫆闁兼亽鍎宠ぐ鎸庣節瀵伴攱婢橀埀顒佹崌閹虫宕奸弴鐐靛幋閻庡箍鍎遍幊澶愬绩娴犲鐓熸俊顖氭惈缁狙囨煙閸忕厧濮夌紒杈ㄥ浮閹晠宕归銏$暚闂傚倸娲らˇ鐢稿蓟閵娿儮鏀介柛鈩冪懃椤f椽姊洪柅鐐茶嫰閸樺摜绱掗鐣屾噭濞e洤锕獮鏍ㄦ媴閸濄儱骞愰梻浣呵归張顒傚垝鐏炵瓔鍤曢柟鎯板Г閳锋帒霉閿濆懏鍟為柟顖氱墦閺屾盯鎮㈤崫鍕ㄦ瀰閻庤娲橀崹鍧楃嵁濡偐纾兼俊顖滃帶楠炲牓姊虹涵鍛棈闁规椿浜炲Σ鎰板即閵忊剝娅栭悗骞垮劚濞层劎澹曟總绋跨骇闁割偅纰嶅▍鍛归悩娲摵妞ゃ劊鍎甸幃娆撳级閹寸姷鎳嗛梺鍓х帛閻楁洟婀侀梺鎸庣箓閹冲海鐥閹顫濋銈囩厯濠殿喖锕︾划顖炲箯閸涙潙宸濋梻鍫熺〒缁夎櫣鈧鍠氶弫濠氥€佸Δ鍛妞ゆ巻鍋撳ù鐙€鍙冨娲濞淬儱鐗撳鎻掆槈濮樿京鐒奸梺绋挎湰婢规洟宕戦幘璇茬濠㈣泛锕f竟鏇㈡⒒娴e憡鍟炴繛璇х畵瀹曟粌鈽夐姀鐘插亶闂佹眹鍨归幉锟犲煕閹达附鐓欐い鏍ф鐎氼噣銆呮导瀛樷拺缂佸顑欓崕蹇涙煙閸愭煡鍙勯柟顔藉劤閻o繝骞嶉鑺ョ暦闂備線鈧偛鑻晶鎾煕閳规儳浜炬俊鐐€栫敮鎺楀窗濮橆兗缂氶柟閭﹀幘缁犻箖鏌涘▎蹇fШ闁活厽甯為埀顒侇問閸n噣宕戦崱娑樼闁绘ê妯婇崯鍛亜閺傚灝鎮戞い鎾崇仢閳规垿鎮欏顔兼婵犳鍠楅幐鎶姐€侀弽顓炵疀闁哄瀵ч悗顒勬⒑閹肩偛鍔撮柛鎾村哺閹繝鎮㈤崗鑲╁幍闂備緡鍙忕粻鎴濐嚕妤e啯鐓曢柣鏃堫棑缁犲鏌$仦鍓ф创闁诡喗鐟╁畷褰掝敃閿濆棛妲楀┑鐘愁問閸犳牠鏁冮敂鎯у灊妞ゆ牜鍋涚粻顖炴煕濞戞ḿ鎽犻柛銈呯Ч閺屾洘绔熼娆掝唹闁稿鎸荤换婵嬪炊閵娿垺瀚奸梻鍌氬€搁悧鍐疾濠靛牏鐭撻柛鎾茶兌绾惧ジ鏌eΟ鎸庣彧鐎规洖鐭傞弻锝呪槈閸楃偞鐏曠紓浣哄У缁嬫垿鍩ユ径濞炬瀻闁归偊鍙庢禒褔姊婚崒娆愮グ婵炲娲熷畷鎶芥晝閸屾氨顔嗛梺璺ㄥ櫐閹凤拷...
  企业网络安全系统框架(参考IPDRR)
  IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理(韧性)的模型,变被动为主动,最终达成自适应的安全能力。
  IPDRR模型体现了安全保障系统化的思想,管理与技术结合,充分利用当前“主动纵深防御体系、网络信任体系、动态安全自适应体系”的长期积累,设法建立一个让攻击者“进不来、看不见、搞不坏、走不脱”的体系,建立不利于攻击方存活的环境,通过体系的力量扭转攻防不对称,从而有效保障系统核心业务的安全。整体的IPDRR也是安全态势感知体系建立的基础参考模型,通过动态的持续安全检测来实现IPDR的闭环安全,为用户提供完善的安全能力框架和支撑体系。
  安全态势感知市场空间巨大
  需求日益增长
  具体到中国的安全态势感知市场,相关咨询机构预计2021年将达到54亿元左右。这个数字应该包括跟安全态势感知相关联的产品及安全服务,在国内整体网络安全市场中的占比在6%左右。打开全球市场来看,在国际通用的安全产品市场分类中是没有安全态势感知的,SIEM市场是最接近的分类。所以要看安全态势感知的市场,我们可以从全球的SIEM市场说起。
  SIEM市场已经存在了二十年,最初是从日志管理产品发展而来的,它结合了安全事件管理(SEM)和安全信息管理(SIM),可以实时分析事件和日志等数据,提供威胁监控,事件关联和事件响应。发展至今,SIEM产品越来越注重针对内部和外部威胁的高级威胁检测和响应功能,尤其是新型的检测方法和响应方式。新型检测方法指NTA(Network Traffic Analyzer,网络流量分析器)、UEBA(User and Entity Behavior Analytics,用户行为分析)及其他高级安全分析方法(如威胁情报和Deception等);响应方式特指Gartner提出的SOAR。另外,大数据架构已经成为主流,这也使得新入局的SIEM厂商有机会利用成熟的大数据去构建其底层架构,从而为快速赶上甚至超越传统的厂商创造了有利条件。Gartner甚至把这种新型的SIEM系统取了一个时髦的名字“Modern SIEM”。另外我们也经常听到SOC(Security Operation Center,安全运营中心)这个概念,本质上SOC不是一款单纯的产品,而是一个复杂的体系,他既有产品,又有服务,还有运营。SOC是技术、流程和人的有机结合,可以简单看成是SIEM + 安全运营服务。
  从2005年开始,Gartner每年都会发布一份关于SIEM的报告,至今从未中断过。有意思的是,Gartner的研究报告投入了大部分的精力在网络与信息安全领域。而在所有涉及安全领域的报告中,跟 SIEM有关的文章占据了很大的篇幅,分析报告的数量比例远高于SIEM产品在安全市场的占比。尽管市场上有不少客户部署SIEM失败的案例,但客户依然热此不疲。足见市场背后的需求推动力大过了部署失败的风险。这从侧面说明这是个有刚性需求但目前无法被很好满足的市场。
  综合分析Gartner 2019年SIEM MQ报告以及最新发布的Market Share报告,总结出下面几个特点:
  1. 2019年全球SIEM市场总份额已经超过30亿美元,依然是双雄争霸的格局,且集中度更高。Splunk和IBM 2019年占比已达50%(2017年44%左右),同时在竞争力上也持续领先。Splunk强在平台能力和应用市场模式;IBM胜在功能更全,除了高级安全分析和响应外、UEBA、NTA、脆弱性管理、风险管理和Watson的AI一应俱全。但这两强在中国的市场份额并不大,除了价格因素外,本地化的服务和运营应该是最主要原因;
  2. 客户更加强调SIEM产品实时分析安全事件的能力,要支持攻击和违规行为的早期检测。单一的NTA和UEBA产品的市场客户群体太小,它们多是面向一些有能力自建SOC的客户(金融、OTT、大型企业)。所以类似NTA、UEBA和威胁情报等技术不断下沉,越来越多成为SIEM的一个基础能力,未来我们单纯去讲述这些技术,或者单纯依靠这些技术的产品将不会再有大的增长,更多见到的是将这些技术与其它技术结合起来的产品和应用。客户更聚焦于结合这些技术有什么应用场景,达到了什么安全效果?SIEM产品成为一个高级安全分析和响应技术的全集,与国内提出的态势感知这个品类无限趋同;
  3. SIEM的供应商格局不断变化,云厂商开始涉足SIEM,带来了云化的SaaS产品。同时拥有成熟的SIEM技术的供应商也正在迅速更新其架构并引入基于云的产品和服务模式。几乎所有厂商都通过自研、收购或第三方的合作提供SOAR解决方案,持续增强调查能力和威胁的响应能力;
  4. 客户除了在购买SIEM产品外,也更加重视购买原厂的运维服务或第三方服务。购买服务主要是因为自身缺乏安全威胁分析和处理的资源(包括人力、流程和工具等),另外综合的成本也是一个重要的考虑因素。这其实对MSS或MDR市场是一个极大的促进。
  5. 综上所述,笔者认为,整体SIEM市场呈现良好的发展趋势。近几年市场实际规模基本都比Gartner预计的市场规模要高,复合增长率也近20%。技术上不断有新技术或模式引入,技术上的丰富和叠加是为了更快更准的分析和响应,而不是利用不同安全产品拼凑组合。在实际市场表现方面,越来越多的客户认识到SIEM产品和服务并重的必要性,同时认为建SOC有价值的客户也日益增多。
  安全监管与安全运营,不同?相同?
  SIEM市场的发展其实给国内的安全态势感知市场提供了参考,将更多的先进的技术融入安全大数据平台是未来安全态势感知发展的一个方向,要有统一的平台和丰富的技术手段及应用才能满足客户的诉求。国内安全态势感知市场主要面向两类场景:监管类和安全运营类。从当前需求量来看,监管类市场是安全态势感知的基本盘,是各厂商的必争之地。安全运营类市场,大家各显神通,努力争取各种与SOC相关的建设机会。但笔者认为,未来的大盘一定是安全运营类市场,包括基于云服务的安全运营,这其实也就是国际上通用的SIEM市场。具体每类场景的客户需求可以参考相关的文章,这里不再赘述。结合近几年与客户交流的心得,讲一些有意思的特点。
  监管类场景往往有以下特点:
  1. 项目一般分阶段建设,不同的阶段可能引入不同的厂商
  2. 多数场景都是多厂商检测方案的组合
  3. 需要业务流程相关的应用定制
  4. 安全服务资源缺失,需要厂家的服务支撑
  安全运营场景有以下特点:
  1. 一般都已有自建的SOC,不会推倒重新建设安全态势感知系统
  2. 需要能力非常强的安全组件,比如沙箱、NTA、UEBA和威胁情报等独立的产品
  3. 有能力自研结合业务的安全应用
  4. 有自己的运维团队,一般自运维,厂家提供技术支撑
  虽然这两类场景有一些看似截然不同的需求,究其本质,还是能归纳出三个重要的共性:检测要准确;运维要简便;应用开发要快速灵活。不管是监管类的引入不同的厂商,还是安全运营类需要能力强大的安全组件,主要都是为了增强检测能力;无论是购买服务或自运维都希望运维能更简单,运营更高效;不论是由厂商定制应用或自研都希望能有一个好的平台,能够快速灵活的开发,同时开发出来的各种应用风格和认证能够统一,不是简单的应用拼凑。
  基于自进化AI的HiSec Insight
  智能防御的开放创新
  基于上述安全态势感知的场景特点,华为在2020年4月21日发布了基于自进化AI的HiSec Insight安全态势感知系统。提出了“感知自进化、运维自简化、应用自适应”的三大理念。
  • 感知自进化:业界首发自进化AI检测引擎威胁检测精确率大于95%;
  • 运维自简化:基于威胁知识图谱+GNN的安全推理和威胁响应引擎,运营成本降低30%;
  • 应用自适应:全国产化开放式数字安全底座,像搭乐高积木一样快速开发应用。
  在整体架构设计上,华为HiSec Insight基于分层解耦的原则,将系统划分为四层,即:平台服务层、数据服务层、分析服务层和安全应用层。在每一层都可以将功能都抽象成独立的微服务,并提供给安全应用层使用。同时HiSec Insight微服务架构与华为云上的微服务架构是同源的,因此安全应用厂商可以便利借助华为云进行开发和调测,快速无缝移植到与HiSec Insight安全态势感知系统上。针对原有的安全应用,HiSec Insight也提供了基于Restful、Syslog等标准的北向接口,进行对接适配。具体的技术细节可参考《基于标准化微服务架构加速安全应用开发》。
  安全态势感知产业的发展仅仅依靠每个厂商各自全栈能力的构建,始终无法满足客户建立完整安全监测中心或运营中心的诉求,所以常见客户对新建或扩展这类系统孜孜不倦的追求。“一花独放不是春,百花齐放春满园”。华为通过HiSec Insight开放的软硬件平台,结合将AI和大数据技术应用于安全检测和运维领域的技术积累,打造完全开放创新的“数字安全底座”。希望携手国内在安全态势感知应用和检测能力方面具备独特能力的同行共建满足客户业务需求,服务好客户的安全态势感知系统,促进产业健康发展。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

专题

CTI论坛会员企业