隨著社會數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡(luò)攻擊事件日漸增多、破壞力逐步增強。國際上通用的安全方法論，正逐步從“針對威脅的安全防御”向“面向業(yè)務(wù)的安全治理”（IPDRR等）演進(jìn)。2014年美國NIST發(fā)布了CSF（Cybersecurity Framework，網(wǎng)絡(luò)安全框架）三大組成部分，IPDRR是其核心框架。

　　企業(yè)網(wǎng)絡(luò)安全系統(tǒng)框架（參考IPDRR）

　　IPDRR能力框架模型包括風(fēng)險識別（Identify）、安全防御（Protect）、安全檢測（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）五大能力，從以防護(hù)為核心的模型，轉(zhuǎn)向以檢測和業(yè)務(wù)連續(xù)性管理（韌性）的模型，變被動為主動，最終達(dá)成自適應(yīng)的安全能力。

　　IPDRR模型體現(xiàn)了安全保障系統(tǒng)化的思想，管理與技術(shù)結(jié)合，充分利用當(dāng)前“主動縱深防御體系、網(wǎng)絡(luò)信任體系、動態(tài)安全自適應(yīng)體系”的長期積累，設(shè)法建立一個讓攻擊者“進(jìn)不來、看不見、搞不壞、走不脫”的體系，建立不利于攻擊方存活的環(huán)境，通過體系的力量扭轉(zhuǎn)攻防不對稱，從而有效保障系統(tǒng)核心業(yè)務(wù)的安全。整體的IPDRR也是安全態(tài)勢感知體系建立的基礎(chǔ)參考模型，通過動態(tài)的持續(xù)安全檢測來實現(xiàn)IPDR的閉環(huán)安全，為用戶提供完善的安全能力框架和支撐體系。

　　具體到中國的安全態(tài)勢感知市場，相關(guān)咨詢機構(gòu)預(yù)計2021年將達(dá)到54億元左右。這個數(shù)字應(yīng)該包括跟安全態(tài)勢感知相關(guān)聯(lián)的產(chǎn)品及安全服務(wù)，在國內(nèi)整體網(wǎng)絡(luò)安全市場中的占比在6%左右。打開全球市場來看，在國際通用的安全產(chǎn)品市場分類中是沒有安全態(tài)勢感知的，SIEM市場是最接近的分類。所以要看安全態(tài)勢感知的市場，我們可以從全球的SIEM市場說起。

　　SIEM市場已經(jīng)存在了二十年，最初是從日志管理產(chǎn)品發(fā)展而來的，它結(jié)合了安全事件管理（SEM）和安全信息管理（SIM），可以實時分析事件和日志等數(shù)據(jù)，提供威脅監(jiān)控，事件關(guān)聯(lián)和事件響應(yīng)。發(fā)展至今，SIEM產(chǎn)品越來越注重針對內(nèi)部和外部威脅的高級威脅檢測和響應(yīng)功能，尤其是新型的檢測方法和響應(yīng)方式。新型檢測方法指NTA（Network Traffic Analyzer，網(wǎng)絡(luò)流量分析器）、UEBA（User and Entity Behavior Analytics，用戶行為分析）及其他高級安全分析方法（如威脅情報和Deception等）；響應(yīng)方式特指Gartner提出的SOAR。另外，大數(shù)據(jù)架構(gòu)已經(jīng)成為主流，這也使得新入局的SIEM廠商有機會利用成熟的大數(shù)據(jù)去構(gòu)建其底層架構(gòu)，從而為快速趕上甚至超越傳統(tǒng)的廠商創(chuàng)造了有利條件。Gartner甚至把這種新型的SIEM系統(tǒng)取了一個時髦的名字“Modern SIEM”。另外我們也經(jīng)常聽到SOC（Security Operation Center，安全運營中心）這個概念，本質(zhì)上SOC不是一款單純的產(chǎn)品，而是一個復(fù)雜的體系，他既有產(chǎn)品，又有服務(wù)，還有運營。SOC是技術(shù)、流程和人的有機結(jié)合，可以簡單看成是SIEM + 安全運營服務(wù)。

　　從2005年開始，Gartner每年都會發(fā)布一份關(guān)于SIEM的報告，至今從未中斷過。有意思的是，Gartner的研究報告投入了大部分的精力在網(wǎng)絡(luò)與信息安全領(lǐng)域。而在所有涉及安全領(lǐng)域的報告中，跟 SIEM有關(guān)的文章占據(jù)了很大的篇幅，分析報告的數(shù)量比例遠(yuǎn)高于SIEM產(chǎn)品在安全市場的占比。盡管市場上有不少客戶部署SIEM失敗的案例，但客戶依然熱此不疲。足見市場背后的需求推動力大過了部署失敗的風(fēng)險。這從側(cè)面說明這是個有剛性需求但目前無法被很好滿足的市場。

　　綜合分析Gartner 2019年SIEM MQ報告以及最新發(fā)布的Market Share報告，總結(jié)出下面幾個特點：

　　SIEM市場的發(fā)展其實給國內(nèi)的安全態(tài)勢感知市場提供了參考，將更多的先進(jìn)的技術(shù)融入安全大數(shù)據(jù)平臺是未來安全態(tài)勢感知發(fā)展的一個方向，要有統(tǒng)一的平臺和豐富的技術(shù)手段及應(yīng)用才能滿足客戶的訴求。國內(nèi)安全態(tài)勢感知市場主要面向兩類場景：監(jiān)管類和安全運營類。從當(dāng)前需求量來看，監(jiān)管類市場是安全態(tài)勢感知的基本盤，是各廠商的必爭之地。安全運營類市場，大家各顯神通，努力爭取各種與SOC相關(guān)的建設(shè)機會。但筆者認(rèn)為，未來的大盤一定是安全運營類市場，包括基于云服務(wù)的安全運營，這其實也就是國際上通用的SIEM市場。具體每類場景的客戶需求可以參考相關(guān)的文章，這里不再贅述。結(jié)合近幾年與客戶交流的心得，講一些有意思的特點。

　　雖然這兩類場景有一些看似截然不同的需求，究其本質(zhì)，還是能歸納出三個重要的共性：檢測要準(zhǔn)確；運維要簡便；應(yīng)用開發(fā)要快速靈活。不管是監(jiān)管類的引入不同的廠商，還是安全運營類需要能力強大的安全組件，主要都是為了增強檢測能力；無論是購買服務(wù)或自運維都希望運維能更簡單，運營更高效；不論是由廠商定制應(yīng)用或自研都希望能有一個好的平臺，能夠快速靈活的開發(fā)，同時開發(fā)出來的各種應(yīng)用風(fēng)格和認(rèn)證能夠統(tǒng)一，不是簡單的應(yīng)用拼湊。

　　基于上述安全態(tài)勢感知的場景特點，華為在2020年4月21日發(fā)布了基于自進(jìn)化AI的HiSec Insight安全態(tài)勢感知系統(tǒng)。提出了“感知自進(jìn)化、運維自簡化、應(yīng)用自適應(yīng)”的三大理念。

　　在整體架構(gòu)設(shè)計上，華為HiSec Insight基于分層解耦的原則，將系統(tǒng)劃分為四層，即：平臺服務(wù)層、數(shù)據(jù)服務(wù)層、分析服務(wù)層和安全應(yīng)用層。在每一層都可以將功能都抽象成獨立的微服務(wù)，并提供給安全應(yīng)用層使用。同時HiSec Insight微服務(wù)架構(gòu)與華為云上的微服務(wù)架構(gòu)是同源的，因此安全應(yīng)用廠商可以便利借助華為云進(jìn)行開發(fā)和調(diào)測，快速無縫移植到與HiSec Insight安全態(tài)勢感知系統(tǒng)上。針對原有的安全應(yīng)用，HiSec Insight也提供了基于Restful、Syslog等標(biāo)準(zhǔn)的北向接口，進(jìn)行對接適配。具體的技術(shù)細(xì)節(jié)可參考《基于標(biāo)準(zhǔn)化微服務(wù)架構(gòu)加速安全應(yīng)用開發(fā)》。

　　安全態(tài)勢感知產(chǎn)業(yè)的發(fā)展僅僅依靠每個廠商各自全棧能力的構(gòu)建，始終無法滿足客戶建立完整安全監(jiān)測中心或運營中心的訴求，所以常見客戶對新建或擴展這類系統(tǒng)孜孜不倦的追求。“一花獨放不是春，百花齊放春滿園”。華為通過HiSec Insight開放的軟硬件平臺，結(jié)合將AI和大數(shù)據(jù)技術(shù)應(yīng)用于安全檢測和運維領(lǐng)域的技術(shù)積累，打造完全開放創(chuàng)新的“數(shù)字安全底座”。希望攜手國內(nèi)在安全態(tài)勢感知應(yīng)用和檢測能力方面具備獨特能力的同行共建滿足客戶業(yè)務(wù)需求，服務(wù)好客戶的安全態(tài)勢感知系統(tǒng)，促進(jìn)產(chǎn)業(yè)健康發(fā)展。