上世纪九十年代，“态势感知”带着它引以为傲的军方（美国空军）血统，空降到信息安全领域。经过几十年的演进，态势感知已经“身居高位”，在美国的国家安全和其他个别行业得到了极大的发展和应用。其目前的标准定义是“在一定的时间和空间范围内，企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险，并对他们未来的状态进行预测。”该定义决定了安全态势感知平台不应该是一个传统的安全攻防产品，而是一个兼具数据分析和异常检测的发现预警平台。

在国内，最近几年，尤其是随着2018年国家《网络安全法》的出台，安全态势感知迅速成为信息安全的一个热门话题。一时间，相关产品或方案频频亮相，使得该领域呈现百花齐放，百家争鸣之势。但细心的业内人士很快就会发现，安全态势感知平台想要高效落地，对企业的背景极为挑剔，它要求企业数据资源丰富完整、业务场景定义清晰、分析需求必要持久。然而，能达到上述要求的企业大多属于国家层面或某些特定的垂直行业层面，普通企业并不充分具备这些条件。因此，安全态势感知平台在普通的企业信息安全领域实施落地不尽理想，雷声大雨点小，究其原因，有如下局限性：

从需求方讲，大多数企业的信息安全部门，目前多为应付常规的安全运维业务而疲于奔命，能够开展安全数据分析的本就不多（这点和美国同行差距很大，基于日志分析的SIEM在美国的大中型企业已经有近二十年的使用经验），所存储的安全相关的数据（日志），也多为特定的审计任务而设计，其数据特征对于安全业务的覆盖性远远不够，这样的数据源对于一个企业安全态势感知平台来说只是杯水车薪，完全无法支撑起平台对整个企业网络的安全现状和未来的分析。

从供给方讲，虽然众路神仙各显神通，短时间内都推出了各自的安全态势感知产品/平台/方案以蹭热度，但是：

1

传统安全厂商仓促应战，大多是立足于自身已有安全产品，推出外延性的安全态势感知产品。他们借助于沉浸企业安全领域多年的经验，和对企业安全现状相对清晰的了解，能够迅速地推出一款看似抓住客户现时需求的产品，但从长期效果看，这种做法根本无法达到一个真正的安全态势感知平台的需求。传统安全产品往往都聚焦于“攻防”问题，没有哪个产品在设计之初会把数据分析做为产品的目标之一，他们需要更多地考虑企业网络和应用的稳定，以及用户体验的维护，这就必然把产品产生相关数据（日志）的能力压到最低，而这些数据（日志）又恰好是态势感知平台所需要的数据源，这就导致了原本可以“大展身手”的安全态势感知平台陷入了“巧妇难为无米之炊”的境地。这是基于传统SIEM产品做态势感知平台的致命缺陷，对安全厂商来讲，要想根本解决这个问题，其一，需要重新设计一个强大的数据特征采集器；其二，平台需要具备数据分析功能，两个前提必不可少。

2

传统网络设备厂商，一直也在关注企业网络安全市场，但传统的企业网络安全技术产品已经相当成熟，跨界操作实属不易。态势感知需求的出现，对他们无疑是一利好消息，尤其是做网络性能分析（NPM/APM）的厂商，他们具有产品基因是数据分析的优势，也很想分一块蛋糕。但网络运维和信息安全看似相近的技术，实则是完全不同的业务方向，两者之间甚至存在冲突关系：企业网络安全的最大威胁对象不是外部，而是内部；内部最大的安全隐患不是其他部门，恰恰是IT运维部门，甚至是IT安全部门自身。短时间内能够推出符合企业网络安全真正需要、而不是IT运维需要的安全态势感知平台难度不小。

3

互联网运营商，互联网技术在中国过去二十年是发展最快的行业，也是与世界领先水平差距最小（可能很多人都认为已经没有差距，我们已是领先者了）的行业，以至于很多相关人士都忽略了internet和IT实际上是有交集，但又完全独立的两个不同领域。但业界的共识是，互联网领域发展到今天已经不再容易有赚大钱的机会了，因此近几年几个互联网大厂大举入侵企业IT市场（号称toC转toB），城墙失火殃及池鱼，企业信息安全领域也不可避免地充斥着互联网气息。从技术上讲，互联网企业的大数据处理也先天带有数据分析的属性，但从笔者视觉看，互联网的数据分析是海量的“大（big）”数据分析，而企业信息安全需要的则是“精准(right)”数据分析，两者看似相似，实则差别很大。互联网企业面对的消费者市场和企业IT安全面对的企业市场完全是两个世界，所以互联网企业想直接进入企业IT的一个细分市场——安全态势感知平台，要做的功课和要走的路还太多。当然，基于中国国情，政府机构和某些敏感垂直行业的场景和互联网有一定的相似度，也许这些领域才是互联网企业应该考虑占有的领地，而不是广大的个体企业市场。

那么，做为一个企业的CISO，当建设一个安全态势感知平台已迫在眉睫时，需要如何定义目标，又要如何入手呢？
近几年市场上涌现出的的网络安全态势感知产品或平台，除个别定制化分析平台（业务场景化很深，基本上是甲方主导，项目实现）之外，由厂商直接提供的大多数解决方案，更像是根据企业网络安全可视的需求，把多个传统安全产品的UI数据汇聚到一起后按照不同维度重新划分后再呈现的过程。

首先我们必须承认，做到这一点已经能够满足目前部分企业的一些需求，譬如之前企业网络安全运维人员为了生成企业网络安全报告，不得不分别登陆到不同的安全设备上获取相关信息，然后人工合成报告，这是一个痛苦又复杂的过程。现在的态势感知产品的出现，恰恰满足了安全运维人员这个日常运维工作的“刚需”。

但是，我们也要清楚的认识到，目前这些平台方案，有“态”未“势”，有“感”未“知”，离真正意义上的“态势感知”还很远：

“态”：状态，代表着当下正在发生

“势”：趋势，代表着未来可能发生

“感”：感觉，是一种直觉的看清楚

“知”：知晓，是意识心理层面的经过逻辑分析的理解

因此，建设一个真正的企业网络安全态势感知平台，一定要考虑以下技术环节：

灵活的数据特征采集功能

一切数据分析平台的起点是真实精准的数据源，要想做到真正的态势感知，“巧妇”需有“米”。而企业之间情况各异，能够提供的数据和所关联的安全业务场景千差万别，这就决定了设计一个无需定制化、不同场景通用的数据采集器是不现实的。市场需要有一个能够为企业网络安全态势感知平台“量身定做的”的数据特征采集器，客户能够轻而易举地自定义需要采集的数据特征，这样才能建设一个既满足现时设计需求、又可在未来删加自如、及时更新的网络安全态势感知平台。

清晰的安全维度划分和关联

需要有能力从企业网络各主要安全要素中的任意一个维度drill down看问题，譬如从人、设备、应用或敏感数据等任一角度，满足客户可能有的“人”的态势感知、“设备”的态势感知、“应用”的态势感知和“数据”的态势感知等不同需求。而且，企业网络环境的复杂性，决定了我们往往无法从单个维度入手就能解决某个安全问题，而是需要综合多个维度去关联分析。因此，能够在这几个维度间任意切换视角也是一个优秀的网络安全态势感知平台的必备特征，这恰恰是目前传统安全厂商基于自身产品之上建立的态势感知平台的致命缺陷（传统安全产品从设计之初就是从企业的单个安全维度看问题，为不同安全维度设计的多个产品产生的数据之间从技术上很难做到无缝关联）。

高效落地的UEBA功能

态势感知平台不是一个汇总罗列的UI界面，也不是日志或告警信息的排列组合，它与在网络安全界长期占有重要地位的传统SIEM产品相比，必须要有质的飞跃。而“势”和“知”的需求更是对平台的数据分析能力提出了巨大的挑战，基于AI/机器学习的UEBA技术应该是当仁不让的挑战者，如何1）从海量数据中准确地抓取敏感或高风险安全信息且不是误报；2）无需或减少数据分析专家的参与，企业安全运维人员就能够“被动”获得安全告警；3）事前、事中、事后都能够及时分析并高效响应。这三点是验证一个安全态势感知平台UEBA功能的试金石。

实时分析的能力

很多厂商在对外宣传时也会强调实时处理分析能力，但目前看到的绝大多数的“实时“是指单个安全日志（这个“实时”实际上是由做为数据源的相关的安全产品决定的，还没有考虑到从数据源到分析平台的时延）或单个统计数据的实时展现，一个真正的安全态势感知平台必须有很强的实时关联分析能力，否则“态”和“势“都将成为空谈。

强大的输入/输出接口

一个企业不可能只使用一个厂商的网络或安全产品，但一个企业只能有一个安全态势感知平台。要做到对企业网络全方位无死角的态势感知，就需要有强大的输入能力，以接收企业网络上所有节点发出的各种格式的数据（日志），或是来自第三方的情报等信息。而一个好的安全态势感知平台，也一定要有为企业更高层的业务或管理平台及时输出所需信息的能力。

易于定制化BI和UI的能力

由于每家企业情况的千差万别，为市场提供一款拿来即用的安全态势感知产品基本上是一个奢望。理想的安全态势感知平台本身应该是一个“框架”，有着非常友好的二次开发功能，无论是甲方还是第三方，都能够根据自身的特殊业务场景，随时高效定制化相关的BI和UI，这才是一个企业真正需要的安全态势感知平台。

最后，给读者留下一个思考问题：做为一个企业的CXO，到底需要给企业建设一个怎样的安全态势感知平台，是“网络”安全态势感知平台？“数据资产”安全态势感知平台？还是“业务”安全态势感知平台？或者就是一个企业顶层的没有主语的安全态势感知平台？也许这个问题的答案才是企业如何顶层设计安全态势感知平台的起点？而“归全返真，居诸不息”就是企业建设这个平台的目标吧！

关于全息网御：全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构网络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。