信息來(lái)源：安全內(nèi)參

一、Gartner對(duì)中國(guó)態(tài)勢(shì)感知平臺(tái)的簡(jiǎn)述

終于，在2022年3月，得益于對(duì)中國(guó)本土市場(chǎng)的重視，Gartner對(duì)外發(fā)布了一份描述中國(guó)態(tài)勢(shì)感知解決方案常見的2個(gè)應(yīng)用場(chǎng)景的快速問答報(bào)告。這是Gartner第一份有關(guān)中國(guó)態(tài)勢(shì)感知市場(chǎng)的報(bào)告，盡管比較簡(jiǎn)要。

報(bào)告指出，中國(guó)的態(tài)勢(shì)感知平臺(tái)依托集成化的SIEM的部署來(lái)獲得對(duì)當(dāng)前安全狀態(tài)的更情境化的視圖。報(bào)告列舉了態(tài)勢(shì)感知解決方案兩個(gè)典型的應(yīng)用場(chǎng)景：滿足等保2.0的3級(jí)及以上的安全運(yùn)營(yíng)要求，為順應(yīng)供應(yīng)商整合趨勢(shì)而為用戶提供整體打包的安全運(yùn)營(yíng)解決方案。

報(bào)告認(rèn)為，態(tài)勢(shì)感知解決方案是現(xiàn)代 SOC的集中式“一體化”技術(shù)和“智慧大腦”，可幫助安全和風(fēng)險(xiǎn)管理 (SRM) 領(lǐng)導(dǎo)者和 SOC 團(tuán)隊(duì)全面了解威脅、風(fēng)險(xiǎn)和漏洞，包括監(jiān)控漏洞，檢測(cè)網(wǎng)絡(luò)攻擊和威脅，分析行為和異常情況，應(yīng)對(duì)網(wǎng)絡(luò)安全事件。

筆者認(rèn)為，這兩個(gè)用例分別代表了中國(guó)態(tài)勢(shì)感知市場(chǎng)的外部驅(qū)動(dòng)力和內(nèi)在驅(qū)動(dòng)力。如下圖是筆者近幾年常用的態(tài)勢(shì)感知建設(shè)驅(qū)動(dòng)因素圖：

Gartner在這份簡(jiǎn)報(bào)中指出：“中國(guó)的態(tài)勢(shì)感知解決方案大多是從傳統(tǒng)的安全事件和事件管理 (SIEM) 演變而來(lái)的。它們是現(xiàn)代 SIEM 平臺(tái)，提供除傳統(tǒng)SIEM之外的更多功能，例如網(wǎng)絡(luò)資產(chǎn)管理、威脅情報(bào)、漏洞管理以及用戶和實(shí)體行為分析 (UEBA)，以簡(jiǎn)化跨模塊的流程。”

簡(jiǎn)報(bào)還給出了一個(gè)態(tài)勢(shì)感知解決方案的概念架構(gòu)圖，如下：

上述描述和架構(gòu)圖，與筆者早先對(duì)態(tài)勢(shì)感知的描述性定義基本吻合。這里給出一個(gè)修訂后的定義：

網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)以特定網(wǎng)絡(luò)空間資產(chǎn)及上面運(yùn)行的業(yè)務(wù)系統(tǒng)為保護(hù)對(duì)象，整合分散的安全防護(hù)、檢測(cè)和響應(yīng)技術(shù)，持續(xù)收集目標(biāo)對(duì)象的資產(chǎn)數(shù)據(jù)、運(yùn)行數(shù)據(jù)、脆弱性數(shù)據(jù)、內(nèi)外部安全情報(bào)、日志及流量數(shù)據(jù)，及各類情境數(shù)據(jù)，進(jìn)行多層次安全分析，從多個(gè)維度持續(xù)監(jiān)測(cè)、評(píng)估和預(yù)測(cè)網(wǎng)絡(luò)安全安全狀況，有效識(shí)別各類風(fēng)險(xiǎn)，即時(shí)預(yù)警、告警與情報(bào)分享，進(jìn)行編排化協(xié)同響應(yīng)，達(dá)成對(duì)目標(biāo)網(wǎng)絡(luò)安全的防護(hù)，并進(jìn)行有效性驗(yàn)證。

簡(jiǎn)言之，網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)能夠支撐運(yùn)行人員實(shí)現(xiàn)態(tài)勢(shì)數(shù)據(jù)的采集、分析、決策、行動(dòng)和驗(yàn)證的閉環(huán)。

進(jìn)一步分析Gartner對(duì)態(tài)勢(shì)感知的理解，可以明顯的感受到以下幾點(diǎn)：

1）態(tài)勢(shì)感知平臺(tái)是一個(gè)面向多安全要素的綜合性的、全方位的態(tài)勢(shì)感知平臺(tái)，至少融合了資產(chǎn)態(tài)勢(shì)、漏洞態(tài)勢(shì)和威脅態(tài)勢(shì)。同時(shí)，也明確提出了要形成總體態(tài)勢(shì)視圖，以及具體（分視角）的態(tài)勢(shì)視圖。

2）目前態(tài)勢(shì)感知平臺(tái)主要依托于SIEM來(lái)建立。此外，當(dāng)前態(tài)勢(shì)感知范疇內(nèi)的功能與SIEM范疇之內(nèi)的功能高度重疊。態(tài)勢(shì)感知從要素信息的采集、分析、存儲(chǔ)到展示，每個(gè)環(huán)節(jié)都融入了SIEM平臺(tái)。

2）態(tài)勢(shì)感知要閉環(huán)。Gartner將以SOAR為代表的響應(yīng)能力作為可選模塊，以實(shí)現(xiàn)態(tài)勢(shì)感知的閉環(huán)，也就是筆者經(jīng)常講的“從態(tài)勢(shì)感知到有效防護(hù)”。

最后，筆者感覺Gartner略有不足之處在于沒有明確指出態(tài)勢(shì)感知解決方案是一個(gè)融合平臺(tái)技術(shù)、人員和流程的有機(jī)體，而僅聚焦于平臺(tái)技術(shù)了。

延展開來(lái)，Gartner此時(shí)對(duì)中國(guó)態(tài)勢(shì)感知市場(chǎng)多少算一個(gè)小結(jié)，因?yàn)榇藭r(shí)態(tài)勢(shì)感知市場(chǎng)已經(jīng)如火如荼。從最早（2019）IDC首次定義中國(guó)態(tài)勢(shì)感知市場(chǎng)，到賽迪出具態(tài)勢(shì)感知分析報(bào)告（2020），再到現(xiàn)在（2022）Gartner定義中國(guó)態(tài)勢(shì)感知市場(chǎng)，以及2020年啟動(dòng)目前尚在制定中的國(guó)標(biāo)《網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》，態(tài)勢(shì)感知在2019年以后才真正發(fā)展起來(lái)。

二、態(tài)勢(shì)感知的未來(lái)演進(jìn)方向探索

未來(lái)的態(tài)勢(shì)感知將如何演進(jìn)？很多人給出了自己的解答，筆者也進(jìn)行了一番思考，認(rèn)為應(yīng)回到態(tài)勢(shì)感知的本源。

下圖是態(tài)勢(shì)感知的學(xué)術(shù)界泰斗Endsley的論文中的圖，展示了動(dòng)態(tài)決策中的態(tài)勢(shì)感知模型。

如上圖所示，我們通常討論態(tài)勢(shì)感知的理論基礎(chǔ)的時(shí)候，多僅僅引用上圖中態(tài)勢(shì)感知的三階段模型（察覺、理解和預(yù)測(cè)），而未將其放到動(dòng)態(tài)決策的大背景中。如此一來(lái)，導(dǎo)致很多時(shí)候忘記了做態(tài)勢(shì)感知的目的是什么。

正如筆者之前多次指出，態(tài)勢(shì)感知的目標(biāo)是實(shí)現(xiàn)有效防護(hù)！也就是說，態(tài)勢(shì)感知要閉環(huán)。結(jié)合上圖，就是：態(tài)勢(shì)感知的目的是為了做出決策，執(zhí)行行動(dòng)。然后重新感知態(tài)勢(shì)，做出新的決策和行動(dòng)。

態(tài)勢(shì)感知是一個(gè)典型的OODA模型。

進(jìn)一步分析，業(yè)界一直在說防御體系建設(shè)要從靜態(tài)向動(dòng)態(tài)轉(zhuǎn)變，從被動(dòng)向主動(dòng)轉(zhuǎn)變，從單體向多體轉(zhuǎn)變，從孤立向協(xié)同轉(zhuǎn)變，從簡(jiǎn)單縱深向復(fù)合縱深轉(zhuǎn)變。簡(jiǎn)言之，就是動(dòng)態(tài)防御。而這正是態(tài)勢(shì)感知要提供的能力，通過態(tài)勢(shì)感知獲得態(tài)勢(shì)決策，執(zhí)行行動(dòng)。對(duì)此，業(yè)內(nèi)先驅(qū)大軸老師在《網(wǎng)絡(luò)空間安全防御與態(tài)勢(shì)感知》一書中有詳細(xì)闡述。

回過頭來(lái)看看當(dāng)前的態(tài)勢(shì)感知在服務(wù)于態(tài)勢(shì)決策方面做了些什么?？梢韵聫膬蓚€(gè)角度進(jìn)行闡述：

1）從產(chǎn)生決策的角度來(lái)看，當(dāng)前的態(tài)勢(shì)感知基本停留在態(tài)勢(shì)察覺（perception，或者叫觀察）的層次上，少量涉及到態(tài)勢(shì)理解的部分，基本都無(wú)法形成完整的理解，而態(tài)勢(shì)預(yù)測(cè)更是稀少，有些基于統(tǒng)計(jì)的預(yù)測(cè)就不錯(cuò)了。最后的結(jié)果就是難以產(chǎn)生態(tài)勢(shì)決策，也就無(wú)法形成行動(dòng)，實(shí)現(xiàn)防御閉環(huán)。此外，當(dāng)前的SIEM中的技術(shù)棧支撐也都難以提供更高水平的態(tài)勢(shì)決策能力。

2）從決策后的行動(dòng)角度來(lái)看，當(dāng)前的態(tài)勢(shì)感知平臺(tái)對(duì)于決策基本上無(wú)法付諸行動(dòng)，也缺乏執(zhí)行行動(dòng)的技術(shù)支撐，難以形成響應(yīng)到再感知的閉環(huán)。

也就是說，當(dāng)前的態(tài)勢(shì)感知以發(fā)現(xiàn)問題為主，而在如何解決問題方面有所欠缺。

基于上述討論，筆者提出一個(gè)觀點(diǎn)：

未來(lái)的態(tài)勢(shì)感知是面向決策的。系統(tǒng)功能設(shè)計(jì)側(cè)重于形成態(tài)勢(shì)決策。進(jìn)一步地，要形成兩類決策：宏觀決策和中觀決策。宏觀決策是策略級(jí)的響應(yīng)，是對(duì)當(dāng)前整體安全防御保障等級(jí)的調(diào)整，對(duì)應(yīng)一系列與該等級(jí)相關(guān)的意圖、策略、規(guī)則和配置集合，通過人機(jī)結(jié)合的方式執(zhí)行下去。策略級(jí)響應(yīng)的態(tài)勢(shì)感知迭代周期通常較長(zhǎng)。中觀決策是戰(zhàn)術(shù)級(jí)的響應(yīng)，是對(duì)當(dāng)前某個(gè)具體的安全事件的綜合研判后的響應(yīng)行動(dòng)（包括處置、調(diào)查、追蹤、溯源等），通過人機(jī)結(jié)合（機(jī)器優(yōu)先）的方式快速迭代執(zhí)行下去。

未來(lái)的態(tài)勢(shì)感知是可運(yùn)行/運(yùn)營(yíng)的、實(shí)戰(zhàn)化的，態(tài)勢(shì)運(yùn)營(yíng)是安全運(yùn)營(yíng)的一部分。未來(lái)的態(tài)勢(shì)感知平臺(tái)將可以進(jìn)行決策或者輔助決策，有良好的人機(jī)互動(dòng)，實(shí)現(xiàn)人在回路之上的閉環(huán)（大軸稱之為“人在控制閉環(huán)之上”，詳見《網(wǎng)絡(luò)空間安全防御與態(tài)勢(shì)感知》一書）。而正因?yàn)樾纬闪碎]環(huán)，就具備了運(yùn)行/運(yùn)營(yíng)的可行性。同時(shí)，態(tài)勢(shì)感知的閉環(huán)要納入到整體的安全運(yùn)行/運(yùn)營(yíng)之中，成為安全運(yùn)行/運(yùn)營(yíng)的一個(gè)組成部分，有自己的相對(duì)獨(dú)立清晰的技術(shù)依托、流程和崗位職責(zé)，此時(shí)可以稱之為“態(tài)勢(shì)運(yùn)行”或者“態(tài)勢(shì)運(yùn)營(yíng)”。

如果我們把當(dāng)前的態(tài)勢(shì)感知稱作態(tài)勢(shì)感知1.0，那么面向決策的態(tài)勢(shì)感知就是態(tài)勢(shì)感知2.0。