隨著社會(huì)數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡(luò)攻擊事件日漸增多、破壞力逐步增強(qiáng)。國(guó)際上通用的安全方法論，正逐步從“針對(duì)威脅的安全防御”向“面向業(yè)務(wù)的安全治理”（IPDRR等）演進(jìn)。2014年美國(guó)NIST發(fā)布了CSF（Cybersecurity Framework，網(wǎng)絡(luò)安全框架）三大組成部分，IPDRR是其核心框架。

　　企業(yè)網(wǎng)絡(luò)安全系統(tǒng)框架（參考IPDRR）

　　IPDRR能力框架模型包括風(fēng)險(xiǎn)識(shí)別（Identify）、安全防御（Protect）、安全檢測(cè)（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）五大能力，從以防護(hù)為核心的模型，轉(zhuǎn)向以檢測(cè)和業(yè)務(wù)連續(xù)性管理（韌性）的模型，變被動(dòng)為主動(dòng)，最終達(dá)成自適應(yīng)的安全能力。

　　IPDRR模型體現(xiàn)了安全保障系統(tǒng)化的思想，管理與技術(shù)結(jié)合，充分利用當(dāng)前“主動(dòng)縱深防御體系、網(wǎng)絡(luò)信任體系、動(dòng)態(tài)安全自適應(yīng)體系”的長(zhǎng)期積累，設(shè)法建立一個(gè)讓攻擊者“進(jìn)不來(lái)、看不見、搞不壞、走不脫”的體系，建立不利于攻擊方存活的環(huán)境，通過體系的力量扭轉(zhuǎn)攻防不對(duì)稱，從而有效保障系統(tǒng)核心業(yè)務(wù)的安全。整體的IPDRR也是安全態(tài)勢(shì)感知體系建立的基礎(chǔ)參考模型，通過動(dòng)態(tài)的持續(xù)安全檢測(cè)來(lái)實(shí)現(xiàn)IPDR的閉環(huán)安全，為用戶提供完善的安全能力框架和支撐體系。

　　具體到中國(guó)的安全態(tài)勢(shì)感知市場(chǎng)，相關(guān)咨詢機(jī)構(gòu)預(yù)計(jì)2021年將達(dá)到54億元左右。這個(gè)數(shù)字應(yīng)該包括跟安全態(tài)勢(shì)感知相關(guān)聯(lián)的產(chǎn)品及安全服務(wù)，在國(guó)內(nèi)整體網(wǎng)絡(luò)安全市場(chǎng)中的占比在6%左右。打開全球市場(chǎng)來(lái)看，在國(guó)際通用的安全產(chǎn)品市場(chǎng)分類中是沒有安全態(tài)勢(shì)感知的，SIEM市場(chǎng)是最接近的分類。所以要看安全態(tài)勢(shì)感知的市場(chǎng)，我們可以從全球的SIEM市場(chǎng)說(shuō)起。

　　SIEM市場(chǎng)已經(jīng)存在了二十年，最初是從日志管理產(chǎn)品發(fā)展而來(lái)的，它結(jié)合了安全事件管理（SEM）和安全信息管理（SIM），可以實(shí)時(shí)分析事件和日志等數(shù)據(jù)，提供威脅監(jiān)控，事件關(guān)聯(lián)和事件響應(yīng)。發(fā)展至今，SIEM產(chǎn)品越來(lái)越注重針對(duì)內(nèi)部和外部威脅的高級(jí)威脅檢測(cè)和響應(yīng)功能，尤其是新型的檢測(cè)方法和響應(yīng)方式。新型檢測(cè)方法指NTA（Network Traffic Analyzer，網(wǎng)絡(luò)流量分析器）、UEBA（User and Entity Behavior Analytics，用戶行為分析）及其他高級(jí)安全分析方法（如威脅情報(bào)和Deception等）；響應(yīng)方式特指Gartner提出的SOAR。另外，大數(shù)據(jù)架構(gòu)已經(jīng)成為主流，這也使得新入局的SIEM廠商有機(jī)會(huì)利用成熟的大數(shù)據(jù)去構(gòu)建其底層架構(gòu)，從而為快速趕上甚至超越傳統(tǒng)的廠商創(chuàng)造了有利條件。Gartner甚至把這種新型的SIEM系統(tǒng)取了一個(gè)時(shí)髦的名字“Modern SIEM”。另外我們也經(jīng)常聽到SOC（Security Operation Center，安全運(yùn)營(yíng)中心）這個(gè)概念，本質(zhì)上SOC不是一款單純的產(chǎn)品，而是一個(gè)復(fù)雜的體系，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)營(yíng)。SOC是技術(shù)、流程和人的有機(jī)結(jié)合，可以簡(jiǎn)單看成是SIEM + 安全運(yùn)營(yíng)服務(wù)。

　　從2005年開始，Gartner每年都會(huì)發(fā)布一份關(guān)于SIEM的報(bào)告，至今從未中斷過。有意思的是，Gartner的研究報(bào)告投入了大部分的精力在網(wǎng)絡(luò)與信息安全領(lǐng)域。而在所有涉及安全領(lǐng)域的報(bào)告中，跟 SIEM有關(guān)的文章占據(jù)了很大的篇幅，分析報(bào)告的數(shù)量比例遠(yuǎn)高于SIEM產(chǎn)品在安全市場(chǎng)的占比。盡管市場(chǎng)上有不少客戶部署SIEM失敗的案例，但客戶依然熱此不疲。足見市場(chǎng)背后的需求推動(dòng)力大過了部署失敗的風(fēng)險(xiǎn)。這從側(cè)面說(shuō)明這是個(gè)有剛性需求但目前無(wú)法被很好滿足的市場(chǎng)。

　　綜合分析Gartner 2019年SIEM MQ報(bào)告以及最新發(fā)布的Market Share報(bào)告，總結(jié)出下面幾個(gè)特點(diǎn)：

　　SIEM市場(chǎng)的發(fā)展其實(shí)給國(guó)內(nèi)的安全態(tài)勢(shì)感知市場(chǎng)提供了參考，將更多的先進(jìn)的技術(shù)融入安全大數(shù)據(jù)平臺(tái)是未來(lái)安全態(tài)勢(shì)感知發(fā)展的一個(gè)方向，要有統(tǒng)一的平臺(tái)和豐富的技術(shù)手段及應(yīng)用才能滿足客戶的訴求。國(guó)內(nèi)安全態(tài)勢(shì)感知市場(chǎng)主要面向兩類場(chǎng)景：監(jiān)管類和安全運(yùn)營(yíng)類。從當(dāng)前需求量來(lái)看，監(jiān)管類市場(chǎng)是安全態(tài)勢(shì)感知的基本盤，是各廠商的必爭(zhēng)之地。安全運(yùn)營(yíng)類市場(chǎng)，大家各顯神通，努力爭(zhēng)取各種與SOC相關(guān)的建設(shè)機(jī)會(huì)。但筆者認(rèn)為，未來(lái)的大盤一定是安全運(yùn)營(yíng)類市場(chǎng)，包括基于云服務(wù)的安全運(yùn)營(yíng)，這其實(shí)也就是國(guó)際上通用的SIEM市場(chǎng)。具體每類場(chǎng)景的客戶需求可以參考相關(guān)的文章，這里不再贅述。結(jié)合近幾年與客戶交流的心得，講一些有意思的特點(diǎn)。

　　雖然這兩類場(chǎng)景有一些看似截然不同的需求，究其本質(zhì)，還是能歸納出三個(gè)重要的共性：檢測(cè)要準(zhǔn)確；運(yùn)維要簡(jiǎn)便；應(yīng)用開發(fā)要快速靈活。不管是監(jiān)管類的引入不同的廠商，還是安全運(yùn)營(yíng)類需要能力強(qiáng)大的安全組件，主要都是為了增強(qiáng)檢測(cè)能力；無(wú)論是購(gòu)買服務(wù)或自運(yùn)維都希望運(yùn)維能更簡(jiǎn)單，運(yùn)營(yíng)更高效；不論是由廠商定制應(yīng)用或自研都希望能有一個(gè)好的平臺(tái)，能夠快速靈活的開發(fā)，同時(shí)開發(fā)出來(lái)的各種應(yīng)用風(fēng)格和認(rèn)證能夠統(tǒng)一，不是簡(jiǎn)單的應(yīng)用拼湊。

　　基于上述安全態(tài)勢(shì)感知的場(chǎng)景特點(diǎn)，華為在2020年4月21日發(fā)布了基于自進(jìn)化AI的HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)。提出了“感知自進(jìn)化、運(yùn)維自簡(jiǎn)化、應(yīng)用自適應(yīng)”的三大理念。

　　在整體架構(gòu)設(shè)計(jì)上，華為HiSec Insight基于分層解耦的原則，將系統(tǒng)劃分為四層，即：平臺(tái)服務(wù)層、數(shù)據(jù)服務(wù)層、分析服務(wù)層和安全應(yīng)用層。在每一層都可以將功能都抽象成獨(dú)立的微服務(wù)，并提供給安全應(yīng)用層使用。同時(shí)HiSec Insight微服務(wù)架構(gòu)與華為云上的微服務(wù)架構(gòu)是同源的，因此安全應(yīng)用廠商可以便利借助華為云進(jìn)行開發(fā)和調(diào)測(cè)，快速無(wú)縫移植到與HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)上。針對(duì)原有的安全應(yīng)用，HiSec Insight也提供了基于Restful、Syslog等標(biāo)準(zhǔn)的北向接口，進(jìn)行對(duì)接適配。具體的技術(shù)細(xì)節(jié)可參考《基于標(biāo)準(zhǔn)化微服務(wù)架構(gòu)加速安全應(yīng)用開發(fā)》。

　　安全態(tài)勢(shì)感知產(chǎn)業(yè)的發(fā)展僅僅依靠每個(gè)廠商各自全棧能力的構(gòu)建，始終無(wú)法滿足客戶建立完整安全監(jiān)測(cè)中心或運(yùn)營(yíng)中心的訴求，所以常見客戶對(duì)新建或擴(kuò)展這類系統(tǒng)孜孜不倦的追求。“一花獨(dú)放不是春，百花齊放春滿園”。華為通過HiSec Insight開放的軟硬件平臺(tái)，結(jié)合將AI和大數(shù)據(jù)技術(shù)應(yīng)用于安全檢測(cè)和運(yùn)維領(lǐng)域的技術(shù)積累，打造完全開放創(chuàng)新的“數(shù)字安全底座”。希望攜手國(guó)內(nèi)在安全態(tài)勢(shì)感知應(yīng)用和檢測(cè)能力方面具備獨(dú)特能力的同行共建滿足客戶業(yè)務(wù)需求，服務(wù)好客戶的安全態(tài)勢(shì)感知系統(tǒng)，促進(jìn)產(chǎn)業(yè)健康發(fā)展。