信息來源：安全內(nèi)參

一、Gartner對中國態(tài)勢感知平臺的簡述

終于，在2022年3月，得益于對中國本土市場的重視，Gartner對外發(fā)布了一份描述中國態(tài)勢感知解決方案常見的2個(gè)應(yīng)用場景的快速問答報(bào)告。這是Gartner第一份有關(guān)中國態(tài)勢感知市場的報(bào)告，盡管比較簡要。

報(bào)告指出，中國的態(tài)勢感知平臺依托集成化的SIEM的部署來獲得對當(dāng)前安全狀態(tài)的更情境化的視圖。報(bào)告列舉了態(tài)勢感知解決方案兩個(gè)典型的應(yīng)用場景：滿足等保2.0的3級及以上的安全運(yùn)營要求，為順應(yīng)供應(yīng)商整合趨勢而為用戶提供整體打包的安全運(yùn)營解決方案。

報(bào)告認(rèn)為，態(tài)勢感知解決方案是現(xiàn)代 SOC的集中式“一體化”技術(shù)和“智慧大腦”，可幫助安全和風(fēng)險(xiǎn)管理 (SRM) 領(lǐng)導(dǎo)者和 SOC 團(tuán)隊(duì)全面了解威脅、風(fēng)險(xiǎn)和漏洞，包括監(jiān)控漏洞，檢測網(wǎng)絡(luò)攻擊和威脅，分析行為和異常情況，應(yīng)對網(wǎng)絡(luò)安全事件。

筆者認(rèn)為，這兩個(gè)用例分別代表了中國態(tài)勢感知市場的外部驅(qū)動(dòng)力和內(nèi)在驅(qū)動(dòng)力。如下圖是筆者近幾年常用的態(tài)勢感知建設(shè)驅(qū)動(dòng)因素圖：

Gartner在這份簡報(bào)中指出：“中國的態(tài)勢感知解決方案大多是從傳統(tǒng)的安全事件和事件管理 (SIEM) 演變而來的。它們是現(xiàn)代 SIEM 平臺，提供除傳統(tǒng)SIEM之外的更多功能，例如網(wǎng)絡(luò)資產(chǎn)管理、威脅情報(bào)、漏洞管理以及用戶和實(shí)體行為分析 (UEBA)，以簡化跨模塊的流程。”

簡報(bào)還給出了一個(gè)態(tài)勢感知解決方案的概念架構(gòu)圖，如下：

上述描述和架構(gòu)圖，與筆者早先對態(tài)勢感知的描述性定義基本吻合。這里給出一個(gè)修訂后的定義：

網(wǎng)絡(luò)安全態(tài)勢感知平臺以特定網(wǎng)絡(luò)空間資產(chǎn)及上面運(yùn)行的業(yè)務(wù)系統(tǒng)為保護(hù)對象，整合分散的安全防護(hù)、檢測和響應(yīng)技術(shù)，持續(xù)收集目標(biāo)對象的資產(chǎn)數(shù)據(jù)、運(yùn)行數(shù)據(jù)、脆弱性數(shù)據(jù)、內(nèi)外部安全情報(bào)、日志及流量數(shù)據(jù)，及各類情境數(shù)據(jù)，進(jìn)行多層次安全分析，從多個(gè)維度持續(xù)監(jiān)測、評估和預(yù)測網(wǎng)絡(luò)安全安全狀況，有效識別各類風(fēng)險(xiǎn)，即時(shí)預(yù)警、告警與情報(bào)分享，進(jìn)行編排化協(xié)同響應(yīng)，達(dá)成對目標(biāo)網(wǎng)絡(luò)安全的防護(hù)，并進(jìn)行有效性驗(yàn)證。

簡言之，網(wǎng)絡(luò)安全態(tài)勢感知平臺能夠支撐運(yùn)行人員實(shí)現(xiàn)態(tài)勢數(shù)據(jù)的采集、分析、決策、行動(dòng)和驗(yàn)證的閉環(huán)。

進(jìn)一步分析Gartner對態(tài)勢感知的理解，可以明顯的感受到以下幾點(diǎn)：

1）態(tài)勢感知平臺是一個(gè)面向多安全要素的綜合性的、全方位的態(tài)勢感知平臺，至少融合了資產(chǎn)態(tài)勢、漏洞態(tài)勢和威脅態(tài)勢。同時(shí)，也明確提出了要形成總體態(tài)勢視圖，以及具體（分視角）的態(tài)勢視圖。

2）目前態(tài)勢感知平臺主要依托于SIEM來建立。此外，當(dāng)前態(tài)勢感知范疇內(nèi)的功能與SIEM范疇之內(nèi)的功能高度重疊。態(tài)勢感知從要素信息的采集、分析、存儲到展示，每個(gè)環(huán)節(jié)都融入了SIEM平臺。

2）態(tài)勢感知要閉環(huán)。Gartner將以SOAR為代表的響應(yīng)能力作為可選模塊，以實(shí)現(xiàn)態(tài)勢感知的閉環(huán)，也就是筆者經(jīng)常講的“從態(tài)勢感知到有效防護(hù)”。

最后，筆者感覺Gartner略有不足之處在于沒有明確指出態(tài)勢感知解決方案是一個(gè)融合平臺技術(shù)、人員和流程的有機(jī)體，而僅聚焦于平臺技術(shù)了。

延展開來，Gartner此時(shí)對中國態(tài)勢感知市場多少算一個(gè)小結(jié)，因?yàn)榇藭r(shí)態(tài)勢感知市場已經(jīng)如火如荼。從最早（2019）IDC首次定義中國態(tài)勢感知市場，到賽迪出具態(tài)勢感知分析報(bào)告（2020），再到現(xiàn)在（2022）Gartner定義中國態(tài)勢感知市場，以及2020年啟動(dòng)目前尚在制定中的國標(biāo)《網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》，態(tài)勢感知在2019年以后才真正發(fā)展起來。

二、態(tài)勢感知的未來演進(jìn)方向探索

未來的態(tài)勢感知將如何演進(jìn)？很多人給出了自己的解答，筆者也進(jìn)行了一番思考，認(rèn)為應(yīng)回到態(tài)勢感知的本源。

下圖是態(tài)勢感知的學(xué)術(shù)界泰斗Endsley的論文中的圖，展示了動(dòng)態(tài)決策中的態(tài)勢感知模型。

如上圖所示，我們通常討論態(tài)勢感知的理論基礎(chǔ)的時(shí)候，多僅僅引用上圖中態(tài)勢感知的三階段模型（察覺、理解和預(yù)測），而未將其放到動(dòng)態(tài)決策的大背景中。如此一來，導(dǎo)致很多時(shí)候忘記了做態(tài)勢感知的目的是什么。

正如筆者之前多次指出，態(tài)勢感知的目標(biāo)是實(shí)現(xiàn)有效防護(hù)！也就是說，態(tài)勢感知要閉環(huán)。結(jié)合上圖，就是：態(tài)勢感知的目的是為了做出決策，執(zhí)行行動(dòng)。然后重新感知態(tài)勢，做出新的決策和行動(dòng)。

態(tài)勢感知是一個(gè)典型的OODA模型。

進(jìn)一步分析，業(yè)界一直在說防御體系建設(shè)要從靜態(tài)向動(dòng)態(tài)轉(zhuǎn)變，從被動(dòng)向主動(dòng)轉(zhuǎn)變，從單體向多體轉(zhuǎn)變，從孤立向協(xié)同轉(zhuǎn)變，從簡單縱深向復(fù)合縱深轉(zhuǎn)變。簡言之，就是動(dòng)態(tài)防御。而這正是態(tài)勢感知要提供的能力，通過態(tài)勢感知獲得態(tài)勢決策，執(zhí)行行動(dòng)。對此，業(yè)內(nèi)先驅(qū)大軸老師在《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書中有詳細(xì)闡述。

回過頭來看看當(dāng)前的態(tài)勢感知在服務(wù)于態(tài)勢決策方面做了些什么?？梢韵聫膬蓚€(gè)角度進(jìn)行闡述：

1）從產(chǎn)生決策的角度來看，當(dāng)前的態(tài)勢感知基本停留在態(tài)勢察覺（perception，或者叫觀察）的層次上，少量涉及到態(tài)勢理解的部分，基本都無法形成完整的理解，而態(tài)勢預(yù)測更是稀少，有些基于統(tǒng)計(jì)的預(yù)測就不錯(cuò)了。最后的結(jié)果就是難以產(chǎn)生態(tài)勢決策，也就無法形成行動(dòng)，實(shí)現(xiàn)防御閉環(huán)。此外，當(dāng)前的SIEM中的技術(shù)棧支撐也都難以提供更高水平的態(tài)勢決策能力。

2）從決策后的行動(dòng)角度來看，當(dāng)前的態(tài)勢感知平臺對于決策基本上無法付諸行動(dòng)，也缺乏執(zhí)行行動(dòng)的技術(shù)支撐，難以形成響應(yīng)到再感知的閉環(huán)。

也就是說，當(dāng)前的態(tài)勢感知以發(fā)現(xiàn)問題為主，而在如何解決問題方面有所欠缺。

基于上述討論，筆者提出一個(gè)觀點(diǎn)：

未來的態(tài)勢感知是面向決策的。系統(tǒng)功能設(shè)計(jì)側(cè)重于形成態(tài)勢決策。進(jìn)一步地，要形成兩類決策：宏觀決策和中觀決策。宏觀決策是策略級的響應(yīng)，是對當(dāng)前整體安全防御保障等級的調(diào)整，對應(yīng)一系列與該等級相關(guān)的意圖、策略、規(guī)則和配置集合，通過人機(jī)結(jié)合的方式執(zhí)行下去。策略級響應(yīng)的態(tài)勢感知迭代周期通常較長。中觀決策是戰(zhàn)術(shù)級的響應(yīng)，是對當(dāng)前某個(gè)具體的安全事件的綜合研判后的響應(yīng)行動(dòng)（包括處置、調(diào)查、追蹤、溯源等），通過人機(jī)結(jié)合（機(jī)器優(yōu)先）的方式快速迭代執(zhí)行下去。

未來的態(tài)勢感知是可運(yùn)行/運(yùn)營的、實(shí)戰(zhàn)化的，態(tài)勢運(yùn)營是安全運(yùn)營的一部分。未來的態(tài)勢感知平臺將可以進(jìn)行決策或者輔助決策，有良好的人機(jī)互動(dòng)，實(shí)現(xiàn)人在回路之上的閉環(huán)（大軸稱之為“人在控制閉環(huán)之上”，詳見《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書）。而正因?yàn)樾纬闪碎]環(huán)，就具備了運(yùn)行/運(yùn)營的可行性。同時(shí)，態(tài)勢感知的閉環(huán)要納入到整體的安全運(yùn)行/運(yùn)營之中，成為安全運(yùn)行/運(yùn)營的一個(gè)組成部分，有自己的相對獨(dú)立清晰的技術(shù)依托、流程和崗位職責(zé)，此時(shí)可以稱之為“態(tài)勢運(yùn)行”或者“態(tài)勢運(yùn)營”。

如果我們把當(dāng)前的態(tài)勢感知稱作態(tài)勢感知1.0，那么面向決策的態(tài)勢感知就是態(tài)勢感知2.0。