基于主动防御能力，建设安全运营体系的一点思考在网络安全2.0开局之年的2014年

文章图片
在网络安全2.0开局之年的2014年，人们对下一代安全防御体系，应该说是既憧憬又迷茫，既期盼又陌生，既感受到了传统安全体系的不足、又对严峻的安全新形势有点不知所措。
转眼短短四年后的2018年，我们再来看看下一代安全防御体系，不仅发展趋势与方向已经得到了共识，思路、方法、技术也是日趋完善成熟，相关产品和解决方案更是百花齐放、光彩夺目。
既然是百花齐放、百家争鸣，那就会有真有假、有好有坏，有踏踏实实的务实耕耘者，也有浑水摸鱼的图利之人。但是我认为真正的实力者会很快脱颖而出，因为安全市场去伪存真的速度正在加快， 2.0时代网络安全行业正在变得更加务实。
未来越来越多的组织，会改变以往盲目进行安全建设的风格，转而更加关注网络安全所带来的实际效果，并会有越来越多的人开始考虑安全建设的本质。那么，安全建设的根本目标是什么呢？
我认为在2.0时代，安全建设的目标有两个，一个是解决传统安全所不能解决的问题，也就是提高主动安全防御能力；另外一个就是让安全工作变得更方便，安全工作变得更有效率，提高整体安全运营的能力。
一、传统安全技术体系及其存在的不足
传统安全技术体系建设，通常是参考下图所示的五横五纵框架，通过各层面、各方面单点的安全防护，从而形成一个整体的安全技术体系。

文章图片
五横五纵安全技术体系框架，在传统安全体系建设中，应用非常广泛。其特点是以资产防护为中心，横向、纵向组成的一个安全控制矩阵，体系框架通用性比较强，可以作为最佳实践应用于各行各业。
在安全威胁不断升级的今天，五横五纵安全技术体系框架局限性越来越明显。首先，传统基于边界、策略、特征的安全防护，很难应对现在高级别安全威胁，即主动防御能力不足；其次就是，缺少一个机制将这些单点的安全防护，整合成一个有机的整体，即缺乏统一的安全运营平台。
二、主动防御、深度分析、实时检测
主动防御能力不足，解决办法有两个途径，一是将深度分析、实时监测能力融入到现有系统中，如NGFW、EDR等；另外，就是部署、应用下一代安全防御产品，如TDA、UBA等。
这样来看，未来的安全产品中，传统防护类安全设备将融入新的思想，增强主动防御能力。而检测类的传统安全设备，将逐步被下一代安全分析检测系统所替代，逐渐在市场中被淘汰出局。

文章图片
从安全分析与检测的分类上说，第一类是风险分析与检测，也就是传统风险评估在下一代安全防御体系中的创新应用，变化是风险分析由人工变为系统自动完成，由定性分析变为定量或场景化分析，由要素组合变为要素单独分析；第二类是异常分析，主要包括业务异常（反欺诈）分析、用户行为异常分析两种；第三类是事件分析，是将传统安全防护设备中产生的告警进行归并、关联，输出高质量的事件信息。
从安全分析与检测的特性上说，首先，安全分析与检测必须是实时完成的，这样才能在威胁、异常、事件刚有迹象的初期，就能够检测出来；其次，安全分析与检测必须能够弥补传统安全设备的不足，能够发现传统安全设备发现不了的问题，这样才能称得上是深度分析；最后，分析检测结果必须能够进行整合、关联，形成有效的内部威胁情报，为安全运营提供决策支持。