通過滑動標尺模型理解***、防御與疊加創(chuàng)新

創(chuàng)新互聯(lián)公司成立于2013年，我們提供高端成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)站設(shè)計、網(wǎng)站定制、營銷型網(wǎng)站建設(shè)、微信小程序、微信公眾號開發(fā)、成都網(wǎng)站營銷服務(wù)，提供專業(yè)營銷思路、內(nèi)容策劃、視覺設(shè)計、程序開發(fā)來完成項目落地，為成都柴油發(fā)電機企業(yè)提供源源不斷的流量和訂單咨詢。

當(dāng)前，能力型安全廠商普遍互認的公共模型——滑動標尺模型將整個安全能力體系劃分為五個階段，分別是架構(gòu)安全、被動防御、積極防御、威脅情報和進攻。

從架構(gòu)安全的角度來看，其是一個自身強身健體的過程，主要是在安全的規(guī)劃和建立過程中，充分地考慮安全，這也與總書記的“網(wǎng)絡(luò)安全與信息化要同步建設(shè)”的三同步原則相對應(yīng)。

從被動防御的角度來看，人們往往認為被動的就是不好的，但其實被動防御是一種非?；A(chǔ)的安全措施，比如，防火墻中添加的端口規(guī)則或者IP段的規(guī)則收窄了***者可能移動的靈活性；建立一些相應(yīng)的基礎(chǔ)日志來保證***者必須留下痕跡，雖然不足以用來暴露高能力的***者，但卻是能夠有效對抗高能力***者和落實后續(xù)安全策略的基礎(chǔ)。

在此基礎(chǔ)上，則包括了監(jiān)測威脅、響應(yīng)對抗、對威脅了解持續(xù)提升的上層積極防御手段。在此層次之上，才是威脅情報的積累，包括低階的情報（比如，IOE的信標、哈希）和高階威脅情報和高階威脅情報

從國家的安全戰(zhàn)略體系上來看，一定還要包括進攻這一部分，總書記在4.19座談會上曾講到“網(wǎng)絡(luò)安全的本質(zhì)在于對抗，對抗的本質(zhì)在于***兩端能力的較量”，進攻就是一種威懾能力。但從一個行業(yè)、體系或者安全產(chǎn)品體系的實踐的角度來看，安全體系總體上是關(guān)聯(lián)于架構(gòu)安全、被動防御、積極防御和威脅情報的。

態(tài)勢感知的價值和成本

我們認為這兩者具有層面上的差異，同時存在著相互關(guān)聯(lián)的部分。總體來看，有效防護貫穿于被動防御和積極防御等手段，實際上是用來應(yīng)對架構(gòu)安全層面上的缺陷，通過積極手段去彌補被動防御的不足，收窄被***面。而態(tài)勢感知是一種上層建筑，是一種高價值的手段。那么在一定程度上，有效防護構(gòu)成了態(tài)勢感知的相關(guān)基礎(chǔ)。

圖 1 態(tài)勢感知的價值與成本

以態(tài)勢感知要求重構(gòu)相關(guān)能力環(huán)節(jié)

態(tài)勢感知與SIEM和SOC的最大差別是，態(tài)勢感知的基礎(chǔ)環(huán)節(jié)和探針應(yīng)該是根據(jù)態(tài)勢感知的要求重構(gòu)的，而不是，現(xiàn)有的終端防護產(chǎn)品是一個殺毒軟件，匯集上來的就是文件檢測日志；現(xiàn)有的環(huán)節(jié)是一個IDS，匯集上來的就是包的檢測日志。從我的角度來看，無論是流量側(cè)、端點側(cè)，還是分析側(cè)，都是要根據(jù)態(tài)勢感知的要求在端點、流量和分析能力上建立起一套符合態(tài)勢感知要求的全要素采集能力。