​现在，你问安全的同事，“一起去爬山吗？”

他铁定会说，“最近太忙，要不，一起来HW吧！”

追完热剧《隐秘的角落》，再追《无证之罪》，最后发现，竟然都是在为信息安全打基础。

最近，学习了一些安全知识，想提升一下自己的信息安全防护意识。虽说技术上没什么收获，但是在安全框架上有了一些新的，全局的认知。

最后只学到八个字，态势感知和攻击溯源。

企业架构里的定海神针

无论什么系统，都离不开安全。回忆一下，是不是每次讲系统架构PPT的时候，不管左边怎么划分层次，最右边都有一根粗壮有力的长条，竖在那里，上边写着“安全”字样，好像一根定海神针。

自打“棱镜门”事件之后，感觉信息安全一下子就被提到很高的高度上。从公司组织架构的变革上就可见一斑，开始有了专职的安全团队，专人专岗，而且建制也在逐步提高，从处到部。一时间，安全团队在组织中的地位水涨船高。

高层领导曾说过，“没有网络安全就没有国家安全”，随着《中华人民共和国网络安全法》的颁布，安全团队的话语权更重了。

《隐秘的角落》与态势感知

安全圈里，除了黑产和暗网，还有大量敌对势力的黑客，他们都藏在隐秘的角落里，不但谋取经济利益，还从事非法的网络破坏活动，让信息安全充满了威胁与挑战。

以前总说老外会讲概念，就好像当年IBM的电子商务随需应变和智慧地球。

这一次，我国的信息安全行业也充分领悟了高层的讲话内容，迅速达成共识，于是有了国产版的“态势感知”。

套用某服务商的描述，一种基于时间和空间的环境要素，动态，整体洞悉安全风险能力，从全局视角提升对安全威胁的发现识别、理解分析和响应预警能力的一种方式，并预测他们即将呈现的状态，以实现决策优势。

态势感知，听上去很高大上，但是说白了，核心就是做了个以安全为主题的大数据项目。通过对相关安全设备和IT资产的实时数据采集，把安全相关日志进行归集，将原本分散的孤立事件进行关联，建立一个大数据智能分析平台，其中包括业务画像，资产风险等模型和视图。

不过，由于国内安全生态中厂商林立，导致态势感知在数据整合这一层进行系统集成时会遇到一些困难，项目落地应该是一项复杂的系统工程。

《无证之罪》与攻击溯源

法制社会，办案是讲求证据，官方解读是，应提出确实、充分的证据，并运用证据加以证明，而且对于证据还要排除合理怀疑。

具体到信息安全防护上，则是“谁主张，谁举证”，不是简单的指出是谁攻击你了，而是你要用证据证明对方入侵的路线，作案的手段，对你造成的影响，将整个攻击事件还原，并呈现出完整的证据链。

攻击溯源看似简单，但是技术含量其实非常高。首先你要能识别攻击，才能有然后。真正的高手会用你知道的手段去攻击你吗？

还是SOC套路深

之前把态势感知比作日志派，攻击溯源比作流量派，以为泾渭分明。后来发现，还是自己肤浅了。

前阵子求教IBM，交流QRadar，开始没多久，一张PPT就吸引了我，因为刚想问是哪个技术派别的，结果PPT就给了答案，原来是个混合派，QRadar强调日志和流量的结合。

在安全这个领域，老外讲的概念是SOC（Security Operating Center），讲求的是人员，流程和技术的有机结合。

以往讲安全，感觉更多的是做安全项目，但是这些系统往往都是聚焦于某个点，解决某个具体领域的风险，就好像病毒防护、漏洞扫描等，但不同系统之间相互孤立。

随着网络攻击手段越来越隐蔽，单纯依靠某个点的安全防护，很难抵御多变的攻击行为，所以需要在现有的基础防护体系上建设一个全面，智能、可视化的安全运营中心。

通过SOC，为信息安全工作提供统一的运营平台，同时借鉴大数据，人工智能等新技术，全面提升安全态势的感知能力。

其实，我觉得外国的SOC和我们国产的态势感知，大同小异。

安全管理那点事

安全涉及的内容太多，对技术理解有限，谈谈日常工作中的一点心得。

你过了ISO20000和ISO27001，你也过了等保，可是你实际的安全防护水平是什么？

对于IT内审，感觉每次都是揪着那些条条框框去卡，给不出啥针对性建议，如果审计本身已经不是面向实战，而是面向规则，那么有规则就很可能有漏洞，而有漏洞就一定有安全隐患，就像安全的专业人士也抨击友商，说他们是基于既有规则进行判断的，技术落后。

是软件就有bug，是系统就有漏洞，所谓的安全基线也是有时效的，安全防护也永远都是在路上。

感觉隔三差五的就有安全威胁情报，然后就是一系列的安全处置，这背后考察的不仅是安全的识别和预警，更是在考察执行效率。

记得2014年，ShellShock刚被爆出来，那会我正在学习Puppet，当时360就分享过他们如何给海量服务器快速修补漏洞的经验。还有后来的WannaCry勒索病毒，不一而同。

运维响应和执行效率其实是对安全的有效支撑，根据我的经验，技术上的解决方案不是问题，真正的问题其实是基线管理。

可惜，在基线管理这个问题上，我并没有找到最佳实践。只能说，在相对可控的时间范围内可以维持。

不过，随着技术的演进，从主机、虚拟化、再到容器化，甚至是最新的FaaS，我感觉未来，随着相关业务逻辑和基础架构的逐步解耦，会让基线升级的成本变低，从而使基线管理这个问题变得简单。

总之，对于安全管理，不管是态势感知还是攻击溯源，除了安全产品和技术本身之外，最后都会聚焦到资产的识别和管理上，从而引发出海量资产管理的运维基线和效率问题。

面对当时跟我分享的“中睿天下”的高手，我就想，若没实战攻防过，他怎么知道这么多手段呢。就好像《无证之罪》中的法医骆闻，因为熟悉公安的办案手法和流程，才有相当强的反侦查能力和手段。

细细的红线

未来的信息安全管理，应该是人机合一，一个靠谱的具有实时分析和威胁感知能力的系统平台，在再搭配一个训练有素的安全运营团队，我想，大概就可以从容应对攻防演练了。

总之，信息安全无小事，每个人在做好隐私防护的同时，也应该提升各自岗位的防护意识，避免触及信息安全这根细细的红线。

该来的总会来，2020年度的HW行动就要开始啦，祝大家顺利收工！

非安全专业人士出品，不足之处，敬请见谅！

                    （以上图片来源于网络）