2018年美國RSA安全大會(huì)正在如火如荼的進(jìn)行，作為國內(nèi)的安全可視化廠商，安博通再次參加了會(huì)議，并對(duì)參展的各廠商網(wǎng)絡(luò)安全可視化平臺(tái)進(jìn)行深度調(diào)研。

據(jù)安博通產(chǎn)品經(jīng)理調(diào)研發(fā)現(xiàn)，在過去的一年中，不論是產(chǎn)品本身、解決方案還是未來發(fā)展方面，都呈現(xiàn)兩極分化的趨勢：有的在扎實(shí)奮進(jìn)中上升，而有的在停步不前中墜落。

安全策略可視化平臺(tái)四大發(fā)展趨勢

在2018年的會(huì)議調(diào)研中，安博通產(chǎn)品經(jīng)理發(fā)現(xiàn)安全策略可視化平臺(tái)品類的產(chǎn)品呈現(xiàn)出以下四個(gè)主要的發(fā)展趨勢：發(fā)展閉環(huán)的策略和事件架構(gòu)、用戶視角的精細(xì)化過程管控、應(yīng)用環(huán)境和數(shù)據(jù)來源大爆發(fā)、以及面向業(yè)務(wù)、服務(wù)業(yè)務(wù)、運(yùn)營業(yè)務(wù)。

◆發(fā)展閉環(huán)的策略和事件架構(gòu)

圖：Gartner提出新一代自適應(yīng)安全防御架構(gòu)

上圖是Gartner提出的新一代自適應(yīng)安全防御架構(gòu)，強(qiáng)調(diào)通過預(yù)測、檢測、防御和響應(yīng)的流程實(shí)現(xiàn)持續(xù)監(jiān)控與分析，完成閉環(huán)防御流程。今年的RSA會(huì)議中，安全策略可視化廠商也紛紛提出類似的架構(gòu)，例如：

圖：Redseal提出快速事件調(diào)查架構(gòu)

圖：Skybox提出自動(dòng)化策略生命周期管理架構(gòu)

圖：Algosec提出安全策略管理生命周期架構(gòu)

同Gartner提出新一代自適應(yīng)安全防御架構(gòu)一樣，各大安全策略可視化平臺(tái)廠商都在紛紛強(qiáng)調(diào)“流程閉環(huán)”的重要性。去年，策略可視化廠商大都只能提供“檢測+防御”能力，即可以根據(jù)計(jì)算的路徑地圖進(jìn)行異常檢測告警，也可以據(jù)此來使用其他安全設(shè)備進(jìn)行防御威脅，但不具備閉環(huán)事件的能力，產(chǎn)品方案更加傾向于“運(yùn)維工具和威脅中心”。

而2018年，更多的廠商在豐富自身的解決方案，希望提供“檢測+防御+預(yù)測+響應(yīng)”的全流程能力，將產(chǎn)品方案提升到“防御體系”的高度。說到底，可視化產(chǎn)品方案的終極目的還是通過可視呈現(xiàn)來提升安全響應(yīng)能力，而非為了可視化而可視化。

為了實(shí)現(xiàn)全流程生命周期閉環(huán)，各廠商紛紛進(jìn)行能力大融合，在平臺(tái)上支持或完善簡單的功能組合：策略路徑地圖+威脅情報(bào)+漏洞分析+風(fēng)險(xiǎn)預(yù)警+報(bào)表推送+異常告警+策略梳理+響應(yīng)策略下發(fā)，不管實(shí)際效果如何，這套方案至少在紙面上走完了“檢測+防御+預(yù)測+響應(yīng)”的全流程，在價(jià)值層面能夠切實(shí)地閉環(huán)解決某些特定的安全威脅(例如勒索病毒)，而不是總在威脅發(fā)生后才給出應(yīng)急響應(yīng)方案，這說明策略可視化平臺(tái)廠商的意識(shí)取得了進(jìn)步。

另一方面，為了滿足閉環(huán)流程，廠商紛紛推出響應(yīng)類特性。例如，Redseal推出Best Practice(最佳實(shí)踐)功能，在該功能中Redseal平臺(tái)對(duì)所有設(shè)備的操作進(jìn)行記錄，并根據(jù)內(nèi)建的數(shù)據(jù)庫來提示認(rèn)為可能存在風(fēng)險(xiǎn)的操作，及時(shí)提醒用戶進(jìn)行修復(fù)響應(yīng)，以便第一時(shí)間縮小攻擊面，控制風(fēng)險(xiǎn)范圍。

用戶視角的精細(xì)化過程管控

調(diào)研發(fā)現(xiàn)，各大廠商相比去年更加強(qiáng)化了工作流(workflow)的概念，盡管各家的命名不同，但其本質(zhì)都比較類似：將閉環(huán)的流程設(shè)計(jì)為工作流功能，并針對(duì)盡量詳細(xì)的流程定義，通過Step by Step的步驟式操作，站在用戶視角進(jìn)行過程控制。

例如，Skybox在系統(tǒng)中使用Ticket概念支撐工作流，系統(tǒng)中定義多個(gè)Ticket并行管理，需要在每個(gè)Ticket內(nèi)定義工作流程，流程包括：發(fā)起請(qǐng)求->技術(shù)細(xì)節(jié)確認(rèn)->風(fēng)險(xiǎn)評(píng)估->實(shí)施細(xì)節(jié)確認(rèn)->最終校驗(yàn)的5步。Ticket和用戶進(jìn)行綁定，包括用戶創(chuàng)建Ticket、管理自己的Ticket、請(qǐng)求Ticket、處理實(shí)施需求、關(guān)閉或分析Ticket，高級(jí)用戶能夠處理下級(jí)用戶的Ticket。

圖：Skybox Ticket流程

在Ticket流程的引導(dǎo)下，用戶將會(huì)對(duì)每一項(xiàng)業(yè)務(wù)變更執(zhí)行精細(xì)化的5步管理，在每一步中逐步分析影響后進(jìn)行評(píng)估，流程上不斷進(jìn)行審批，直到最終流程閉環(huán)，對(duì)于系統(tǒng)內(nèi)多個(gè)正在執(zhí)行的Ticket和其他工作，使用TASK(任務(wù))概念來進(jìn)行并發(fā)管理。

圖：Skybox TASK管理

我們最早發(fā)現(xiàn)Workflow概念，是在Tufin廠商的產(chǎn)品中，Tufin使用Workflow對(duì)策略變更進(jìn)行過程管控，在2018年Tufin繼續(xù)加強(qiáng)workflow的功能，其流程包括發(fā)起請(qǐng)求、業(yè)務(wù)審批、目標(biāo)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)回顧和確認(rèn)(升級(jí)版)、技術(shù)設(shè)計(jì)、確認(rèn)等步驟，通過逐步升級(jí)的風(fēng)險(xiǎn)分析，確保策略管理可在長生命周期內(nèi)進(jìn)行閉環(huán)。

圖：Tufin Workflow

另一個(gè)新特性是，各廠商開始支持用戶分權(quán)功能，即：可定義不同用戶可讀寫的數(shù)據(jù)、功能模塊范圍，也可以定義用戶間的級(jí)聯(lián)關(guān)系，從而有效地支持復(fù)雜的組織架構(gòu)中多用戶不同職權(quán)的需求。

圖：Redseal用戶權(quán)限設(shè)置

面向業(yè)務(wù)、服務(wù)業(yè)務(wù)、運(yùn)營業(yè)務(wù)

業(yè)務(wù)、業(yè)務(wù)還是業(yè)務(wù)!在2018年，各家廠商將產(chǎn)品與業(yè)務(wù)更緊密的貼合，站在業(yè)務(wù)運(yùn)營者的角度執(zhí)行調(diào)度工作。

例如，Alogosec提出Business Flow概念，例如下圖中定義網(wǎng)銀業(yè)務(wù)的Business Flow，其子業(yè)務(wù)還包括CRM業(yè)務(wù)、ATM業(yè)務(wù)等等，針對(duì)不同的業(yè)務(wù)進(jìn)行過程管理。在Business Flow中，產(chǎn)品從原有的管理員視角中跳出，不再關(guān)注于策略、子網(wǎng)、IP，而是直接站在業(yè)務(wù)角度去分析風(fēng)險(xiǎn)和執(zhí)行處置。雖然從技術(shù)角度這個(gè)轉(zhuǎn)變并不一定非常困難，但其貼近用戶、提升體驗(yàn)、凸顯價(jià)值的產(chǎn)品設(shè)計(jì)思路非常值得借鑒。

圖：AlgosecBusiness Flow

對(duì)于用戶來講，一項(xiàng)重要的業(yè)務(wù)就是合規(guī)(Compliance)。在產(chǎn)品中，各大廠商也針對(duì)合規(guī)業(yè)務(wù)給出了解決方案，例如在Skybox產(chǎn)品進(jìn)行業(yè)務(wù)錄入和訪問關(guān)系錄入時(shí)，其定義并非全靠安全基線(Baseline)，而是根據(jù)合規(guī)需求(例如PCI)提供現(xiàn)成的合規(guī)配置模板調(diào)用，讓合規(guī)業(yè)務(wù)落地變得更為簡單。

圖：Skybox基于模板進(jìn)行合規(guī)業(yè)務(wù)定義

此外，F(xiàn)iremon公司在2018年推出了新品GPC(GlobalPolicy Controller)，該產(chǎn)品的理念是直接服務(wù)業(yè)務(wù)、省去中間步驟，在下文的Firemon廠商簡析中我們將會(huì)介紹該產(chǎn)品。

安博通產(chǎn)品經(jīng)理認(rèn)為，產(chǎn)品從功能化到業(yè)務(wù)化的轉(zhuǎn)變，意味著產(chǎn)品希望在最終用戶端能得到更廣泛的驗(yàn)證，也意味著產(chǎn)品開始走向平穩(wěn)發(fā)展階段。

應(yīng)用環(huán)境和數(shù)據(jù)來源大爆發(fā)

從應(yīng)用環(huán)境來看，各大廠商在2018年均推出了公有云部署方案，主要表現(xiàn)為對(duì)AWS和Microsoft Azure的支持，而且表示支持當(dāng)業(yè)務(wù)從端切換到云環(huán)境時(shí)，能夠提供不間斷的服務(wù)。此外，Alogosec等廠商還提出，其產(chǎn)品可以應(yīng)用于工控領(lǐng)域以及容器領(lǐng)域(例如Docker)，可見除了產(chǎn)品特性的縱向增長，這些廠商也開始發(fā)展產(chǎn)品應(yīng)用場景的橫向增長。

圖：Algosec部署適應(yīng)性

從信息來源來看，部分廠商的安全策略可視化平臺(tái)目前可以支持從SDN環(huán)境、SIEM、掃描器、EDR軟件等方面采集信息，這種信息來源的爆發(fā)式增長，對(duì)產(chǎn)品的數(shù)據(jù)處理和分析能力提出了更高的要求，對(duì)于用戶來說，從越多的來源獲取情報(bào)，就能獲得越好的安全保障。

圖：Redsel信息來源展示