前言

网络信息安全被称为“没有硝烟的战场”,网络上的攻防较量，一刻也没有停止过，而且战况之惨烈，常常超出我们的想象。比如去年5月，WannaCry勒索软件病毒爆发，波及全球150个国家，造成了80多亿美元的经济损失。就连安全体系比较完善的高校、医院、科研机构等，也有很多单位不幸中招。
大家不禁要问：我们天天在强调网络安全，并且部署了大量的IDS、IPS、防火墙、杀毒软件等安全基础设施，为什么在新型威胁到来的时候，依然感到无可奈何呢？今天的安全威胁有那些新的特点？传统的安全防护体系到底出了什么问题？

什么是“安全态势感知”？
为什么说“安全的未来就是态势感知”？
安全态势感知能为企业带来怎样的价值？

李维良：安全是永不停歇的战场。近年来，针对企业的安全威胁和恶意攻击又出现了哪些新的变化？

王金红：近年来的安全威胁，有两个非常明显的趋势：一是攻击技术专业化。今天的攻击，已从过去的个人炫技，变成了分工明确的黑客团伙作案，其技术更加先进、手段更加高明、方法更加多样。二是攻击目的商业化，出现了Hacking as a Service这样的服务，敏感信息、渗透服务等，都被明码标价。
就拿最近医疗行业爆发勒索病毒这个事件来说吧，黑客的攻击越来越高级，连医院这种内外网隔离的环境也会中招。同时，攻击的影响面越来越大，湖南某三甲医院的业务系统瘫痪，整个医院工作停滞。我们分布在全国的几乎所有省份的办事处，都接到了当地医院的邀请，让我们过去帮助他们做检测。可以断定，未来类似这样大规模的高级攻击还会越来越多。

李维良：在今天的新形势下，传统的安全技术和防御体系面临着哪些新的挑战？

王金红：我们认为有三个方面的挑战：一个是“看不见”。攻击越来越高级，越来越难以发现和检测，传统静态检测的方式无法应对高级攻击。二个是“看不懂”。一个客户的安全日志每天就有上万条，而且大多是以安全事件的角度堆叠，客户根本看不懂。三个是“响应慢”。安全设备多，一出问题全靠人力解决，精通各种攻击原理，又精通各种安全设备的人才，又贵又难找，大部分客户又没有这种高级人才。所以处理问题就非常慢。

李维良：在安全威胁日益严峻，合规性要求日益提高的背景下，我们该如何更新安全理念和安全工具？

王金红：首先，传统的安全体系以防御为核心，当新型威胁到来时，就显得捉襟见肘、力不从心。未来的安全，必然要在检测、响应两方面进行提升。道理很简单，高级攻击靠静态检测防不住，那我们就在威胁潜伏进来之后、爆发之前检测出来，并快速地响应并处置它。基于此，相关工具就需要加强在网络内部东西向流量上进行持续检测的能力。

李维良：“安全态势感知”是怎样的一种理念和方法？它具备的核心能力有哪些？

王金红：业内对态势感知有个通用的理解，那就是：感知、理解和预测。
感知：包括状态识别与确认，以及对各种状态信息的来源和素材的质量评价；
理解：了解攻击的影响、攻击者的行为和当前态势发生的原因及方式；
预测：对态势发展情况的预测评估，主要包括态势演化、影响评估。
我们认为，安全态势感知至少它应该具备4个核心能力：
第一、收集有效的海量信息的能力；
第二、基于海量数据的智能分析能力；
第三、基于宏观和微观的安全可视能力；
第四、应对安全威胁的协同响应能力。

李维良：哪些企业需要安全感知系统？

王金红：我们认为，网路安全的发展，必然是从割裂到集中，从局部到整体，因此，安全的未来，必然就是“态势感知”。所以说，态势感知应该是全行业的一个通用方案。

李维良：安全态势感知解决方案能为用户带来哪些价值？

王金红：安全态势感知的价值，我们总结为四点-
看清业务：发现资产和资产的脆弱性；
看到威胁：能够检测潜伏到网络内部的高级威胁；
看懂风险：以简单易用的方式，让非专业人士看懂安全现状；
辅助决策：能够提供有效的决策信息，帮助决策者做出正确决策。

如何选择合适的安全态势感知产品？
怎样让安全态势感知在企业快速落地？

李维良：关于“安全态势感知”产品的选型，您有哪些建议？对企业来说，怎么才能让安全感知平台快速、有效落地？
王金红：安全态势感知属于方案性的产品，选型可能会比较复杂。因为要收集全网的流量，因此需要弄清楚全网流量的走向，哪里是安全重点（比如关键业务）、哪里适合镜像流量、流量大概有多大等等问题。只有充分了解自身的网络情况和安全现状，才能选到适合自己的产品和解决方案。
态势感知类型的产品很多，但是侧重点各有不同，有的侧重设备日志收集，有的侧重杀毒、沙箱类的检测，而深信服则侧重全流量检测和智能分析。对企业来说，有效是关键，因此，一定要选择适合自己的产品和解决方案。为此，前期要做好充分的调研、沟通和对比。