現在，你問安全的同事，“一起去爬山嗎？”

他鐵定會說，“最近太忙，要不，一起來HW吧！”

追完熱劇《隐秘的角落》，再追《無證之罪》，最後發現，竟然都是在為信息安全打基礎。

最近，學習了一些安全知識，想提升一下自己的信息安全防護意識。雖說技術上沒什麼收獲，但是在安全框架上有了一些新的，全局的認知。

最後隻學到八個字，态勢感知和攻擊溯源。

無論什麼系統，都離不開安全。回憶一下，是不是每次講系統架構PPT的時候，不管左邊怎麼劃分層次，最右邊都有一根粗壯有力的長條，豎在那裡，上邊寫着“安全”字樣，好像一根定海神針。

自打“棱鏡門”事件之後，感覺信息安全一下子就被提到很高的高度上。從公司組織架構的變革上就可見一斑，開始有了專職的安全團隊，專人專崗，而且建制也在逐步提高，從處到部。一時間，安全團隊在組織中的地位水漲船高。

高層領導曾說過，“沒有網絡安全就沒有國家安全”，随着《中華人民共和國網絡安全法》的頒布，安全團隊的話語權更重了。

安全圈裡，除了黑産和暗網，還有大量敵對勢力的黑客，他們都藏在隐秘的角落裡，不但謀取經濟利益，還從事非法的網絡破壞活動，讓信息安全充滿了威脅與挑戰。

以前總說老外會講概念，就好像當年IBM的電子商務随需應變和智慧地球。

這一次，我國的信息安全行業也充分領悟了高層的講話内容，迅速達成共識，于是有了國産版的“态勢感知”。

套用某服務商的描述，一種基于時間和空間的環境要素，動态，整體洞悉安全風險能力，從全局視角提升對安全威脅的發現識别、理解分析和響應預警能力的一種方式，并預測他們即将呈現的狀态，以實現決策優勢。

态勢感知，聽上去很高大上，但是說白了，核心就是做了個以安全為主題的大數據項目。通過對相關安全設備和IT資産的實時數據采集，把安全相關日志進行歸集，将原本分散的孤立事件進行關聯，建立一個大數據智能分析平台，其中包括業務畫像，資産風險等模型和視圖。

不過，由于國内安全生态中廠商林立，導緻态勢感知在數據整合這一層進行系統集成時會遇到一些困難，項目落地應該是一項複雜的系統工程。

法制社會，辦案是講求證據，官方解讀是，應提出确實、充分的證據，并運用證據加以證明，而且對于證據還要排除合理懷疑。

具體到信息安全防護上，則是“誰主張，誰舉證”，不是簡單的指出是誰攻擊你了，而是你要用證據證明對方入侵的路線，作案的手段，對你造成的影響，将整個攻擊事件還原，并呈現出完整的證據鍊。

攻擊溯源看似簡單，但是技術含量其實非常高。首先你要能識别攻擊，才能有然後。真正的高手會用你知道的手段去攻擊你嗎？

面對當時跟我分享的“中睿天下”的高手，我就想，若沒實戰攻防過，他怎麼知道這麼多手段呢。就好像《無證之罪》中的法醫駱聞，因為熟悉公安的辦案手法和流程，才有相當強的反偵查能力和手段。

之前把态勢感知比作日志派，攻擊溯源比作流量派，以為泾渭分明。後來發現，還是自己膚淺了。

前陣子求教IBM，交流QRadar，開始沒多久，一張PPT就吸引了我，因為剛想問是哪個技術派别的，結果PPT就給了答案，原來是個混合派，QRadar強調日志和流量的結合。

在安全這個領域，老外講的概念是SOC（Security Operating Center），講求的是人員，流程和技術的有機結合。

以往講安全，感覺更多的是做安全項目，但是這些系統往往都是聚焦于某個點，解決某個具體領域的風險，就好像病毒防護、漏洞掃描等，但不同系統之間相互孤立。

随着網絡攻擊手段越來越隐蔽，單純依靠某個點的安全防護，很難抵禦多變的攻擊行為，所以需要在現有的基礎防護體系上建設一個全面，智能、可視化的安全運營中心。

通過SOC，為信息安全工作提供統一的運營平台，同時借鑒大數據，人工智能等新技術，全面提升安全态勢的感知能力。

其實，我覺得外國的SOC和我們國産的态勢感知，大同小異。

安全涉及的内容太多，對技術理解有限，談談日常工作中的一點心得。

你過了ISO20000和ISO27001，你也過了等保，可是你實際的安全防護水平是什麼？

對于IT内審，感覺每次都是揪着那些條條框框去卡，給不出啥針對性建議，如果審計本身已經不是面向實戰，而是面向規則，那麼有規則就很可能有漏洞，而有漏洞就一定有安全隐患，就像安全的專業人士也抨擊友商，說他們是基于既有規則進行判斷的，技術落後。

是軟件就有bug，是系統就有漏洞，所謂的安全基線也是有時效的，安全防護也永遠都是在路上。

感覺隔三差五的就有安全威脅情報，然後就是一系列的安全處置，這背後考察的不僅是安全的識别和預警，更是在考察執行效率。

記得2014年，ShellShock剛被爆出來，那會我正在學習Puppet，當時360就分享過他們如何給海量服務器快速修補漏洞的經驗。還有後來的WannaCry勒索病毒，不一而同。

運維響應和執行效率其實是對安全的有效支撐，根據我的經驗，技術上的解決方案不是問題，真正的問題其實是基線管理。

可惜，在基線管理這個問題上，我并沒有找到最佳實踐。隻能說，在相對可控的時間範圍内可以維持。

不過，随着技術的演進，從主機、虛拟化、再到容器化，甚至是最新的FaaS，我感覺未來，随着相關業務邏輯和基礎架構的逐步解耦，會讓基線升級的成本變低，從而使基線管理這個問題變得簡單。

總之，對于安全管理，不管是态勢感知還是攻擊溯源，除了安全産品和技術本身之外，最後都會聚焦到資産的識别和管理上，從而引發出海量資産管理的運維基線和效率問題。

未來的信息安全管理，應該是人機合一，一個靠譜的具有實時分析和威脅感知能力的系統平台，在再搭配一個訓練有素的安全運營團隊，我想，大概就可以從容應對攻防演練了。

總之，信息安全無小事，每個人在做好隐私防護的同時，也應該提升各自崗位的防護意識，避免觸及信息安全這根細細的紅線。

該來的總會來，2020年度的HW行動就要開始啦，祝大家順利收工！

非安全專業人士出品，不足之處，敬請見諒！

（以上圖片來源于網絡）