信息來源：安全內(nèi)參

一、Gartner對中國態(tài)勢感知平臺的簡述

終于，在2022年3月，得益于對中國本土市場的重視，Gartner對外發(fā)布了一份描述中國態(tài)勢感知解決方案常見的2個應(yīng)用場景的快速問答報告。這是Gartner第一份有關(guān)中國態(tài)勢感知市場的報告，盡管比較簡要。

報告指出，中國的態(tài)勢感知平臺依托集成化的SIEM的部署來獲得對當前安全狀態(tài)的更情境化的視圖。報告列舉了態(tài)勢感知解決方案兩個典型的應(yīng)用場景：滿足等保2.0的3級及以上的安全運營要求，為順應(yīng)供應(yīng)商整合趨勢而為用戶提供整體打包的安全運營解決方案。

報告認為，態(tài)勢感知解決方案是現(xiàn)代 SOC的集中式“一體化”技術(shù)和“智慧大腦”，可幫助安全和風(fēng)險管理 (SRM) 領(lǐng)導(dǎo)者和 SOC 團隊全面了解威脅、風(fēng)險和漏洞，包括監(jiān)控漏洞，檢測網(wǎng)絡(luò)攻擊和威脅，分析行為和異常情況，應(yīng)對網(wǎng)絡(luò)安全事件。

筆者認為，這兩個用例分別代表了中國態(tài)勢感知市場的外部驅(qū)動力和內(nèi)在驅(qū)動力。如下圖是筆者近幾年常用的態(tài)勢感知建設(shè)驅(qū)動因素圖：

Gartner在這份簡報中指出：“中國的態(tài)勢感知解決方案大多是從傳統(tǒng)的安全事件和事件管理 (SIEM) 演變而來的。它們是現(xiàn)代 SIEM 平臺，提供除傳統(tǒng)SIEM之外的更多功能，例如網(wǎng)絡(luò)資產(chǎn)管理、威脅情報、漏洞管理以及用戶和實體行為分析 (UEBA)，以簡化跨模塊的流程?！?

簡報還給出了一個態(tài)勢感知解決方案的概念架構(gòu)圖，如下：

上述描述和架構(gòu)圖，與筆者早先對態(tài)勢感知的描述性定義基本吻合。這里給出一個修訂后的定義：

網(wǎng)絡(luò)安全態(tài)勢感知平臺以特定網(wǎng)絡(luò)空間資產(chǎn)及上面運行的業(yè)務(wù)系統(tǒng)為保護對象，整合分散的安全防護、檢測和響應(yīng)技術(shù)，持續(xù)收集目標對象的資產(chǎn)數(shù)據(jù)、運行數(shù)據(jù)、脆弱性數(shù)據(jù)、內(nèi)外部安全情報、日志及流量數(shù)據(jù)，及各類情境數(shù)據(jù)，進行多層次安全分析，從多個維度持續(xù)監(jiān)測、評估和預(yù)測網(wǎng)絡(luò)安全安全狀況，有效識別各類風(fēng)險，即時預(yù)警、告警與情報分享，進行編排化協(xié)同響應(yīng)，達成對目標網(wǎng)絡(luò)安全的防護，并進行有效性驗證。

簡言之，網(wǎng)絡(luò)安全態(tài)勢感知平臺能夠支撐運行人員實現(xiàn)態(tài)勢數(shù)據(jù)的采集、分析、決策、行動和驗證的閉環(huán)。

進一步分析Gartner對態(tài)勢感知的理解，可以明顯的感受到以下幾點：

1）態(tài)勢感知平臺是一個面向多安全要素的綜合性的、全方位的態(tài)勢感知平臺，至少融合了資產(chǎn)態(tài)勢、漏洞態(tài)勢和威脅態(tài)勢。同時，也明確提出了要形成總體態(tài)勢視圖，以及具體（分視角）的態(tài)勢視圖。

2）目前態(tài)勢感知平臺主要依托于SIEM來建立。此外，當前態(tài)勢感知范疇內(nèi)的功能與SIEM范疇之內(nèi)的功能高度重疊。態(tài)勢感知從要素信息的采集、分析、存儲到展示，每個環(huán)節(jié)都融入了SIEM平臺。

2）態(tài)勢感知要閉環(huán)。Gartner將以SOAR為代表的響應(yīng)能力作為可選模塊，以實現(xiàn)態(tài)勢感知的閉環(huán)，也就是筆者經(jīng)常講的“從態(tài)勢感知到有效防護”。

最后，筆者感覺Gartner略有不足之處在于沒有明確指出態(tài)勢感知解決方案是一個融合平臺技術(shù)、人員和流程的有機體，而僅聚焦于平臺技術(shù)了。

延展開來，Gartner此時對中國態(tài)勢感知市場多少算一個小結(jié)，因為此時態(tài)勢感知市場已經(jīng)如火如荼。從最早（2019）IDC首次定義中國態(tài)勢感知市場，到賽迪出具態(tài)勢感知分析報告（2020），再到現(xiàn)在（2022）Gartner定義中國態(tài)勢感知市場，以及2020年啟動目前尚在制定中的國標《網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》，態(tài)勢感知在2019年以后才真正發(fā)展起來。

二、態(tài)勢感知的未來演進方向探索

未來的態(tài)勢感知將如何演進？很多人給出了自己的解答，筆者也進行了一番思考，認為應(yīng)回到態(tài)勢感知的本源。

下圖是態(tài)勢感知的學(xué)術(shù)界泰斗Endsley的論文中的圖，展示了動態(tài)決策中的態(tài)勢感知模型。

如上圖所示，我們通常討論態(tài)勢感知的理論基礎(chǔ)的時候，多僅僅引用上圖中態(tài)勢感知的三階段模型（察覺、理解和預(yù)測），而未將其放到動態(tài)決策的大背景中。如此一來，導(dǎo)致很多時候忘記了做態(tài)勢感知的目的是什么。

正如筆者之前多次指出，態(tài)勢感知的目標是實現(xiàn)有效防護！也就是說，態(tài)勢感知要閉環(huán)。結(jié)合上圖，就是：態(tài)勢感知的目的是為了做出決策，執(zhí)行行動。然后重新感知態(tài)勢，做出新的決策和行動。

態(tài)勢感知是一個典型的OODA模型。

進一步分析，業(yè)界一直在說防御體系建設(shè)要從靜態(tài)向動態(tài)轉(zhuǎn)變，從被動向主動轉(zhuǎn)變，從單體向多體轉(zhuǎn)變，從孤立向協(xié)同轉(zhuǎn)變，從簡單縱深向復(fù)合縱深轉(zhuǎn)變。簡言之，就是動態(tài)防御。而這正是態(tài)勢感知要提供的能力，通過態(tài)勢感知獲得態(tài)勢決策，執(zhí)行行動。對此，業(yè)內(nèi)先驅(qū)大軸老師在《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書中有詳細闡述。

回過頭來看看當前的態(tài)勢感知在服務(wù)于態(tài)勢決策方面做了些什么?？梢韵聫膬蓚€角度進行闡述：

1）從產(chǎn)生決策的角度來看，當前的態(tài)勢感知基本停留在態(tài)勢察覺（perception，或者叫觀察）的層次上，少量涉及到態(tài)勢理解的部分，基本都無法形成完整的理解，而態(tài)勢預(yù)測更是稀少，有些基于統(tǒng)計的預(yù)測就不錯了。最后的結(jié)果就是難以產(chǎn)生態(tài)勢決策，也就無法形成行動，實現(xiàn)防御閉環(huán)。此外，當前的SIEM中的技術(shù)棧支撐也都難以提供更高水平的態(tài)勢決策能力。

2）從決策后的行動角度來看，當前的態(tài)勢感知平臺對于決策基本上無法付諸行動，也缺乏執(zhí)行行動的技術(shù)支撐，難以形成響應(yīng)到再感知的閉環(huán)。

也就是說，當前的態(tài)勢感知以發(fā)現(xiàn)問題為主，而在如何解決問題方面有所欠缺。

基于上述討論，筆者提出一個觀點：

未來的態(tài)勢感知是面向決策的。系統(tǒng)功能設(shè)計側(cè)重于形成態(tài)勢決策。進一步地，要形成兩類決策：宏觀決策和中觀決策。宏觀決策是策略級的響應(yīng)，是對當前整體安全防御保障等級的調(diào)整，對應(yīng)一系列與該等級相關(guān)的意圖、策略、規(guī)則和配置集合，通過人機結(jié)合的方式執(zhí)行下去。策略級響應(yīng)的態(tài)勢感知迭代周期通常較長。中觀決策是戰(zhàn)術(shù)級的響應(yīng)，是對當前某個具體的安全事件的綜合研判后的響應(yīng)行動（包括處置、調(diào)查、追蹤、溯源等），通過人機結(jié)合（機器優(yōu)先）的方式快速迭代執(zhí)行下去。

未來的態(tài)勢感知是可運行/運營的、實戰(zhàn)化的，態(tài)勢運營是安全運營的一部分。未來的態(tài)勢感知平臺將可以進行決策或者輔助決策，有良好的人機互動，實現(xiàn)人在回路之上的閉環(huán)（大軸稱之為“人在控制閉環(huán)之上”，詳見《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書）。而正因為形成了閉環(huán)，就具備了運行/運營的可行性。同時，態(tài)勢感知的閉環(huán)要納入到整體的安全運行/運營之中，成為安全運行/運營的一個組成部分，有自己的相對獨立清晰的技術(shù)依托、流程和崗位職責，此時可以稱之為“態(tài)勢運行”或者“態(tài)勢運營”。

如果我們把當前的態(tài)勢感知稱作態(tài)勢感知1.0，那么面向決策的態(tài)勢感知就是態(tài)勢感知2.0。