通過滑動標尺模型理解攻擊、防禦與疊加創新

當前，能力型安全廠商普遍互認的公共模型——滑動標尺模型將整個安全能力體系劃分為五個階段，分別是架構安全、被動防禦、積極防禦、威脅情報和進攻。

從架構安全的角度來看，其是一個自身強身健體的過程，主要是在安全的規劃和建立過程中，充分地考慮安全，這也與總書記的“網絡安全與信息化要同步建設”的三同步原則相對應。

從被動防禦的角度來看，人們往往認為被動的就是不好的，但其實被動防禦是一種非常基礎的安全措施，比如，防火墻中添加的端口規則或者IP段的規則收窄了攻擊者可能移動的靈活性；建立一些相應的基礎日誌來保證攻擊者必須留下痕跡，雖然不足以用來暴露高能力的攻擊者，但卻是能夠有效對抗高能力攻擊者和落實後續安全策略的基礎。

在此基礎上，則包括了監測威脅、響應對抗、對威脅了解持續提升的上層積極防禦手段。在此層次之上，才是威脅情報的積累，包括低階的情報（比如，IOE的信標、哈希）和高階威脅情報和高階威脅情報

從國家的安全戰略體系上來看，一定還要包括進攻這一部分，總書記在4.19座談會上曾講到“網絡安全的本質在於對抗，對抗的本質在於攻防兩端能力的較量”，進攻就是一種威懾能力。但從一個行業、體系或者安全產品體系的實踐的角度來看，安全體系總體上是關聯於架構安全、被動防禦、積極防禦和威脅情報的。

態勢感知的價值和成本

我們認為這兩者具有層面上的差異，同時存在著相互關聯的部分。總體來看，有效防護貫穿於被動防禦和積極防禦等手段，實際上是用來應對架構安全層面上的缺陷，通過積極手段去彌補被動防禦的不足，收窄被攻擊面。而態勢感知是一種上層建築，是一種高價值的手段。那麽在一定程度上，有效防護構成了態勢感知的相關基礎。

圖 1 態勢感知的價值與成本

以態勢感知要求重構相關能力環節

態勢感知與SIEM和SOC的最大差別是，態勢感知的基礎環節和探針應該是根據態勢感知的要求重構的，而不是，現有的終端防護產品是一個殺毒軟件，匯集上來的就是文件檢測日誌；現有的環節是一個IDS，匯集上來的就是包的檢測日誌。從我的角度來看，無論是流量側、端點側，還是分析側，都是要根據態勢感知的要求在端點、流量和分析能力上建立起一套符合態勢感知要求的全要素采集能力。

如何應對全面安全問題（一）