补齐态势感知东西向短板 蔷薇灵动发布知心东西向网络数据分析平台

安全419了解到，国内长期专注于微隔离技术领域的安全厂商蔷薇灵动目前正式推出名为“知心”的东西向网络数据分析平台。该平台旨在弥补传统态势感知平台面向东西向网络访问的普遍能力缺失，并帮助用户构建更为立体全面的安全数据分析体系，特别是对于云计算、云原生网络中的异常访问情况，该平台能够进行全面分析和快速响应，帮助用户更好地发现和应对内部的安全威胁。

态势感知平台的东西向困境

新的网络威胁形势下，企业正积极推动安全能力由“被动防范”向“积极防御”叠加演进，态势感知平台成为当代网络安全运营体系的核心，负责对全局安全信息进行整体分析与综合决策，可以说是安全体系中的“大脑”。我国于2019年底开始实施的“等级保护2.0”非常重视全方位主动防御、动态防御、整体防御和精准防护的能力构建，在“一个中心三重防护”的牵引下，态势感知几乎成为企业“标配”的安全系统。此外，目前正在征求意见阶段的国家标准《信息安全技术 零信任参考体系架构》也将态势感知列为零信任体系架构中的关键组成部分。目前，态势感知平台已经在网络安全实践中发挥着重要作用。

尽管态势感知产品具有强大的安全分析能力，但它们也面临着许多挑战，其中最严重的是东西向安全分析能力的缺失，使其只可感知“外敌”，而无法洞察“内情”。尤其是随着云计算、云原生的深化应用，数据中心70%的流量都产生自其内部的“东西向”网络访问，而资源池化、资产虚化的新型基础架构则进一步增大了企业洞察数据中心内部暴露面、理解东西向网络访问本质的困难。这种困难首先源于东西向网络访问数据的获取，企业普遍缺乏捕捉东西向流量的可行手段，传统的全流量镜像方案很难将采集点下沉至云化环境中的每一个计算单元，而直接作用于主机的流量捕获方式又会对工作负载的性能造成灾难性消耗。同时，即便不考虑数据采集方案的可行性，对采集到的全流量数据进行处理、存储和计算需要巨大的资源支撑，往往令普通企业难以接受。更为重要的是，虚拟网络中的IP地址变得更加随机、更不稳定，IP地址与业务角色的关联关系被彻底打破，而缺少业务视角的数据分析也势必难以产生更具意义的计算结果。

一方面，东西向流量越来越难捕捉和分析，而另一方面，对东西向流量进行分析的要求却日益强烈。目前常态开展的网络实战攻防演练表明，攻击者成功侵入内网后的目标横移可谓易如反掌，重要资产失陷几乎成为必然。从近年来屡见不鲜的恶性勒索病毒事件中同样能够看到，一旦恶意程序进入内网，则往往在极短时间内即形成大面积感染。在最新发布的国家标准GB/T 42583-2023《信息安全技术 政务网络安全监测平台技术规范》中，就明确要求对云计算环境的内部流量进行监测与分析。蔷薇灵动的“知心”东西向网络数据分析平台就是在这样的大背景下诞生的。

五类数据与自定义事件引擎打造优质平台

蔷薇灵动长期专注于微隔离技术的研究和实践，而微隔离是一种面向身份的细粒度访问控制技术，被广泛用于构建面向业务的网络边界，由于其“IP无关”的技术特性，能够完美地适应云计算资源池化的特性，从而成为了云计算时代网络安全体系的基石。微隔离具备学习每个工作负载网络行为的能力，使其成为东西向网络数据的最佳观察者，正是基于这样的数据能力储备，蔷薇灵动开发出了“知心”平台。

事实上，“知心”平台能够综合分析五大类关键数据，才真正将东西向网络流量“看清楚”。

1.时序连接关系数据：

知心平台的数据采集探针具备捕捉网络中所有资产之间访问关系的能力，而知心平台则基于约定的时间细粒度对这些数据进行采样和持续存储。这种精细化的数据处理方式使得我们能够建立起精确而细致的东西向访问关系和行为基线。需要指出的是，知心平台采集的是基于五元组的访问日志，并在一个时间周期内将访问日志汇聚为访问关系上传给知心平台。相较于传统的流量捕捉方式，这种方式占用的网络资源、计算资源和存储资源都要小得多。因此，知心平台能够对全网的访问数据进行存储和分析，从而使得对网络流量的深入理解和监测成为可能。

2.资产业务属性数据：

知心平台是一种面向业务的网络分析平台，在它的数据框架中，每个网络资产都具有自己的业务角色信息。知心平台收集和分析资产的业务角色信息，并随时将基于IP的网络数据转化为业务关系数据，使得知心平台能够从业务视角对东西向流量进行分析。

3.合法访问规则数据：

知心平台可以预设合法访问关系或采集微隔离策略的白名单规则，这些规则描绘了业务之间的访问关系，代表着用户对业务的理解，这对于分析网络行为来说是非常宝贵的知识。通过对规则进行分析，知心平台能够更准确地判断收集到的网络访问信息。

4.违规访问行为数据：

知心平台通过对比计算访问关系与合法访问规则，将符合规则的访问视为合法、正常的访问，并识别标记不符合规则的违规访问行为，通过综合分析全网工作负载的违规访问记录，能够高敏感度地捕捉异常行为。

5.主机系统行为数据：

知心平台的数据采集探针采用主机代理形式工作，除了能持续采集主机的网络连接信息，还能监测其他主机行为相关数据，如端口监听情况、端口使用情况、端口监听进程的执行程序路径等。知心平台通过综合分析网络行为数据和主机行为数据，能够更准确地分析网络行为的合理性，同时也更敏锐地捕捉异常事件。

通过综合分析这五类关键数据，知心平台展现了对东西向流量的深刻洞察能力。它能够深入理解流量的业务含义，并建立精细的基线模型。同时，凭借全网全密度覆盖的数据采集探针，知心平台能够敏锐地感知网络中各种异常情况并形成告警。

除了拥有稀缺的东西向业务数据外，知心平台还提供了可以自定义的事件侦测引擎，这使得知心平台成为了一个可调优、可进化的安全大脑。与传统的基于恶意签名的检测机制不同，知心平台的事件侦测引擎能够基于网络行为基线对异常事件进行发现。网络行为基线本身属于用户业务的专有特征，不为人所知晓，而且可以提炼的基线类型繁多，这样的基线检测手段对于发现未知威胁有着很好的应用效果。知心平台预置了40余种基线检测模型，用户可以通过调整模型参数，使模型更加适配自己的网络，比如，通过设定触发告警阈值来调整模型的敏感度，或是通过调整数据比对周期来控制模型对变化的适配性等等。用户甚至还可以基于预置模型创建自己的检测模型，从而为自己的网络量身定制出专有的侦测手段。除了能够调整模型算法，用户还能够对模型进行噪音消除，也就是过滤网络中已知的一些合法的、但容易触发告警的特殊流量。根据蔷薇的经验，通过噪音消除操作和规则优化，基本可以完全过滤掉平台的事件误报，大大提升平台告警的有效性。

知心平台的四个主要价值

知心平台从数据获取到数据分析都有着十分独特且强大的能力，通过部署知心平台，用户将收获如下关键价值：

面向业务的细粒度东西向网络数据分析平台

知心平台首先是一个非常出色的东西向数据捕捉与关联分析平台。它的数据采集点细粒度到每一个虚拟机、容器，并且采集周期可以根据用户需求进行调整。最为关键的是，它能够将IP数据映射为ID数据，从而允许用户从业务视角对东西向流量进行分析。缺少数据是一切IT治理的致命短板，而拥有了数据，我们就能够进行许多工作，比如业务分析、运维自动化，当然还有网络安全。

知心平台基于独特的轻量级数据采集方式，为用户提供了面向数据中心内部的安全感知能力，帮助用户洞察到了先前无法了解的网络和主机活动，消除了过往的安全监测盲区，进一步补强了态势感知的能力，使积极防御的覆盖范围更加完整。

面向业务的暴露面评估与治理

从某种角度来看，边界防御的核心目标就是减少暴露面，即让资产被尽量少的访问者看到。相较于南北向的暴露面，东西向的暴露面分析更加具有挑战性。要对东西向的暴露面进行分析，我们需要了解三个关键数据：首先，我们需要知道资产上有哪些端口可以被访问；其次，我们需要知道这些端口中有哪些确实被访问了；最后，我们还需要知道这些被访问的端口中有哪些是确实需要被访问的。只有掌握了上述所有数据，我们才能够对业务的东西向暴露面进行评估和治理。然而，目前大多数用户只知道第一个数据（如果知道的话），由于缺乏东西向网络数据分析能力，他们往往无法掌握第二个数据。而由于业务的东西向访问关系非常复杂，许多用户并不了解自己业务的东西向访问需求和依赖关系，因此第三个数据也无从得知。

然而，知心平台拥有五类关键数据，其中的主机数据提供了主机端口监听信息，网络数据提供了端口访问信息，白名单规则数据提供了访问必要性信息。通过综合这几类数据，知心平台能够精准评估资产以及业务（共享业务标签的所有资产）的端口暴露面，并提供如何关闭或者降低暴露面的策略指导。

基于行为基线的未知威胁侦测引擎

未知威胁侦测一直是网络安全管理的重要目标之一，也是各种安全规范不可或缺的内容。然而，迄今为止，对于未知威胁侦测，用户一直缺乏有效的手段。事实上，“未知”和“侦测”本身就是相互矛盾的词语。所谓未知，实际上指的是威胁的代码特征和行为特征是未知的。而当前的侦测手段都是基于这些“特征”进行的，因此从基本逻辑上来看，传统的基于恶意特征签名的侦测工具固有地无法发现未知威胁的基因。

要发现未知威胁，就不能再依赖于威胁自身的各种特征。知心平台提供了一种面向业务访问基线的侦测机制，它可以根据用户自身的业务行为特征进行侦测。用户的行为基线是一种非常复杂且基本无人知晓的数据特征，而且它时刻都在变化。只要未知威胁的网络行为与业务基线在时间和空间尺度上有任何不同，知心平台都能察觉到。因为知心平台不再依赖恶意特征进行侦测，所以它真正具备了在理论上发现未知威胁的可能性。

察打一体的快速精准事件处置能力

知心平台不仅能够侦测各种东西向异常事件，还能快速处置这些事件。知心平台与微隔离平台密切协作，微隔离平台中的策略执行组件不仅是知心平台最敏锐的感知器，也是最精细的处置工具。

通过告警信息，知心平台可以直接生成针对微隔离平台的策略编排指令，无需跨平台跳转，直接在告警信息上进行同台快速处置，大大提高了处置效率和准确性。

知心平台的四大核心优势

知心平台属于新一代的“业务敏感型”数据分析平台，解决了传统态势感知平台的认知障碍和信息劣势问题。传统态势感知只能基于恶意代码特征进行检测，容易被攻击者绕过，而知心平台基于业务关系和网络行为基线进行检测，使防御者在攻防对抗中更为主动。具体而言，知心平台具有如下四大核心优势：

核心优势1：数据优势

知心平台拥有精确至最小计算单元的细粒度的东西向网络数据，能够全时段留存并统合分析任何两个工作负载间的通信。此外，知心平台还可以将网络数据和主机数据进行关联分析，进一步拓展数据的可分析空间。这一数据优势使得用户能够深入了解网络通信情况，从而更准确地评估业务暴露面，提升安全防护水平。

核心优势2：认知优势

相较于传统态势感知产品，知心平台具备面向业务的认知优势。通过引入资产的业务分组数据和基于白名单的合法访问规则数据，知心平台解决了虚拟化网络IP数据不稳定、不可理解的认知障碍。这使得用户能够对网络数据进行深刻洞察，从业务关系和网络行为基线出发进行检测，提升安全感知能力。

核心优势3：模型优势

知心平台通过业务关系和网络行为基线建立起基于用户自身特征进行防御的模型，与传统的基于恶意代码特征的防御模式有所不同。这种模型的复杂性和瞬息万变性使得攻击者无法获取到这些信息，从而使得防御者成为模型中的优势一方。通过模型范式的转变，知心平台使得用户真正掌握了网络安全的主动权，提升了防御能力。

核心优势4：响应优势

知心平台作为与微隔离紧密互动的平台，不仅是数据采集者，更是策略制定者。微隔离作为分布在全部资产上的安全卫士，能够在第一时间对安全事件进行处置。知心平台通过与微隔离的紧密协同，能够快速响应安全事件，用户只需点击具体告警即可完成处置操作，提高了安全事件的处置效率和效果。

蔷薇灵动的零信任大脑

作为零信任领域的长期主义者，蔷薇灵动一直致力于围绕零信任的技术框架进行研发布局。众所周知，零信任技术矩阵可以通过零信任的七个能力支柱进行描述，包括人、设备、网络、工作负载/业务、数据、可视化与分析、自动化与编排。蔷薇灵动的微隔离产品主要解决网络和工作负载的零信任分段问题，而统一微隔离产品则主要解决人和设备的零信任业务访问问题。最新推出的知心数据分析平台专注于解决数据可视化、数据分析和面向微隔离的自动化策略编排问题。

知心平台在蔷薇灵动的零信任技术矩阵中扮演着安全大脑的角色，为蔷薇灵动的微隔离产品和统一微隔离产品提供了数据分析和策略编排能力的支撑。

蔷薇灵动始终坚信，技术没有捷径可寻，零信任的核心技术模块必须通过自己的艰苦攻关才能获得，但路虽远行则将至，事虽难做则必成。知心平台的推出，使蔷薇灵动在零信任之路上又迈进了一大步。