如何应对全面安全问题（一）

通过滑动标尺模型理解攻击、防御与叠加创新

当前，能力型安全厂商普遍互认的公共模型——滑动标尺模型将整个安全能力体系划分为五个阶段，分别是架构安全、被动防御、积极防御、威胁情报和进攻。

从架构安全的角度来看，其是一个自身强身健体的过程，主要是在安全的规划和建立过程中，充分地考虑安全，这也是419网信座谈会上提出的“网络安全与信息化要同步建设”的三同步原则相对应。

从被动防御的角度来看，人们往往认为被动的，就是不好的，但其实被动防御是一种非常基础的安全措施，比如，防火墙中添加的端口规则或者IP段的规则，收窄了攻击者可能移动的灵活性；建立一些相应的基础日志来保证攻击者必须留下痕迹，虽然不足以用来暴露高能力的攻击者，但却是能够有效对抗高能力攻击者和落实后续安全策略的基础。

在此基础上，则包括了监测威胁、响应对抗、对威胁了解持续提升的上层积极防御手段。在此层次之上，才是威胁情报的积累，包括低阶的情报（比如，IOE的信标、哈希）和高阶威胁情报和高阶威胁情报。

从国家的安全战略体系上来看，一定还要包括进攻这一部分，在4.19座谈会上曾讲到“网络安全的本质在于对抗，对抗的本质在于攻防两端能力的较量”，进攻就是一种威慑能力。但从一个行业、体系或者安全产品体系的实践的角度来看，安全体系总体上是关联于架构安全、被动防御、积极防御和威胁情报的。

态势感知的价值和成本

我们认为这两者具有层面上的差异，同时存在着相互关联的部分。总体来看，有效防护贯穿于被动防御和积极防御等手段，实际上是用来应对架构安全层面上的缺陷，通过积极手段去弥补被动防御的不足，收窄被攻击面。而态势感知是一种上层建筑，是一种高价值的手段。那么在一定程度上，有效防护构成了态势感知的相关基础。

图 1 态势感知的价值与成本

以态势感知要求重构相关能力环节

态势感知与SIEM和SOC的最大差别是，态势感知的基础环节和探针应该是根据态势感知的要求重构的，而不是，现有的终端防护产品是一个杀毒软件，汇集上来的就是文件检测日志；现有的环节是一个IDS，汇集上来的就是包的检测日志。从我的角度来看，无论是流量侧、端点侧，还是分析侧，都是要根据态势感知的要求在端点、流量和分析能力上建立起一套符合态势感知要求的全要素采集能力。

文：山哥/整理发布：Miki