態勢感知本身是一個軍事概念,最早是美國空軍提出來用于分析空戰環境來對當前和未來形勢作出判斷的一種方法,于上世紀九十年代被引用到信息安全對抗領域。目前對態勢感知普遍采取的定義是系統工程學博士 Endsley 所給出的,即態勢感知是感知大量的時間和空間中的環境要素,理解它們的意義,并預測它們在不久將來的狀態。網絡安全態勢感知本質上是獲取大量的網絡安全數據,對其進行關聯分析以理解當前的安全狀態,并且對未來的安全狀態進行預測。把態勢感知引入到安全領域的目的是可以讓防御一方能更好的知道現在的形勢,并且還能幫助防御者對未來發展方向做一個預判,這樣防御方就能更好的制定防御策略。
SOC/SIEM 是基礎安全產品的管理工具。當企業分了不同的區域進行防護,裝上了各種各樣的設備,復雜性的提升就帶來了體系化管理的需求,目前我國有安全管理建設需求的單位通常都是 IT 應用成熟度較高的大型企業,它們通常是建設一個 SOC/SIEM 來作為安全管理的基礎設施,通過這種產品可以實現諸如日志集中管理、統一配置、進行初步的不同產品和系統的協同、設備自動發現等功能。
人力現在成了提高安全效率的最大約束。安全管理產品只是進行安全設備和安全事件的管理,而不直接解決特定的安全問題。解決問題的人力成了提升安全能力的最大約束,往往甲方公司在使用了 SOC/SIEM 以后,大量實時的告警被集成到平臺上來,一天的告警數量從幾千條到數百萬條的都有,安全運維人員處理一條告警就要幾天的時間,一條一條去手動處理 SOC/SIEM 里的告警不現實。而且現在組織機構的運維人員本身數量就較為稀缺,根據我們的產業調研,大型公募銀華基金 IT 運維人員僅有三人。一家海外的安全事件編排廠商 Demisto 通過調研發現,大約有 80%的公司沒有充足的運維人員去運營 SOC,培訓一個合格的 SOC運維人員要 8 個月,但是平均兩年內 25%的 SOC 運維人員會轉崗,結果就是甲方公司平均每手動處理一個告警就需要 4.35 天,所以SOC/SIEM 產品對國內甲方的實際安全防護水平的提升是非常有限的,核心的限制因素是企業的安全人員數量不夠以及企業內缺乏必要的安全管理流程制度。
