兩年前，筆者寫了一篇文章《一花獨放不是春，百花齊放春滿園》，簡要闡述了國內態勢感知的市場和華為的HiSec Insight態勢感知系統（以下簡稱HiSec Insight）。當時國內態勢感知市場方興未艾，還處在技術炒作的高峰期，Gartner也沒有態勢感知的市場或技術分析。今年，Gartner專門面向中國市場發布了《2022中國安全成熟度曲線》（Hype Cycle for Security in China, 2022），在報告中態勢感知已成為成熟期產品。

如何解決安全問題已成為客戶的主要訴求

近兩年，我們也經常聽到一些“新貴”產品的名字，例如XDR（Extended Detection and Response，擴展檢測和響應）、SASE（Secure Access Service Edge，安全訪問服務邊緣）。安全運營市場一時間風起云涌，儼然一幅“你方唱罷我登場” 的繁榮景象。但無論是什么新技術或新概念，最關鍵的還是可以解決客戶什么痛點？通過哪些技術手段解決的？而不僅僅是創造一個新名詞。

筆者近期和一些客戶交流時，經常能聽到客戶的抱怨：“購買的安全產品種類越來越多，投入也越來越大，但是好像安全問題并沒有顯著減少！”這里固然有一部分原因是網絡安全具有“伴生”的性質，即隨著業務的數字化轉型，各種應用和IT新環境也在不斷發展，安全問題必然也會越來越多。但是，市場上安全合規類的產品偏多，注重實效的產品偏少，這也是不可回避的事實。所以，這又引出客戶的另一個問題：“檢測出惡意威脅后，我怎么判定結果是否準確？怎么做到自動化處置？”這個問題很好理解，用戶對安全的核心訴求就是合規的基礎上不能出現網絡安全事故，所以只有識別和檢測是遠遠不夠的，必須要解決問題。

如圖1-1所示，NIST的IPDRR（Identify, Protect, Detect, Respond and Recover）安全框架下從識別階段到恢復階段，依賴人的程度是逐步遞增的，而依賴技術能力是逐步遞減的。這也是為什么眾多安全廠商的產品都集中在識別、保護和檢測階段，而響應和恢復階段的產品種類非常少。這個事實與客戶安全運營的實際訴求充滿矛盾，因為多數客戶是沒有或者只有很少人力做專業的安全運營工作，所以即使部署了再多的識別和檢測設備，安全實效也提升不大。對于客戶來講，以前是看不到威脅，現在是天天看到大量的威脅告警但無從下手，只是徒增更多煩惱而已。

圖1-1網絡空間安全防御矩陣

所以，對于態勢感知產品來說，不僅僅是要滿足合規要求或者盡可能多的發現安全風險，從能夠發現威脅到自動處置閉環的過程尤為重要。自動處置閉環的挑戰主要有以下幾點：

• 威脅檢測要支持有效的反饋機制，例如能夠實時糾偏，快速更新相應的威脅檢測規則或模型。

• 檢出的威脅盡可能是準確的，且能夠對正常業務進行白名單保護。

• 有比較完備的產品生態，能夠與異構的廠商形成完整的聯動方案。

針對以上挑戰，華為通過大量實踐總結出幾點建議：

• 云服務是解決威脅檢測正負向反饋的最佳機制，可以解決模型實時更新的問題。

• 基于多種手段（包括簽名、規則、人工智能等）的單點檢測能力需要借助強大并易用的關聯引擎能力，才能做好完整攻擊鏈的關聯和風險排序。通過學習正常業務的基線，可以減少大量的誤報。

• 利用SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應），通過自動化運營代替傳統人工運營。這里的SOAR存在于IPDRR的所有階段中，即將安全專家的經驗融入運營人員的工作流中，使安全更具靈活、高效和可落地性。

• 除了能夠與自有產品聯動閉環外，要形成產業生態鏈，最好能夠在國家相關監管機構的指導下形成統一的互聯互通標準。

因為國外沒有態勢感知這個產品品類，與態勢感知最貼近的就是SIEM（Security Information and Event Management，安全信息與事件管理），所以筆者下面將從SIEM的角度談一下安全運營類產品。全球IT研究與顧問咨詢機構Gartner在今年10月份發布了2022年Magic Quadrant for Security Information Event Management報告（以下簡稱2022年SIEM MQ），Gartner對SIEM的定義是：“安全信息和事件管理（SIEM）技術通過收集和分析（近實時和歷史）安全事件以及各種其他事件和上下文數據源，支持威脅檢測、合規性和安全事件管理。核心功能是范圍廣泛的日志事件收集和管理、跨不同來源分析日志事件和其他數據的能力，以及運營能力（例如事件管理、儀表板和報告）。”

Gartner在評估SIEM廠商時，制定了三個重要的技術入選標準：

1. 必須具備云原生或者SaaS方式交付SIEM的能力。

2. 必須至少具有SOAR、TIP（Threat Intelligence Platform，Threat Intelligence平臺）、UEBA（User and Entity Behavior Analytics，用戶行為分析）、長期的數據存儲和安全運營報告等4項能力中的2項。

3. 除了支持收集自有產品的數據流或日志之外，還必須支持從異構第三方來源捕獲和分析數據。這里提到的異構第三方包括市場領先的網絡、終端PC/服務器、云（IaaS或SaaS）和業務應用的廠商，這也意味著入圍者必須與至少10家主要安全技術廠商形成伙伴關系。

Gartner的SIEM入圍標準明確表達出了一個觀點：Cloud SIEM將成為SIEM的主流形態，這也從IDC市場數據中得到基本驗證。另外，入圍標準也表達出客戶對檢測和響應高級功能（如SOAR、Threat Intelligence等）以及異構安全運營方案的渴望。

從商業上看，SIEM市場從2020年的34.1億美元增長到2021年的41.0億美元，年增長率為20%。客戶購買SIEM的主要驅動因素是威脅檢測、響應、攻擊面管理和合規性。客戶正在尋求一個具有廣泛和深入能力的SIEM生態系統，以滿足多種安全和業務的使用場景，并能夠支持多樣化的IT環境。

結合客戶需求、Gartner報告以及筆者個人經驗來看，SIEM這個品類正逐步向以下幾個層面演進：

• 支持集成SaaS應用的Cloud SIEM將成為主流產品。因為國外客戶普遍接受SaaS的方案，所以他們更加關注Cloud SIEM是否支持多云，是否支持與主流SaaS應用集成。

• 可以識別出真正產生危害的攻擊。為了實現這個目標，不管是基于流量的檢測（NDR，Network Detection and Response)、基于終端的檢測（EDR，Endpoint Detection and Response)，還是UEBA或TIP，都將是不可或缺的。

• Threat Intelligence在SIEM產品上的應用將越來越關鍵。Threat Intelligence除了可以增強威脅檢測能力外，還可以用于調查取證和威脅狩獵。

• 基于SOAR的自動化運營能力將成為SIEM產品的標配。只有不斷提升客戶的自動化運營程度，才能真正解決客戶安全運營缺乏資源投入的痛點。另外，通過SOAR編排災備系統能夠快速恢復業務，保證客戶的業務韌性。

XDR將取代SIEM？言之尚早

最后簡單談一下最近比較“熱”的XDR（Extended Detection and Response，擴展檢測和響應）和SIEM之爭。

Gartner給出的XDR定義為：“XDR是一種基于SaaS的、綁定于特定供應商的安全威脅檢測和事件響應工具，它將多個安全產品集成到一個統一納管的內聚安全運營系統中。”XDR和SIEM的核心區別如表1-1所示。

對比項XDRSIEM核心區別 只取后臺系統需要的一手數據聚合分析 海納百川，數據源眾多，但大多數為后臺無法理解的數據，需要對二手數據做關聯分析適用場景 中小企業 大型企業或監管部門

表1-1XDR和SIEM的核心區別

其實SIEM廠商很早就已經意識到：與其花費大力氣對浩如煙海的各種安全日志做安全分析，不如找到真正所需的數據。這種直接采集數據的效率更高、效果更好，這也是部分人認為XDR最大的優勢——數據遙測能力。但是，筆者認為XDR目前最多只能算作是SIEM的一個子集，還談不上取代。NTA（Network Traffic Analyzer，網絡流量分析器）、UEBA和SOAR等技術不斷融入SIEM都是市場的選擇，并不是技術主導的結果。其實XDR能不能取代SIEM還要從兩個角度分析：

• 后者能夠替代前者的所有功能嗎？退一步講，即使不能完全替代，那么無法替代的功能需求是否會逐步消失？

• 從商業上來看，后者的市場規模前景是否足夠大？

綜上所述，盡管存在一些客戶部署態勢感知或SIEM失敗的案例，但大家對安全運營中心的建設依然樂此不疲。這從側面說明安全運營市場有剛性需求，但目前還無法被很好的滿足，這就對乙方提出了更高的要求。華為愿意攜手安全產業的合作伙伴，聚合業界最優的產品與技術，為客戶提供“業務連續、數據安全、隱私保護、合規遵從”的安全運營方案。

參考文獻：

Pete Shoard, Andrew Davies, Mitchell Schneider《Magic Quadrant for Security Information and Event Management》