告訴你為何重視可視化

近期Palo Alto以1.05億美元的價(jià)格收購了LightCyber,將其偵查攻擊行為的功能加入網(wǎng)絡(luò)安全平臺(tái)，Palo Alto為什么要收購LightCyber呢？

其實(shí)不難發(fā)現(xiàn)，LightCyber的偵查缺口與修補(bǔ)方案被稱為Active Breach Detection，能 根 據(jù)行為分析以及異常檢測增加將發(fā)生的攻擊行為、內(nèi)部威脅和躲避過傳統(tǒng)控制行為攻擊的可見性。Palo Alto對(duì)LightCyber的收購正是加強(qiáng)其可視化的能力。

網(wǎng)絡(luò)安全運(yùn)維的復(fù)雜程度決定了運(yùn)維工作變得越來越困難，其主要原因包括：流量持續(xù)增長、網(wǎng)絡(luò)連接設(shè)備不斷增多、網(wǎng)絡(luò)以及應(yīng)對(duì)全新和已知安全威脅的安全技術(shù)日益多元。因此網(wǎng)絡(luò)可視性亟待加強(qiáng)。

現(xiàn)在很多公司是從三個(gè)維度上來做可視化，一是整網(wǎng)的維度——路徑的可視化，如Redseal公司等；二是設(shè)備的維度，如Tufin公司專注于組織架構(gòu)；三是策略的維度，如Firemon公司以運(yùn)維的角度做可視化。

當(dāng)下公司業(yè)務(wù)采用云和虛擬化已經(jīng)成為趨勢，例如在美國AWS VPC已成為美國廠商的標(biāo)配，如果沒有相應(yīng)的關(guān)于云安全的解決方案，其后果無疑是非常嚴(yán)重的。在虛擬化平臺(tái)方面VMware與相關(guān)廠商的合作推出的的虛擬化成為了主流虛擬化平臺(tái)，軟件定義數(shù)據(jù)中心逐漸興起并成為趨勢，可以說，決定了安全廠商的安全能力。

大數(shù)據(jù)合作和威脅情報(bào)共享方面，要做安全的解決方案幾乎必然會(huì)提到威脅情報(bào)，但現(xiàn)實(shí)是在大數(shù)據(jù)的搜集上比起安全廠商，大數(shù)據(jù)公司無疑占據(jù)著“天然優(yōu)勢”，在美國有很多專門做大數(shù)據(jù)的公司與安全廠商合作共同推進(jìn)威脅情報(bào)的共享，如Redseal和Splunk達(dá)成的戰(zhàn)略合作。但在國內(nèi)還沒有關(guān)于做大數(shù)據(jù)的領(lǐng)頭羊與安全廠商合作推進(jìn)威脅情報(bào)的共享，因此未來幾年很有可能出現(xiàn)類似的合作形式來共同推動(dòng)威脅情報(bào)的共享。

可視化是將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像顯示出來,并進(jìn)行交互處理的技術(shù)。可視化的最終目的是為了用直觀、交互的方式傳遞數(shù)據(jù)中隱藏的信息，通過數(shù)據(jù)接入、數(shù)據(jù)整合、數(shù)據(jù)處理、數(shù)據(jù)分析、可視化和數(shù)據(jù)展示的流程來實(shí)現(xiàn)可視化。

在可視化路徑上，有一些廠商做路徑可視化，當(dāng)然廠商的水平有高有低，高水平的能夠做到安全域的路徑可視化，而低水平的只能做到結(jié)點(diǎn)到結(jié)點(diǎn)的路徑可視化。從路徑展現(xiàn)來看這很可能成為一種趨勢。

當(dāng)然路徑只是基礎(chǔ)，而服務(wù)才是靈魂，因?yàn)閱渭兊穆窂绞菦]有意義的，只有在建立路徑的基礎(chǔ)上，通過多重功能疊加，例如疊加流量、漏洞信息、負(fù)載情況等。一旦建立起這些“地圖”，在安全上才能變得有意義。

路徑和策略的建立，最后是要落實(shí)到公司組織架構(gòu)上，因此建立適合公司的組織架構(gòu)決不能被忽視。例如Tufin與Palo Alto合作，基于Palo Alto的設(shè)備組、用戶組及其中的嵌套關(guān)系建立組織架構(gòu)做運(yùn)維，其工作組相對(duì)較為清晰。此案例也能給國內(nèi)安全廠商一些啟發(fā)和借鑒。例如在進(jìn)行安全可視化平臺(tái)規(guī)劃時(shí)，可以參考基于路徑和策略組織架構(gòu)，形成基線和工作流，并疊加流量等，最終發(fā)現(xiàn)威脅。