引言：12月初，我接受了《中國信息化周報》的一個書面采訪。針對記者提出的幾個問題，談及了對于目前大數據安全分析的一些觀點。記者將采訪的內容提煉后連同其他采訪作為一期專題已經刊發。現將書面采訪的部分原始問題和回答公布如下，供大家參詳，歡迎指正。

書面采訪中我回答的內容功能更加詳細，可以作為對那個報道中我的觀點的補充說明。

1、 目前大數據安全分析存在的瓶頸是什么?需要怎樣做才能盡快突破?

答：隨著大數據技術生態的逐步成型，大數據技術逐漸成為了一種貨架技術。基于這些技術，目前大數據安全分析過程中的數據采集和存儲技術已經被先進企業所掌握，可視化水平也突飛猛進，存在的瓶頸是主要是應用場景、安全分析場景方面。大數據技術是一種基礎技術，其興起和發展最初都來源于互聯網企業。互聯網企業為解決其實際問題，發展了大數據技術。而將大數據技術應用在安全分析領域，屬于在安全分析領域的革新和進步，但如何應用，需要找到安全痛點，數據創造價值，仍然要結合安全業務場景，通過大數據技術解決傳統技術無法解決或解決起來非常困難的問題。盡快突破的辦法就是結合安全業務場景，以場景驅動安全分析，以數據帶動技術進步。與此同時，安全分析師、業務分析師、領域工程師等技術人員的匱乏也是制約大數據安全分析應用發展的重大瓶頸。大數據分析情境之下，對分析師的人員和技能要求更高。

2、 在安全數據收集、整理、分析、可視化過程中，如何幫助客戶實現安全數據可視化，并最終走向數據驅動的安全?

答：數據驅動的安全是指途徑和手段，而非目標。安全的目標從來也沒有改變過。并且，數據驅動的安全也僅僅是眾多安全方法論中的一種。

在目前，網絡攻防雙方的能力已經不對等，攻擊占據上風，攻擊耗時遠遠低于防守耗時。攻防的對抗其實就是數據的對抗、知識的對抗和人的對抗，數據驅動的安全一定程度上是在彌補這個防守耗時，以求盡快識別攻擊并進行響應、阻斷和反制。

在這個過程中，數據的攝取、整理、分析和呈現都很有講究，每個環節都很重要，并且環環相扣。可視化是一種呈現方式，主要面向兩類角色。一類是分析師，幫助其更高效地進行交互式分析，即所謂威脅捕獵(Threat Hunting)。另一類是管理層和決策者，幫助他們了解網絡的整體安全態勢，及時掌握安全的我情、敵情和戰情，以求做出清晰、有效的決策。

只要角色定位清楚了，給誰做可視化的問題就明確了，安全數據可視化的目標和實現途徑就好設計了。我們可以根據不同的角色，定義不同的場景，并設定為一組目標，然后就可以自頂向下地梳理所需的信息和模型，以及這些信息所依賴的數據，再就是如何攝取這些數據。

在進行數據可視化的時候，不能一味追求酷炫的展示效果，更要注重內容的表達，即數據安全分析得到的那些洞見的展現。從這個意義上來說，幫助客戶實現對安全的可見性(Visibility)比實現對安全的可視化(Visualization)更重要。我們經常說看見威脅，看見安全，更多是指洞察、洞悉。

3、在幫助客戶建立以數據驅動為核心的機制，讓客戶“看見”威脅，從而建立縱深防護體系方面，您們的企業有哪些創新?目前有較成功的案例嗎，能具體介紹一下嗎?

答【僅摘錄部分回答】：在當前網絡攻防對抗的形勢下，企業和組織傳統的安全防護體系和思路必須進行改變。我們必須認定我們的網絡已經遭受入侵，必須從消極防護轉變為主動防護和智能防護、甚至是可適應性防護，要從單純的防御轉向積極對抗，要從獨立防御向協同防御體系買進，安全需要知己，還需要知彼。也就是說，我們要從全新的視角去看“建立縱深防護體系”這個理念，要建立一種“高維度的縱深防護體系”。這種高維度是指不僅要考慮攻擊路徑上的縱深，還要考慮防范攻擊的時間縱深、管理縱深、物理縱深。因為我們的對手總是試圖發起高維攻擊，我們必須建立高維縱深。

在應對新型威脅和新安全挑戰方面，Gartner在2014年提出了自適應安全架構的概念。Gartner認為攻擊已然不可避免，建議企業和組織必須將更多的精力從原來的防范攻擊轉向檢測、響應和預測，通過對全安全要素的持續監測和持續響應來持續改善現有的防范機制。而這種監測就建立在以安全數據倉庫為基礎的安全分析(Security Analytics)基礎之上。

安全分析，就是數據驅動的安全分析，強調將高級分析技術作用在數據之上，產生比以往更有價值的安全洞見、知識和情報。高級分析技術是指不同于以往基于特征和規則的分析技術，高級分析技術更多地采用了高級統計、機器學習等基于行為分析的技術。

面對當前網絡安全的挑戰，結合新技術的發展情況，大潘提出的全新的安全分析方法論——全范式安全分析體系——我很贊同。所謂“全范式安全分析”體系，就是強調要綜合利用四種安全分析范式來構建一個完備的安全分析體系。這四種范式分別是：

1) 安全分析第一范式：嘗試、實驗，即以經驗為主的分析，譬如滲透測試;

2) 安全分析第二范式：模型、特征，也就是經典的特征檢測、攻擊建模，等等;

3) 安全分析第三范式：模擬、仿真，譬如沙箱、虛擬執行;

4) 安全分析第四范式：大數據安全分析。

面對當前的網絡威脅，只有綜合上述四種安全分析方法，才能構建一個相對完備的安全防護體系。而大數據安全分析又在其中起到了提綱挈領的作用。

4、以數據為基礎的安全技術在安全防御中的價值是什么?未來在基于數據的安全技術上的趨勢和方向是怎樣的?

答：安全分析的最關鍵價值就在于盡快識別出漏洞、威脅和攻擊，并進一步幫助我們評估風險、進行應急響應和處置，指導企業和組織改進防御控制機制、增強合規符合度，并向管理層傳遞安全態勢和防御效果，最終提升整個攻防對抗的效益。

就在11月份，SANS發布了最新一期的《安全分析與智能調研報告》。報告顯示，安全分析的價值排名靠前的五個分別是：更準確地評估風險、檢測外部的基于惡意代碼的威脅(譬如0day攻擊)、獲得網絡和終端行為的可視性(Visibility)、建立行為基線識別行為異常、合規監測與管理。

結合國際上安全分析的發展趨勢、Gartner的分析報告，以及我們對國內客戶的差異性分析和具體實踐，我認為，未來幾年數據驅動的安全分析技術的發展動向將是：智能化、情報化、交互化、協作化。

智能化：這是數據驅動的安全分析的核心，強調不依賴于既有特征和規則的分析。未來這方面將進一步增強，更多高級統計、機器學習、情境感知的技術將引入安全分析。

情報化：安全分析將更加依賴安全情報，情報驅動的安全分析將盛行。借助情報，可以提升分析的效率，并更快地適應對抗環境的變化。同時，安全分析的結果也更多地以情報的方式進行輸出。這里的安全情報可以分為戰略層的、操作層的和執行層的，從技術上可以分為漏洞情報、威脅情報、攻擊情報等，從來源可以分為內部情報、外部情報。

交互化：鑒于安全智能中期內還無法成熟，安全分析、尤其是高級安全分析和威脅狩獵(Threat Hunting)，將更多地依賴人機交互。系統更多地是盡可能地為人提供一套便捷高效的分析工具，安全分析將更多是一個人機促進系統，或者叫Human-augmented System。

協作化：這里的協作既包括人機協作、內外部情報協作，更包括由于國內現實情況而產生的人人協作。所謂人人協作，就是指在當前企業和組織自身的安全分析能力、資源和分析師技能短缺的情況下，通過外部人才/力量來彌補的情形。這可以是安全分析設施和服務的整體或部分外包，也可以是人員外包、知識外包、人才培養等。企業和組織要找到安全分析的合作伙伴，而安全分析的廠商也要構建起一個生態系統。