近日，360聯合Gartner共同發布了《數據驅動的安全協同》調研報告。報告指出，信息安全是一場持續的戰爭過程，但目前卻面臨著諸多方面的困境，未來信息安全的制勝之道在于各方力量的協同。

信息安全形勢日益嚴峻

近年來，全球網絡空間的安全威脅愈演愈烈。由于互聯網技術與傳統行業的融合日漸緊密，以致于網絡安全引發的危機波及面更廣，造成的惡劣影響更大。

圖1被動式防御已經無法對抗高強度、跨國家的網絡攻擊

根據Verizon 2015數據泄露調查報告(《2015 DBIR》)稱，單單2014年就有79790家公司遭遇數據泄露，全球500強企業中超過半數發生過數據泄露事件。更令人驚悚的是，60%的案例中，攻擊者僅需要幾分鐘就可以得手，足見安全形勢之嚴峻。

從攻擊者采用的攻擊手段來看，0day漏洞、免殺木馬、定制化工具，并結合社會工程學等多種手段結合的方式日漸盛行。它們不僅難以被發現，而且還會長時間駐留在電腦終端內，伺機而動，在鎖定重要目標之后隨時發動攻擊。這些攻擊不僅會對個人或者企業造成危害，而且可能導致國家關鍵基礎設施癱瘓，國家海量戰略數據被竊取或泄露。

信息安全防護的三重困境

當前，被動修補防護體系已經無法從根本上解決安全威脅。如Gartner報告所稱，當前人們面臨著網絡威脅檢測能力、響應能力和應用安全的三重困境。

首先，使用傳統技術的入侵檢測系統和防病毒軟件無法及時發現新型攻擊，大量誤報的信息也會淹沒真實的報警。當前，攻擊方采用的攻擊腳本和惡意程序已達百億規模，如果沒有創新技術，就無法確保惡意代碼被檢出。此外，傳統SIEM和SOC產品提供的各種關聯算法和定制規則無法從海量威脅信息中檢測出真正有威脅的信息。

其次，企業IT架構和攻擊者的手法同步變得更加復雜，安全團隊無力應付各種復雜的工作。近幾年，云計算、虛擬化、SDN等新興技術的廣泛應用讓企業安全邊界越來越大，企業部署的安全產品種類和復雜程度日漸增加，導致安全團隊長期超負荷運轉。企業運維變成了一個勞動密集型的工作。

最后，多樣化的IT環境和開發模式的變化也讓應用層漏洞數量快速增加。由于業務上線和更新速度的不斷提升，大部分開發團隊都采用敏捷開發模式，需求和實現在一輪輪的迭代中快速改變，安全測試工作被大大壓縮，導致應用上線時漏洞數激增。

協同成信息安全制勝之道

針對上述安全困境，Gartner提出了包括12種具體安全能力的自適應安全架構。但考慮到實際中，很少有安全供應商具備如此全面的能力，因此，要打贏信息安全這一仗，各方力量的協同最為關鍵，其中數據協同、智能協同和產業協同這三種協同能力最為重要。

首先，數據協同包括異構數據協同和云地數據協同。異構數據協同是將多個安全檢測設備同時作為數據來源，進行多源數據協同分析，利用部分先驗知識將微小的線索聯系起來，由點及面，發現攻擊行為。云地數據協同是本地安全設備與云端威脅情報進行協同，獲取最新的先驗知識。這種方式可以有效降低企業成本，提升企業收益。

其次，智能協同包括“機器+機器”的智能協同、“機器+人”的智能協同和“人+人”的智能協同。“機器+機器”的智能協同是指大量基礎的響應工作由機器之間自動協同完成。“機器+人”的智能協同是指采用“機器輔助+人工分析”的方式對現場線索和海量數據進行自動化關聯分析，以便對APT攻擊進行發現和溯源。“人+人”的智能協同是指充分利用白帽子的力量，采用眾測模式公開懸賞等方式，對漏洞進行發現和修復。

最后，產業協同是指應用開發商和生態供應商以及客戶之間展開良性互動，提升管理效率，降低安全風險，為消費者提供高質量的服務。Gartner的一份2015年的研究報告認為，“到2019年，全球2000強企業50%的對外服務和解決方案花費，將通過不到十家組織生態系統的戰略供應商提供。”

結語

總體而言，當前，單靠一個廠商的力量無法解決整個行業面臨的問題。建立信息安全領域的行業協同機制，去應對日漸加劇的網絡威脅已是迫在眉睫。安全協同能力，不論在數據、智能還是產業層面，是安全+大數據背景下的必然產物，也是從傳統安全向下一代安全的演進的重要能力。