當前，全球網(wǎng)絡安全形勢錯綜復雜，甚至難以管控。究其原因，一方面在于各種高級網(wǎng)絡攻擊活動持續(xù)增多，從本質上打破了安全平衡；另一方面在于，讓人眼花繚亂的各類安全產品應運而生，然而，這些安全產品雖各具功能特色，但也容易陷入“安全孤島”，從總體上限制了安全效應發(fā)揮。

舉例來說，假如一個機構，為安全投資部署了至少35種不同技術和上百種安全設備，然而由于這些技術設備使用的協(xié)議和運行模式不同，其最終結果可能是，構建了一堆“笨拙、反應遲鈍”的安全設施平臺，達不到建造安全、發(fā)揮安全的目的。相反，這種情況，可能還會被攻擊者利用。

這種“越多越好”的觀點迫使安全團隊監(jiān)控管理那堆亂糟糟的設備，一旦遇到安全威脅，還需投入大量精力在混亂的防護警報中尋找關聯(lián)信息，相當麻煩。即使對那些大型或有經驗的安全團隊來說，這也是一項艱巨而繁雜的任務。

我們的網(wǎng)絡安全生態(tài)系統(tǒng)需要：簡化！這是安全的根本性挑戰(zhàn)，以至于在行業(yè)內早已是不再談論的話題。而簡化真正需要的是“安全抽象”的核心內含。在我們之前的專欄文章中提到，“抽象”方法曾被成功用于解決，當系統(tǒng)達到一定體量和復雜度時面臨的情況。

安全抽象方法的概念

安全抽象的含義是使復雜的安全模型簡單化，其目標是使用一種通俗語言，根據(jù)安全角色優(yōu)缺點定義方法，把網(wǎng)絡安全生態(tài)系統(tǒng)劃分為相關的抽象組件，這樣我們就能從復雜的安全模型中得到簡單的安全視角。

安全抽象方法的意義

安全抽象方法的前提需要深入領會每種安全角色能力（安全顆粒），其目的在于，當相應的有針對性的攻擊發(fā)生時，能夠快速了解安全事件，從中發(fā)現(xiàn)威脅產生的實質。安全抽象法能夠快速識別安全事件，讓組織機構能充分部署相應的最佳安全防護策略去解決威脅。當處理真實威脅時，這種抽象過程可以做到精心調配，反應及時準確。

有些人可能覺得這不可能。當然，這是一個巨大的挑戰(zhàn)，但并非不可能，因為在過去幾年，一些重大技術改變正悄然發(fā)生：

API：基于重要客戶和供應商需求的API設計發(fā)展比以往更具預測性和穩(wěn)定性。

SDDC&NFV ：客戶對“開放性”和“可編程性”的需求，促進底層網(wǎng)絡技術的整合、定制和自動化，使其更加適合他們的自身業(yè)務需求。

AI：人工智能技術的進步發(fā)展顯著，特別是機器學習技術可以實現(xiàn)分類算法的人為認知理解。

所有這些技術都是安全抽象方法成為現(xiàn)實操作的基礎。復雜安全模型的抽象化包含兩層意思：

按照不同的檢測、偵查、緩解或修復能力對安全設備進行分析分類，這是一個持續(xù)的過程，因為安全產品的持續(xù)更新將會產生新的安全數(shù)據(jù)和能力（例如每周的入侵攻擊數(shù)據(jù)庫更新、惡意軟件哈希值更新等）。

通過海量的日志文件分析和安全目標分類，把威脅抽象化。

機器學習

機器學習技術著力解決，在學習過程中，如何分配一個新的數(shù)據(jù)點到一個數(shù)據(jù)集群的問題。在網(wǎng)絡安全問題中，這些數(shù)據(jù)點可以想像為IDS/IPS數(shù)據(jù)庫中的攻擊簽名，惡意軟件名稱、特征、哈希，或安全規(guī)則等，而數(shù)據(jù)集群則代表不同的安全目標。各種集群都有不同的安全含義（威脅意圖或防護目標）。該過程如下圖所示：

根據(jù)上面的說明，很明顯，通過分析了解安全日志（右邊的威脅數(shù)據(jù)集群），可以非常容易地關聯(lián)出相應的最佳安全防護策略或能力（左邊的防護數(shù)據(jù)集群）。

以下是一個把攻擊日志和安全意圖（安全顆粒）中的安全功能進行分類的具體例子，其中包括了選擇分類好的威脅數(shù)據(jù)點，以及對應的威脅結果項：

機器學習在創(chuàng)建抽象視圖中起著重要作用。在同一硬幣的兩面中，安全功能和威脅本身如影隨形，而機器學習能有助于創(chuàng)建一個直觀的自適應安全分類，從而提高海量安全數(shù)據(jù)的分析能力。同時，機器學習的即時數(shù)據(jù)關聯(lián)性也將大大簡化攻擊事件的調查難度，并最終匹配出相應的最佳安全應對策略。

機器學習分類算法的價值超越單純聚類行為，這些算法可以工作在任何數(shù)據(jù)源點和組成的安全事件集群中，例如，在不需要知道具體功能的前提下，為那些底層的安全產品劃分安全能力意圖。這意味著，創(chuàng)建的安全分類可以被認為是一個抽象層，并適用于任何大中型組織的現(xiàn)有安全配置。無論哪個種類型的安全廠商或組織使用，都能提供所需的明確分類。

抽象在很多實例中已經被證明是一個非常成功的概念，應該得到安全行業(yè)的更多采用和關注。TCP/IP的OSI通信模型、智能手機的APP平臺（如iOS）和網(wǎng)頁設計平臺都是抽象模型的典范。

總結

在網(wǎng)絡安全領域，安全抽象方法可以創(chuàng)造根本性的改變，能簡單及時地應用于大量威脅識別、調查和緩解過程。安全抽象的清晰表述可以幫助組織機構有效識別每種安全攻擊事件的類型和起源，并匹配出最佳可用的安全對策。在這方面，一些相關的安全資源已經成型，我們要做的就是，學習并有效整合應用它們。