從「要你命3000」到態勢感知

達聞西

夕陽西下，豬肉攤上方掛著數條白晃晃的豬肉在規律地擺動著，案板上一把菜刀入木三分，上面刻著四個字，民族英雄。讀到這裡大家應該都知道我說的是《國產凌凌漆》這部電影，當然電影中除了星爺扮演的特工凌凌漆大放異彩之外，達聞西這個名字從此也享譽江湖。

從特工到菜販，達聞西放浪不羈的形骸下，還住著一個偏執的產品經理靈魂。沒錯，落寞特工達聞西其實還有另外一個身份，資深產品經理，在告別訓練凌凌漆的光輝歲月後，達聞西於市井中歷練升級，終於再次攜帶終極必殺武器「要你命3000」閃亮登場，該超級殺器集多種致命武器於一身，而且每種武器都能獨當一面。

要你命3000=西瓜刀＋毒藥＋火藥＋硫酸＋鐵鏈＋手槍＋手榴彈＋殺蟲劑

看到這裡你是不是驚呆了，「要你命3000」實際上是一個典型的加法思維產品，把很多功能堆砌在一起，就像一個全家桶，要啥有啥，名字也很嚇人，但是實際效果如何，相信大夥心中早有答案。

看圖猜謎

其實我們信息安全領域也有類似加法思維的安全產品，所以當我將《國產凌凌漆》這段劇情截圖放到朋友圈，讓大家看圖猜安全圈熱詞的時候，朋友圈給出的謎底也是腦洞大開。

謎底裡邊有UTM、SOC、大數據分析平台、APT、NGFW等等，其中確實有部分產品是典型的加法思維產品，名頭很大，功能很多，但是從防護效果來看，至少可以被吐槽很久。

被點名最多的是UTM，好多人對UTM根深蒂固的觀念就是麻雀雖小五臟俱全，但由於處理邏輯是串葫蘆方式，每個包都要依次通過各個引擎進行單獨分析，這導致UTM性能會急劇降低，用戶體驗不好，導致UTM的很多功能直接被停用，形同虛設。

其實發展到今天性能基本不算UTM的詬病，但是UTM的出發點是性價比，目標對象也是SMB（中小企業），我把防火牆、IPS、防病毒、內容過濾、防垃圾郵件都塞一個盒子里，你買一個盒子就相當於帶了多台設備回家，這是UTM的初衷，但是這些集成在一起的功能無法和市場上專門的安全產品進行比較。

另外安全防護需要強調異構和縱深，顯然UTM無法滿足，如果UTM一旦被突破，那威脅成功利用的可能性要大很多。各個層面的安全問題，應該在相應的層面來解決，所以我們很難見到在縱深防護體系或大型網路裡邊看到UTM的存在。

NGFW也被提及，但NGFW和UTM處理邏輯不一樣，它同樣具備多個安全功能，其實NFGW的精髓是可視化能力。發展到今天，二代牆現在的定位也比較尷尬，可以是WAF、可以是VPN、可以是IPS，在客戶眼裡變成了萬金油的角色，沒有特點是它最大的特點。

看圖猜謎的答案有很多，但是我期望的謎底沒有人提，最近很火的加法思維熱詞其實算態勢感知。

態勢感知

態勢感知（Situation Awareness）不是新詞，最早在航天軍事領域使用，國內也提，但正兒八經火起來應該近段時間，至於火的原因大家應該也都知道。

最近看了《倫敦陷落》，當美國總統在倫敦街頭被恐怖分子抓走之後，英國軍情六局利用已有的情報數據，再加上實時的線索，利用分析模型進行美國總統被藏地點的預測。

軍情六局從恐怖頭目數百家位於英國的空殼公司進行歷史通訊數據分析，再結合公司地址為閑置工地和實時用電量大幅增長等多個因素的關聯，最終準確判斷出美國總統的位置，從而成功將其就出，這其實也算是態勢感知的另類解讀。

態勢感知包含認知、理解和預測三個階段。

軍情六局對恐怖組織相關背景、運營方式和歷史攻擊資料進行收集和梳理，同時對暴亂髮生地點的市政設施和圖紙進行查看，這些都屬於認知；在認知基礎上進行特徵歸納，理解這些資料背後的意義，並找出對定位恐怖分子倫敦據點有意義的指標和參數；最終再根據這些指標變化來預測即將到來的變化。

我們再來看看安全廠商的態勢感知解決方案，同樣也是和達聞西一樣把一堆功能綁在一起，大多數廠商都是資產管理、WEB漏洞掃描、入侵檢測、病毒檢測、異常流量檢測，再加上可視化的地圖炮就搖身一變成態勢感知了。

態勢感知既不是感知事件，也不是感知攻擊，它是預測趨勢和變化。1+1+1+1+1+1還是等於1，一鍋亂燉並不能炒出一桌驚艷天下的大餐。

態勢感知要預測安全狀態會發生什麼改變，對組織有什麼影響，同時還要提出應對建議。今年南方雨水太多，水果商就會意識到南方的瓜果質量會不如往年，他們會改變自己的市場策略，減少南方瓜果的採購，以避免造成滯銷影響利潤的不利局面出現。

很多時候大家都犯了同樣的一個錯誤，把態勢感知的輸入當成了輸出。

資產數據、配置數據、漏洞數據、內外部威脅數據和事件數據等，其實這些都是態勢感知的基礎，在這個基礎上我們來進行分析提煉並預測，再基於這個預測提出可行的應對方案，當然要實現這個有難度，但起碼是個正確的方向。

達聞西的「要你命3000」只是一個無厘頭的笑話，但我們的安全態勢感知產品卻要正面對抗網路攻擊的黑暗森林，如果它還只是一個加法思維的功能堆砌型產品，那顯然無法發揮它應有的價值。

到最後，態勢感知充其量也就是一個熱詞，僅此而已。作為甲方，我們一定要慎重對待加法思維產品，隔靴搔癢並沒有太多意義。