安博通预测全球安全策略可视化平台四大发展趋势！

有的在升起，有的在坠落，歌词里这样写道：

"Something's rising
something's falling
as we're drifting by

Someone's praying
someone's failing
as we walking by"

图：旧金山日落景色

在2017年的RSA大会上，安博通产品经理就对领先的的网络安全可视化平台产品做出过详细的分析，详情可参考去年的分享文章：

https://mp.weixin.qq.com/s/bnNvnLpxGkG0AVVUfqA0eQ 产品经理看RSA-网络安全可视化产品的求同和存异。

2018年的RSA大会上，安博通作为国内网络安全可视化的领导者，继续对参展的网络安全可视化平台进行深度调研，从而为读者带来第一手资料。在调研中，安博通产品经理发现在过去的一年中，不论是产品本身、解决方案还是未来发展方面，都呈现两极分化的趋势：有的在扎实奋进中上升，而有的在停步不前中坠落，我们将在下文中给出详细分析。

在2018年的会议调研中，我们发现安全策略可视化平台品类的产品呈现出以下四个主要的发展趋势：

看到下面这张图片，长期关注Gartner或安博通的读者不会陌生：

图：Gartner提出新一代自适应安全防御架构

上图是Gartner提出的新一代自适应安全防御架构，强调通过预测、检测、防御和响应的流程实现持续监控与分析，完成闭环防御流程。今年的RSA会议中，安全策略可视化厂商也纷纷提出类似的架构，例如：

图：Redseal提出快速事件调查架构

图：Skybox提出自动化策略生命周期管理架构

图：Algosec提出安全策略管理生命周期架构

同Gartner提出新一代自适应安全防御架构一样，各大安全策略可视化平台厂商都在纷纷强调“流程闭环”的重要性。在2017年的调研中，策略可视化厂商大都只能提供“检测+防御”能力，即可以根据计算的路径地图进行异常检测告警，也可以据此来使用其他安全设备进行防御威胁，但不具备闭环事件的能力，产品方案更加倾向于“运维工具和威胁中心”。而2018年我们看到更多的厂商在丰富自身的解决方案，希望提供“检测+防御+预测+响应”的全流程能力，将产品方案提升到“防御体系”的高度。说到底，可视化产品方案的终极目的还是通过可视呈现来提升安全响应能力，而非为了可视化而可视化。

为了实现全流程生命周期闭环，各厂商纷纷进行能力大融合，在平台上支持或完善简单的功能组合：策略路径地图+威胁情报+漏洞分析+风险预警+报表推送+异常告警+策略梳理+响应策略下发，不管实际效果如何，这套方案至少在纸面上走完了“检测+防御+预测+响应”的全流程，在价值层面能够切实地闭环解决某些特定的安全威胁（例如勒索病毒），而不是总在威胁发生后马后炮地给出应急响应方案，这说明策略可视化平台厂商的意识取得了进步。

另一方面，为了满足闭环流程，厂商纷纷推出响应类特性。例如，Redseal推出Best Practice（最佳实践）功能，在该功能中Redseal平台对所有设备的操作进行记录，并根据内建的数据库来提示认为可能存在风险的操作，及时提醒用户进行修复响应，以便第一时间缩小攻击面，控制风险范围。

在调研中，安博通产品经理发现，各大厂商相比去年更加强化了工作流（workflow）的概念，尽管各家的命名不同，但其本质都比较类似：将闭环的流程设计为工作流功能，并针对尽量详细的流程定义，通过Step by Step的步骤式操作，站在用户视角进行过程控制。

例如，Skybox在系统中使用Ticket概念支撑工作流，系统中定义多个Ticket并行管理，需要在每个Ticket内定义工作流程，流程包括：发起请求->技术细节确认->风险评估->实施细节确认->最终校验的5步。Ticket和用户进行绑定，包括用户创建Ticket、管理自己的Ticket、请求Ticket、处理实施需求、关闭或分析Ticket，高级用户能够处理下级用户的Ticket。

图：Skybox Ticket流程

在Ticket流程的引导下，用户将会对每一项业务变更执行精细化的5步管理，在每一步中逐步分析影响后进行评估，流程上不断进行审批，直到最终流程闭环，对于系统内多个正在执行的Ticket和其他工作，使用TASK（任务）概念来进行并发管理。

图：Skybox TASK管理

我们最早发现Workflow概念，是在Tufin厂商的产品中，Tufin使用Workflow对策略变更进行过程管控，在2018年Tufin继续加强workflow的功能，其流程包括发起请求、业务审批、目标风险分析、风险回顾和确认（升级版）、技术设计、确认等步骤，通过逐步升级的风险分析，确保策略管理可在长生命周期内进行闭环。

图：Tufin Workflow

另一个新特性是，各厂商开始支持用户分权功能，即：可定义不同用户可读写的数据、功能模块范围，也可以定义用户间的级联关系，从而有效地支持复杂的组织架构中多用户不同职权的需求。

图：Redseal用户权限设置

业务、业务还是业务，在2018年，安博通产品经理看到了各家厂商将产品与业务更紧密的贴合，站在业务运营者的角度执行调度工作。

例如，Alogosec提出Business Flow概念，例如下图中定义网银业务的Business Flow，其子业务还包括CRM业务、ATM业务等等，针对不同的业务进行过程管理。在Business Flow中，产品从原有的管理员视角中跳出，不再关注于策略、子网、IP，而是直接站在业务角度去分析风险和执行处置。虽然从技术角度这个转变并不一定非常困难，但其贴近用户、提升体验、凸显价值的产品设计思路非常值得借鉴。

图：Algosec Business Flow

对于用户来讲，一项重要的业务就是合规（Compliance）。在产品中，各大厂商也针对合规业务给出了解决方案，例如在Skybox产品进行业务录入和访问关系录入时，其定义并非全靠安全基线（Baseline），而是根据合规需求（例如PCI）提供现成的合规配置模板调用，让合规业务落地变得更为简单。

图：Skybox基于模板进行合规业务定义

Firemon公司在2018年推出了新品GPC（Global Policy Controller），该产品的理念是直接服务业务、省去中间步骤，在下文的Firemon厂商简析中我们将会介绍该产品。

安博通产品经理认为，产品从功能化到业务化的转变，意味着产品希望在最终用户端能得到更广泛的验证，也意味着产品开始走向平稳发展阶段。

从应用环境来看，各大厂商在2018年均推出了公有云部署方案，主要表现为对AWS和Microsoft Azure的支持，而且宣称支持当业务从端切换到云环境时，能够提供不间断的服务。此外，Alogosec等厂商还提出，其产品可以应用于工控领域以及容器领域（例如Docker），可见除了产品特性的纵向增长，各厂商也开始发展产品应用场景的横向增长。

图：Algosec部署适应性

此外，从信息来源来看，部分厂商的安全策略可视化平台目前可以支持从SDN环境、SIEM、扫描器、EDR软件等方面采集信息，这种信息来源的爆发式增长，对产品的数据处理和分析能力提出了更高的要求，对于用户来说，从越多的来源获取情报，就能获得越好的安全保障。

图：Redsel信息来源展示