當(dāng)前，全球網(wǎng)絡(luò)安全形勢(shì)錯(cuò)綜復(fù)雜，甚至難以管控。究其原因，一方面在于各種高級(jí)網(wǎng)絡(luò)攻擊活動(dòng)持續(xù)增多，從本質(zhì)上打破了安全平衡；另一方面在于，讓人眼花繚亂的各類安全產(chǎn)品應(yīng)運(yùn)而生，然而，這些安全產(chǎn)品雖各具功能特色，但也容易陷入“安全孤島”，從總體上限制了安全效應(yīng)發(fā)揮。

舉例來說，假如一個(gè)機(jī)構(gòu)，為安全投資部署了至少35種不同技術(shù)和上百種安全設(shè)備，然而由于這些技術(shù)設(shè)備使用的協(xié)議和運(yùn)行模式不同，其最終結(jié)果可能是，構(gòu)建了一堆“笨拙、反應(yīng)遲鈍”的安全設(shè)施平臺(tái)，達(dá)不到建造安全、發(fā)揮安全的目的。相反，這種情況，可能還會(huì)被攻擊者利用。

這種“越多越好”的觀點(diǎn)迫使安全團(tuán)隊(duì)監(jiān)控管理那堆亂糟糟的設(shè)備，一旦遇到安全威脅，還需投入大量精力在混亂的防護(hù)警報(bào)中尋找關(guān)聯(lián)信息，相當(dāng)麻煩。即使對(duì)那些大型或有經(jīng)驗(yàn)的安全團(tuán)隊(duì)來說，這也是一項(xiàng)艱巨而繁雜的任務(wù)。

我們的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)需要：簡(jiǎn)化！這是安全的根本性挑戰(zhàn)，以至于在行業(yè)內(nèi)早已是不再談?wù)摰脑掝}。而簡(jiǎn)化真正需要的是“安全抽象”的核心內(nèi)含。在我們之前的專欄文章中提到，“抽象”方法曾被成功用于解決，當(dāng)系統(tǒng)達(dá)到一定體量和復(fù)雜度時(shí)面臨的情況。

安全抽象方法的概念

安全抽象的含義是使復(fù)雜的安全模型簡(jiǎn)單化，其目標(biāo)是使用一種通俗語言，根據(jù)安全角色優(yōu)缺點(diǎn)定義方法，把網(wǎng)絡(luò)安全生態(tài)系統(tǒng)劃分為相關(guān)的抽象組件，這樣我們就能從復(fù)雜的安全模型中得到簡(jiǎn)單的安全視角。

安全抽象方法的意義

安全抽象方法的前提需要深入領(lǐng)會(huì)每種安全角色能力（安全顆粒），其目的在于，當(dāng)相應(yīng)的有針對(duì)性的攻擊發(fā)生時(shí)，能夠快速了解安全事件，從中發(fā)現(xiàn)威脅產(chǎn)生的實(shí)質(zhì)。安全抽象法能夠快速識(shí)別安全事件，讓組織機(jī)構(gòu)能充分部署相應(yīng)的最佳安全防護(hù)策略去解決威脅。當(dāng)處理真實(shí)威脅時(shí)，這種抽象過程可以做到精心調(diào)配，反應(yīng)及時(shí)準(zhǔn)確。

有些人可能覺得這不可能。當(dāng)然，這是一個(gè)巨大的挑戰(zhàn)，但并非不可能，因?yàn)樵谶^去幾年，一些重大技術(shù)改變正悄然發(fā)生：

API：基于重要客戶和供應(yīng)商需求的API設(shè)計(jì)發(fā)展比以往更具預(yù)測(cè)性和穩(wěn)定性。

SDDC&NFV ：客戶對(duì)“開放性”和“可編程性”的需求，促進(jìn)底層網(wǎng)絡(luò)技術(shù)的整合、定制和自動(dòng)化，使其更加適合他們的自身業(yè)務(wù)需求。

AI：人工智能技術(shù)的進(jìn)步發(fā)展顯著，特別是機(jī)器學(xué)習(xí)技術(shù)可以實(shí)現(xiàn)分類算法的人為認(rèn)知理解。

所有這些技術(shù)都是安全抽象方法成為現(xiàn)實(shí)操作的基礎(chǔ)。復(fù)雜安全模型的抽象化包含兩層意思：

按照不同的檢測(cè)、偵查、緩解或修復(fù)能力對(duì)安全設(shè)備進(jìn)行分析分類，這是一個(gè)持續(xù)的過程，因?yàn)榘踩a(chǎn)品的持續(xù)更新將會(huì)產(chǎn)生新的安全數(shù)據(jù)和能力（例如每周的入侵攻擊數(shù)據(jù)庫更新、惡意軟件哈希值更新等）。

通過海量的日志文件分析和安全目標(biāo)分類，把威脅抽象化。

機(jī)器學(xué)習(xí)

機(jī)器學(xué)習(xí)技術(shù)著力解決，在學(xué)習(xí)過程中，如何分配一個(gè)新的數(shù)據(jù)點(diǎn)到一個(gè)數(shù)據(jù)集群的問題。在網(wǎng)絡(luò)安全問題中，這些數(shù)據(jù)點(diǎn)可以想像為IDS/IPS數(shù)據(jù)庫中的攻擊簽名，惡意軟件名稱、特征、哈希，或安全規(guī)則等，而數(shù)據(jù)集群則代表不同的安全目標(biāo)。各種集群都有不同的安全含義（威脅意圖或防護(hù)目標(biāo)）。該過程如下圖所示：

根據(jù)上面的說明，很明顯，通過分析了解安全日志（右邊的威脅數(shù)據(jù)集群），可以非常容易地關(guān)聯(lián)出相應(yīng)的最佳安全防護(hù)策略或能力（左邊的防護(hù)數(shù)據(jù)集群）。

以下是一個(gè)把攻擊日志和安全意圖（安全顆粒）中的安全功能進(jìn)行分類的具體例子，其中包括了選擇分類好的威脅數(shù)據(jù)點(diǎn)，以及對(duì)應(yīng)的威脅結(jié)果項(xiàng)：

機(jī)器學(xué)習(xí)在創(chuàng)建抽象視圖中起著重要作用。在同一硬幣的兩面中，安全功能和威脅本身如影隨形，而機(jī)器學(xué)習(xí)能有助于創(chuàng)建一個(gè)直觀的自適應(yīng)安全分類，從而提高海量安全數(shù)據(jù)的分析能力。同時(shí)，機(jī)器學(xué)習(xí)的即時(shí)數(shù)據(jù)關(guān)聯(lián)性也將大大簡(jiǎn)化攻擊事件的調(diào)查難度，并最終匹配出相應(yīng)的最佳安全應(yīng)對(duì)策略。

機(jī)器學(xué)習(xí)分類算法的價(jià)值超越單純聚類行為，這些算法可以工作在任何數(shù)據(jù)源點(diǎn)和組成的安全事件集群中，例如，在不需要知道具體功能的前提下，為那些底層的安全產(chǎn)品劃分安全能力意圖。這意味著，創(chuàng)建的安全分類可以被認(rèn)為是一個(gè)抽象層，并適用于任何大中型組織的現(xiàn)有安全配置。無論哪個(gè)種類型的安全廠商或組織使用，都能提供所需的明確分類。

抽象在很多實(shí)例中已經(jīng)被證明是一個(gè)非常成功的概念，應(yīng)該得到安全行業(yè)的更多采用和關(guān)注。TCP/IP的OSI通信模型、智能手機(jī)的APP平臺(tái)（如iOS）和網(wǎng)頁設(shè)計(jì)平臺(tái)都是抽象模型的典范。

總結(jié)

在網(wǎng)絡(luò)安全領(lǐng)域，安全抽象方法可以創(chuàng)造根本性的改變，能簡(jiǎn)單及時(shí)地應(yīng)用于大量威脅識(shí)別、調(diào)查和緩解過程。安全抽象的清晰表述可以幫助組織機(jī)構(gòu)有效識(shí)別每種安全攻擊事件的類型和起源，并匹配出最佳可用的安全對(duì)策。在這方面，一些相關(guān)的安全資源已經(jīng)成型，我們要做的就是，學(xué)習(xí)并有效整合應(yīng)用它們。