2018年美國RSA安全大會正在如火如荼的進行，作為國內的安全可視化廠商，安博通再次參加了會議，并對參展的各廠商網絡安全可視化平臺進行深度調研。

據安博通產品經理調研發現，在過去的一年中，不論是產品本身、解決方案還是未來發展方面，都呈現兩極分化的趨勢：有的在扎實奮進中上升，而有的在停步不前中墜落。

安全策略可視化平臺四大發展趨勢

在2018年的會議調研中，安博通產品經理發現安全策略可視化平臺品類的產品呈現出以下四個主要的發展趨勢：發展閉環的策略和事件架構、用戶視角的精細化過程管控、應用環境和數據來源大爆發、以及面向業務、服務業務、運營業務。

◆發展閉環的策略和事件架構

圖：Gartner提出新一代自適應安全防御架構

上圖是Gartner提出的新一代自適應安全防御架構，強調通過預測、檢測、防御和響應的流程實現持續監控與分析，完成閉環防御流程。今年的RSA會議中，安全策略可視化廠商也紛紛提出類似的架構，例如：

圖：Redseal提出快速事件調查架構

圖：Skybox提出自動化策略生命周期管理架構

圖：Algosec提出安全策略管理生命周期架構

同Gartner提出新一代自適應安全防御架構一樣，各大安全策略可視化平臺廠商都在紛紛強調“流程閉環”的重要性。去年，策略可視化廠商大都只能提供“檢測+防御”能力，即可以根據計算的路徑地圖進行異常檢測告警，也可以據此來使用其他安全設備進行防御威脅，但不具備閉環事件的能力，產品方案更加傾向于“運維工具和威脅中心”。

而2018年，更多的廠商在豐富自身的解決方案，希望提供“檢測+防御+預測+響應”的全流程能力，將產品方案提升到“防御體系”的高度。說到底，可視化產品方案的終極目的還是通過可視呈現來提升安全響應能力，而非為了可視化而可視化。

為了實現全流程生命周期閉環，各廠商紛紛進行能力大融合，在平臺上支持或完善簡單的功能組合：策略路徑地圖+威脅情報+漏洞分析+風險預警+報表推送+異常告警+策略梳理+響應策略下發，不管實際效果如何，這套方案至少在紙面上走完了“檢測+防御+預測+響應”的全流程，在價值層面能夠切實地閉環解決某些特定的安全威脅(例如勒索病毒)，而不是總在威脅發生后才給出應急響應方案，這說明策略可視化平臺廠商的意識取得了進步。

另一方面，為了滿足閉環流程，廠商紛紛推出響應類特性。例如，Redseal推出Best Practice(最佳實踐)功能，在該功能中Redseal平臺對所有設備的操作進行記錄，并根據內建的數據庫來提示認為可能存在風險的操作，及時提醒用戶進行修復響應，以便第一時間縮小攻擊面，控制風險范圍。

用戶視角的精細化過程管控

調研發現，各大廠商相比去年更加強化了工作流(workflow)的概念，盡管各家的命名不同，但其本質都比較類似：將閉環的流程設計為工作流功能，并針對盡量詳細的流程定義，通過Step by Step的步驟式操作，站在用戶視角進行過程控制。

例如，Skybox在系統中使用Ticket概念支撐工作流，系統中定義多個Ticket并行管理，需要在每個Ticket內定義工作流程，流程包括：發起請求->技術細節確認->風險評估->實施細節確認->最終校驗的5步。Ticket和用戶進行綁定，包括用戶創建Ticket、管理自己的Ticket、請求Ticket、處理實施需求、關閉或分析Ticket，高級用戶能夠處理下級用戶的Ticket。

圖：Skybox Ticket流程

在Ticket流程的引導下，用戶將會對每一項業務變更執行精細化的5步管理，在每一步中逐步分析影響后進行評估，流程上不斷進行審批，直到最終流程閉環，對于系統內多個正在執行的Ticket和其他工作，使用TASK(任務)概念來進行并發管理。

圖：Skybox TASK管理

我們最早發現Workflow概念，是在Tufin廠商的產品中，Tufin使用Workflow對策略變更進行過程管控，在2018年Tufin繼續加強workflow的功能，其流程包括發起請求、業務審批、目標風險分析、風險回顧和確認(升級版)、技術設計、確認等步驟，通過逐步升級的風險分析，確保策略管理可在長生命周期內進行閉環。

圖：Tufin Workflow

另一個新特性是，各廠商開始支持用戶分權功能，即：可定義不同用戶可讀寫的數據、功能模塊范圍，也可以定義用戶間的級聯關系，從而有效地支持復雜的組織架構中多用戶不同職權的需求。

圖：Redseal用戶權限設置

面向業務、服務業務、運營業務

業務、業務還是業務!在2018年，各家廠商將產品與業務更緊密的貼合，站在業務運營者的角度執行調度工作。

例如，Alogosec提出Business Flow概念，例如下圖中定義網銀業務的Business Flow，其子業務還包括CRM業務、ATM業務等等，針對不同的業務進行過程管理。在Business Flow中，產品從原有的管理員視角中跳出，不再關注于策略、子網、IP，而是直接站在業務角度去分析風險和執行處置。雖然從技術角度這個轉變并不一定非常困難，但其貼近用戶、提升體驗、凸顯價值的產品設計思路非常值得借鑒。

圖：AlgosecBusiness Flow

對于用戶來講，一項重要的業務就是合規(Compliance)。在產品中，各大廠商也針對合規業務給出了解決方案，例如在Skybox產品進行業務錄入和訪問關系錄入時，其定義并非全靠安全基線(Baseline)，而是根據合規需求(例如PCI)提供現成的合規配置模板調用，讓合規業務落地變得更為簡單。

圖：Skybox基于模板進行合規業務定義

此外，Firemon公司在2018年推出了新品GPC(GlobalPolicy Controller)，該產品的理念是直接服務業務、省去中間步驟，在下文的Firemon廠商簡析中我們將會介紹該產品。

安博通產品經理認為，產品從功能化到業務化的轉變，意味著產品希望在最終用戶端能得到更廣泛的驗證，也意味著產品開始走向平穩發展階段。

應用環境和數據來源大爆發

從應用環境來看，各大廠商在2018年均推出了公有云部署方案，主要表現為對AWS和Microsoft Azure的支持，而且表示支持當業務從端切換到云環境時，能夠提供不間斷的服務。此外，Alogosec等廠商還提出，其產品可以應用于工控領域以及容器領域(例如Docker)，可見除了產品特性的縱向增長，這些廠商也開始發展產品應用場景的橫向增長。

圖：Algosec部署適應性

從信息來源來看，部分廠商的安全策略可視化平臺目前可以支持從SDN環境、SIEM、掃描器、EDR軟件等方面采集信息，這種信息來源的爆發式增長，對產品的數據處理和分析能力提出了更高的要求，對于用戶來說，從越多的來源獲取情報，就能獲得越好的安全保障。

圖：Redsel信息來源展示