如何應對全面安全問題（一）

經過滑動標尺模型理解***、防護與疊加創新

當前，能力型安全廠商廣泛互認的公共模型——滑動標尺模型將整個安全能力體系劃分爲五個階段，分別是架構安全、被動防護、積極防護、威脅情報和進攻。

從架構安全的角度來看，其是一個自身強身健體的過程，主要是在安全的規劃和創建過程當中，充分地考慮安全，這也與總書記的「網絡安全與信息化要同步建設」的三同步原則相對應。

從被動防護的角度來看，人們每每認爲被動的就是很差的，但其實被動防護是一種很是基礎的安全措施，好比，防火牆中添加的端口規則或者IP段的規則收窄了***者可能移動的靈活性；創建一些相應的基礎日誌來保證***者必須留下痕跡，雖然不足以用來暴露高能力的***者，但倒是可以有效對抗高能力***者和落實後續安全策略的基礎。

在此基礎上，則包括了監測威脅、響應對抗、對威脅瞭解持續提高的上層積極防護手段。在此層次之上，纔是威脅情報的積累，包括低階的情報（好比，IOE的信標、哈希）和高階威脅情報和高階威脅情報

從國家的安全戰略體系上來看，必定還要包括進攻這一部分，總書記在4.19座談會上曾講到「網絡安全的本質在於對抗，對抗的本質在於***兩端能力的較量」，進攻就是一種威懾能力。但從一個行業、體系或者安全產品體系的實踐的角度來看，安全體系整體上是關聯於架構安全、被動防護、積極防護和威脅情報的。

態勢感知的價值和成本

咱們認爲這二者具備層面上的差別，同時存在着相互關聯的部分。整體來看，有效防禦貫穿於被動防護和積極防護等手段，其實是用來應對架構安全層面上的缺陷，經過積極手段去彌補被動防護的不足，收窄被***面。而態勢感知是一種上層建築，是一種高價值的手段。那麼在必定程度上，有效防禦構成了態勢感知的相關基礎。

圖 1 態勢感知的價值與成本

以態勢感知要求重構相關能力環節

態勢感知與SIEM和SOC的最大差異是，態勢感知的基礎環節和探針應該是根據態勢感知的要求重構的，而不是，現有的終端防禦產品是一個殺毒軟件，聚集上來的就是文件檢測日誌；現有的環節是一個IDS，聚集上來的就是包的檢測日誌。從個人角度來看，不管是流量側、端點側，仍是分析側，都是要根據態勢感知的要求在端點、流量和分析能力上創建起一套符合態勢感知要求的全要素採集能力。