全球最權威的IT研究機構Gartner曾經發表過一份題為《信息安全正在成為一個大數據分析問題》(Information Security Is Becoming a Big Data Analytics Problem)的報告，表示當前真正的信息安全問題都需要由數據來解決，大數據的出現將對信息安全產生深遠的影響。

眾所周知，通常情況下，企業會根據資產的重要性以及攻擊的危害性來制定安全防護策略。當然前提是能夠檢測到黑客攻擊，并能夠收集攻擊行為、攻擊路徑等數據進行詳細分析。因為態勢感知類產品能夠靈活地從龐大的工具堆棧中攝取、關聯和可視化數據，為此成為了安全溯源重要工具之一。

從態勢感知前世今生看數據的重要性

當然，云服務器，從態勢感知的發展歷史我們也不難看出，數據在信息安全中扮演的重要角色。

1、第一階段：安全信息和事件管理（SIEM）

安全信息和事件管理產品及服務（SIEM），負責從大量企業安全控件、企業應用和企業使用的其它軟件中收集安全日志數據，并進行分析和報告。這一階段主要是整合了應用程序和網絡硬件生成的安全警報，當攻擊已經侵入到系統中時能及時報警。嚴格意義上來講，還無法做到威脅態勢的感知。

2、第二階段：安全運營中心（SOC）

安全運營中心（SOC），采用集中管理方式統一管理相關安全產品，搜集所有安全信息，并通過對收集到各種安全事件進行深層的分析、統計和關聯、及時反映被管理資產的安全基線，能夠為各類安全事件及時提供處理方法和建議。安全運營中心能夠集中管理相關安全產品，美國站群服務器，搜集所有安全信息，并對收集到信息進行分析和處理，在一定程度上可以做到安全事件的預警。

3、第三階段：安全智能中心（SIC）態勢感知階段

隨著云計算與大數據的發展，安全智能中心（SIC）成為了企業級威脅態勢感知平臺。安全智能中心以大數據為技術支持，以企業的業務為核心，進行實時的異常檢測，實現安全分析智能化與威脅可視化，并提供威脅情報共享、安全態勢感知和高級威脅偵測分析等服務。

從上述態勢感知的發展歷程可以清晰知道，不管是前期數據收集還是后期數據關聯分析及可視化展現，核心都是數據。高價值的數據是態勢感知類產品的命脈，也是其發揮溯源、預測等功能的基礎。

高價值數據源是檢驗態勢感知能力的重要標準

為能夠在攻擊鏈早期就檢測到真實的攻擊行為，那么態勢感知類產品就需要有效的高價值數據作為支撐。傳統態勢感知絕大多數屬于以事件為中心的網絡態勢感知，主要是通過對互聯網節點網絡流量進行監控探測，形成局部的威脅事件采集能力，這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數據分析能力和安全響應能力，市場上很多態勢感知僅僅是通過一些安全可視化方法做了數據的圖像呈現。甚至很多人都認為態勢感知就是大屏展示的“安全地圖”， 只用于直觀顯示網絡環境的實時安全狀況，比如了解網絡的狀態、受攻擊情況、攻擊來源等。這類態勢感知產品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來看，遠未達到“全天候全方位感知網絡安全態勢”的要求。

僅僅依靠網絡側日志文件和數據還遠遠不夠。舉個簡單例子，發生在主機內部密碼暴力破解和虛擬機內部橫向移動等都是常見的黑客攻擊行為，但僅僅依靠網絡側流量，將很難發現這些攻擊行為。

高價值的主機側數據不可缺少

現有態勢感知缺乏主機相關信息，對于失陷主機的“態”及脆弱主機的“勢”無法精準有效的呈現。而全方位感知網絡安全態勢，要求除了對基于網絡流量進行威脅可視化呈現，還要求對全網主機及關鍵節點的綜合信息進行網絡態勢監控。

為此，針對現有態勢感知不足，青藤云安全提供獨有的主機層高價值數據，包括操作審計日志、進程啟動日志、網絡連接日志、DNS解析日志等。每一個進程啟動過程都會被記錄下來，并且可以與網絡連接日志、DNS解析日志進行關聯。這將助力安全人員快速精準定位問題，徹底解決通過傳統日志進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體進程的難題。

青藤在主機層面全面的、細粒度的數據，可通過syslog和API提供給用戶的態勢感知平臺，讓態勢感知類產品“功力大增”。