看见是一种能力

在以往相当长的一段时间里，人们总是将安全技术及其具体化以后的产品视为是一种系统的防御能力。如杀毒软件、防火墙、PS、IDS等，人们关注的往往是它能够识別出多少种攻击、能够防御住多少种攻击但却很少有人会去关注它们是否真的有能力看见所有的攻击，是否有能力发现那些未知的、高级的网络攻击。

最近，企业安全被描述成很糟糕、很黑暗，到处存在漏洞，需要解决的问题无数。但我们认为，在不同的阶段，安全有不同的优先级问题需要解决，而在目前这个阶段，安全最优先、最重要的问题就是看见能力的缺失。看得见才能意识到成胁，看得见才知道威胁正在发生。看见以后オ能防御，看见发生了什么，个人和企业オ会有安全感。未来每个安全公司都要思考如何才能看见。

事实上，仅仅依靠一些简单的黑客技术和木马程序就能轻易拿下个终端设备，甚至拿下整个网络系统的蛮荒时代已经渐渐远去了。在现如今的网络攻击中，特别是那些针对组织机构发动的高级网络攻击中隐蔽性极强的未知威胁才是最主要的安全隐患。制造这些威胁的人希塑自己永远不被人看见，而且他们的很多攻击手法也确实有能力绕过几乎所有的防御设备和防御系统。在这种情况下，能否看见这些未知威胁的存在，能否追踪到攻击的过程，就成为了一种安全技术或者是一套防御系统真实能力的体现。

看不见的攻击就无法防御，但这并不等于未知的威胁就一定无法被看见。未来几年中，是否能够迅速、有效、及时地看见未知的威胁，能够看见未知威胁的多少内容(而不是盲人摸象)，将成为安全技术与安全企业竞争的主要战场。

另外，对于已知的威胁，看见的能力也存在着差异和竞争:其主要表现在能够看见多少以及能够看见多远。比如，同样是一个木马程序的样本，有的人只能看见这个样本本身;但有的人就可以看到木马背后的服务器，并且能够看见更多的同源木马;有的人甚至还可以更进一步地看见这个木马背后的黑客组织，定位木马作者，并还原木马制造与传播的整个产业链。

显然，这三种人虽然都能“看见”某一种成胁，但看见的能力却天差地别，这也必然会影响到这三个人防御能力的施展：第一个人只能是看见一个木马，防御一个木马；第二个人则能够举一反三，发现在一个木马，防御一群木马；而最后一个人则有可能监控，甚至摧毁一个黑客组织，从源头上阻断木马的制造与传播。

转载请注明来自网盾网络安全培训，本文标题：《看见是一种能力》

标签：关键信息基础设施网络风险地图