网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　其次是界面设计和交互设计要友好。一方面，操作人员要容易配置，能够保证数据多层面、多角度的呈现;另一方面是上层决策者的宏观感受要直观，一看就知道安全团队在做什么事情，阻拦了多少攻击事件，也就是让安全不仅是可视化的，而且是可量化的，这样才能直观体现出安全团队的价值。

　　第三是怎样建立数据模型，因为每天产生那么多数据，肯定得去建立相应的一些模型，以模型为基准去做数据的分析和呈现。有一些模型可能是简单的条件判断，有一些模型可能是通过机器学习实现，随着数据的增加逐渐成熟，等等。

　　Q：态势感知系统的效果是什么？

　　A：对于一线人员来说，态势感知打通了多个维度的数据，通过数据可视化让我们对威胁态势有直观了解，通过外部威胁情报协助我们进行决策，甚至自动阻断恶意请求，把我们从重复劳动中解放，从而可以聚焦在更高层面的工作。举个例子：在以前没有安全威胁情报做参考的时候，事件处置流程是这样的：发生告警以后有值班人员打电话给你，你打开电脑开始处理应急事件，登录系统后判断这个IP对我们公司的什么系统做了一些什么样的扫描或者攻击，再去看他的请求参数是什么样的，会不会对我们产生威胁。引入了威胁情报之后，我们就可以基于威胁情报先判断一下这个IP是来干嘛的，比方说一个扫描IP，在我们系统中触发了大量404响应，再对比相关的告警内容，就可以初步判定威胁性不大，此外由于我们的系统在上线前都经过了严格的安全测试，我们相信类似的扫描不会对我们形成威胁，所以这个告警就不用再去太关心了，这样就极大地降低了我们应急人员的工作压力。

　　从上层管理人员的角度来看，就像刚才说的，通过态势感知系统做到了安全态势的可视化和工作成效可量化。

　　Q：接下来准备怎样对态势感知系统做升级？

　　A：首先是增加数据源，做安全要在“知己”的路上走得更远，既然已经盘点了已有的资产信息，就可以基于这些资产去做一些更深入的工作，比如资产的系统、版本、中间件信息、开发框架信息等等，这些信息可以做一些关联，基于关联去做精确度更高的、更智能的安全威胁的态势感知;其次是工具化集成化，将态势感知系统打造成安全团队日常的工作平台，形成闭环，从而提升工作效率。此外，我们安全团队还可以与其他团队合作，让态势感知系统为运维和数据分析提供支持。

　　当前微步在线的威胁情报跟我们的SIEM系统结合得比较深，我们的生产网、办公网、测试网都有接入，在不同维度数据的整合方面还有很多工作要做。外部数据，包括威胁情报在内，也是需要逐渐完善，我们也想和微步在线进行更深入的合作，并乐意将我们的经验和技术与行业分享。