安全叨客 | 520“嗑CP”，不妨看看这些

比如中国古代神话爱情故事故事中的梁山伯与祝英台、金庸笔下的神仙眷侣杨过与小龙女、莎士比亚戏剧中罗密欧与朱丽叶的凄惨爱情…… 

除了人与人之外，网络安全产品也是具有明显CP属性的。 

或许绝大多数用户已经习惯了，某些产品或者功能模块总是成对出现，相互之间功能互补、配合默契，可以明显发挥出“1+1>2”的效果，甚至于有不少用户对于任意一方单独出现而感觉到非常奇怪。 

恰在今年，RSAC将“Strong Together”作为大会主题，不仅强调了人与人、组织与组织需要在一起，安全产品也应当更加紧密的结合，可谓是进一步鼓励了安全产品之间搞CP。 

细细数来，安全产品CP还真不少。

自上世纪70年代以来，互联网技术取得了飞速的发展。出于安全性和保密性的考虑，人们迫切需要对一些不受控的访问行为进行限制。

于是防火墙的雏形产生了，在实验室里，它能够实现简单的网络过滤功能。

与防火墙相比，VPN的出现要略微晚一些，但同样与互联网的发展有着紧密的关系。

上世纪九十年代，全球化趋势使得大量企业出现了各地甚至跨国分支机构网络互联的需求，但运营商提供的专线租赁的模式不仅价格昂贵，在安全性方面也没有加密传输的保证。

VPN的出现解决了这样一个难题，它通过在各个机构之间建立一个虚拟专用的加密通信隧道，在大幅提升组网效率的同时，相对保证了访问的安全性。

随着防火墙的广泛应用，VPN的需求也越来越多：当身处外网的用户想要访问内部网络时，就会被防火墙阻断，此时不得不通过VPN来达到访问内网的目的。

2004年9月，IDC首次提出了统一威胁管理UTM概念，将防火墙、VPN、邮件过滤等边界安全能力整合到了一起，防火墙与VPN从此结束了“爱情长跑”，彻底走在了一起，几十年如一日。

时至今日，尽管VPN的地位受到了诸如SD-WAN等新技术的挑战，但防火墙和VPN依旧相互陪伴在一起。各类性能强大的防火墙，依然将VPN视作标配。

EPP是终端安全保护平台，EDR是终端检测与响应平台，二者本是不同时代的产物，却因同一块阵地而走在了一起。

最初的终端安全没有什么花里胡哨的概念，有的只是一个单纯的防病毒软件。那时，杀毒就是终端安全的全部。

EPP应运而生，直到现在EPP也一直是保护组织终端的主力产品。

但EPP并非没有缺陷。黑客的攻击手段是会不断变化的，免杀、白利用、逃逸、无文件攻击等等技术层出不穷，这让依靠静态规则匹配的EPP防病毒模块难以招架。

2013年7月，Gartner分析师首次提出了EDR的概念，强调基于终端大数据同时结合外部情报进行分析检测，完成对可疑攻击行为的发现、响应和溯源。

由于在应对未知攻击方面的独到优势，EDR一经问世就受到热捧，再加上各大安全厂商、分析机构以及媒体的炒作，一度出现了EDR要取代EPP的论调。

所幸的是，EDR并没有迷失在众星捧月的高光里，也没有嫌弃看起来已经不再时尚的EPP，而是不离不弃，为终端安全添砖加瓦。

久而久之，EPP和EDR就被整合在了一起，过上了“持证上岗”的生活。

IDC报告显示，奇安信天擎已连续五年位居国内终端安全软件市场首位。

作为EDR的同门师兄弟，网络检测与响应技术NDR正式面世的时间要稍晚一些。

同样是在2013年，Gartner分析师针对网络侧也提出了一个新概念网络流量分析NTA，检测网络流量中隐藏的异常行为和威胁，弥补过去入侵检测系统IDS的不足。

但NTA依然存在很多问题：误报数量依然居高不下，并且没能解决发现威胁后的响应处置问题，因此不得不依靠人工处置。

所以，安全厂商们开展了对NTA类型产品的改进，比如引入机器学习、威胁情报，提升检测准确率；引入设备联动能力，在发现威胁后，调用其他设备对威胁进行阻断。

与EDR类比，大家开始习惯将此类方案称为NDR。

与NDR相比，蜜罐出现的时间要早得多。 

1988年，Clifford Stoll博士在论文中描述了蜜罐的构想：设置陷阱引诱攻击者，记录攻击者的痕迹，延误入侵的脚步，同时保护真实目标。

然而在接下来的十多年里，蜜罐技术也只是作为一种理想存在。

直到2000年前后，蜜罐产品才从开发者的手中诞生，能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应。

蜜罐的商用使得IDS有了最佳伴侣：前者主动出击，后者则严阵以待。并且，蜜罐不像IDS对所有可疑行为都很敏感，它的属性就决定了只有攻击者才会触发蜜罐。

所以，蜜罐基本上没什么误报。

听起来一切都很美好，但从蜜罐出生那一刻起，供应商们就一直在解决两个问题：

出于这两方面的考虑，蜜罐的应用一直受到很大的限制，无论是最早的IDS、还是后来的NTA、NDR，尽管互相爱慕，却始终没能走在一起。

不过好事多磨，技术的发展也不是一朝一夕的事情。

好在奇安信天眼解决了这个问题。

在流量检测与响应方面，奇安信天眼基于多个威胁检测引擎，可以精准发现网络流量中的攻击行为；利用本地大数据平台对全量数据进行查询，结合威胁情报和攻击链分析对事件进行分析、研判和回溯。

另一方面，天眼可与奇安信攻击诱捕系统（蜜罐）进行完美联动。借助天眼的全流量分析能力，蜜罐能够快速构建符合真实业务逻辑的“陷阱”，将攻击流量主动牵引至蜜罐中隔离起来，使攻击者相信已初步取得部分目标的控制权，并且不能横向渗透进正常系统中。最终，蜜罐产生的威胁告警会发送至天眼分析平台中进行统一的告警管理。

SIEM诞生于2005年，同样是由Gartner分析师提出的概念，中文全称是安全信息和事件管理。

从字面意义上来理解，SIEM的初衷或许很简单，就是把系统中发生的和网络安全相关的信息和事件收集起来进行统一管理。

SOAR的出现使这个问题迎刃而解。

2017年，Gartner提出了现如今广为接受的SOAR的概念，即安全编排、自动化与响应，其核心目标是为安全运营人员提供机器辅助和自动化，以提升他们的工作效率，而这种自动化是通过对流程的编排（即剧本）来实现的。

很快，在Gartner的一手“撮合”下，SOAR和SIEM可以说是“一见钟情”。 

Gartner在 SIEM的最新定义中特别强调了SIEM应当基于SOAR的响应集成，并且将SOAR视作为SIEM产品的一个重要功能。 

目前来看，SIEM和 SOAR结合方式主要包括两种：

比如，奇安信态势感知与安全运营平台NGSOC（核心平台是SIEM）以大数据平台为基础，通过收集多元、异构的海量日志，利用关联分析、机器学习、威胁情报等技术，能够为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。

在SOAR方面，奇安信SOAR可以与奇安信NGSOC或者第三方SIEM平台进行很好的联动，将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将团队、工具和流程高度协同起来，从而将来自SIEM平台的告警处置效率提升十倍以上。

有专情的，自然也少不了“滥情”的，也就是俗称的“海王”。

尽管它相对陌生，但受欢迎程度却丝毫不亚于威胁情报，无论是防火墙、WAF、IDS还是NTA、NDR，都向其抛出了橄榄枝。流量解密编排器堪称“万能CP”的不二人选。

这主要是由于为了应对加密流量的威胁，所有处理网络流量相关的安全设备都需具备解密能力。在同时串联部署多个安全设备的情况下，由于解密能力参差不齐，导致流量处理效率极其低下。

奇安信发布的国内首款流量解密编排器则重点解决了这个问题：在流量解密方面，通过搭载硬件加速卡，并配合自研的异步调用技术，理论上可以将SSL解密性能提升10倍以上；在流量编排方面，奇安信首创了智能化服务链编排技术，能够将明文报文分发至服务链上的各个安全设备，从而实现“一台设备成功解密，多台设备成果共享”，大幅提升了加解密效率。