WHEN

从早期的接触到SDN控制器（https://www.cnblogs.com/pmyewei/p/6262441.html）起，我就一直在思考为什么好好的集中管理系统要拆成分布式的增加一堆故障节点，原本分布式的系统非要搞个控制器统一管理起来变得相互不兼容。

想象这么一套分布式系统，

每个节点都按照相同的标准设计，不同厂商、不同规格的设备全部可以通过相同的协议互通。
系统对上层业务提供标准的能力，业务层完全不用考虑底层采用什么厂家的设备。
添加新的节点可以无缝扩容总容量。
任意一个节点的故障，经过短时间的收敛后即可恢复。

看似很神奇，但它就是一个传统的交换机网络。网络设备之间默默通过二层和三层的标准协议进行数据的转发。这样一套系统的缺点也同样很明显：

每个设备按照自己的规则决定转发策略，不体现管理者的意志（黑盒），无法将高级业务策略转换为网络设计和配置。
业务在整个系统中的表现是不可期，无法动态执行命令以阻止恶意流量或修改流量优先级以保证业务可用。
每个节点单独管理，无法通过以编程方式在现有基础结构上实现自动化。

SDN集中控制器出现的目的则是为了解决这些问题。

WHAT

现在看起来，因为才疏学浅，当时思考的这些内容显得有点“低级”。然而进入安全行业后，这个问题再次冒出来并困扰我。

防火墙拼命证明着处理性能有多强、解析能力有多出色。防病毒直接报告甩脸，证明自己检出率有多高，误报率有多低。SOC展示各种强大的分析能力。可是偏偏明星产品组合出来的“要你命3000”事故不断。问题出在哪？

WHY

在这个过程中，我关于安全的基础认知也逐步形成：

1、安全威胁变化速度快于防御速度。

依靠特征或签名的防御方式全部都是对旧世界的理解，等待事件爆发，建立新的认知时我方已经损失惨重。

2、单种安全能力再强也无法防护。

防火墙能力再强也防不住0day漏洞利用，主机防护再高也防不住SQL注入，waf自学习再厉害也防不住横向移动。单兵能力很重要，但不是取胜的关键。

3、安全是为业务服务的。

安全向业务靠拢，安全能力建设和使用的思路需要转变，一切以业务为核心。房子塌了，门完好无损地立在那里，这就有点搞笑了。

HOW

基于这三点认知，我再次开始寻找一个理想的安全集中管理系统，不同的是，这次是先发现了问题，然后开始出发找系统。整个系统试图解决的是未知威胁的应对之道。

这个集中管理系统应该解决的问题包括：

1、具备自我造血和输血的能力

自我造血：不过度依赖特征库的更新，能够通过现有的能力发现未知威胁、阻断未知威胁。

输血：能够支持外部情报输入自身体内，构建未知威胁的免疫系统。能够将自身产生的抗体（情报）分享出去。

2、具备整体的威胁分析和响应能力

IPS可以有分析能力，WAF可以分析能力，EDR可以有分析能力，但是受限于自身单个点的定位，它们都无法识得庐山真面目。

防火墙可以有阻断能力，防病毒可以有阻断能力，终端准入有阻断能力，但是单个点上的阻断，都无法覆盖全部途径。

3、对于资产的状态有足够的认知。

安全策略不能脱离业务独立存在。业务都已经完全不可用了，安全策略却没有任何输出，那代表安全策略出现了重大偏差，安全能力根本没有对资产起到防护作用，这种情况应该尽早发现并避免。

WHO

最终给出的答案是一套由威胁情报驱动的安全自动化体系，这个里面可能需要建设多个系统，多套协议，以及对现有能力的大量改造。

它能解决的是：

1、在已有安全能力的基础上不断自我演变的安全免疫系统

2、更加自动化和全面的事件处理流程

3、符合CARTA原则的资产风险持续监控和评估体系

它不能解决：

1、对于攻击的阻断。攻击的阻断还是依赖基础的能力。

2、对恶性事件的定性分析。安全分析人员的参与决策，是必不可少的。

最终落地肯定困难重重，可能面临的困难包括但不限于：1、缺乏目标，对于最终要达到的目标不清晰。在达成共识之前肯定是百花齐放，最终大部分都在历史中消声觅迹。2、缺乏强有力的领导，这里面不仅涉及到传统的安全团队，更是包括业务团队、行业内的友商。3、标准的建立，大量需要系统之间交互的内容都依赖统一的标准，如果缺少标准的支持，就算建起来最终也会成为“鬼城”。然而最有可能第一个落地类似系统的还是云厂商。

云具有独特优势：

1、自成体系，没有吃力不讨好的适配工作

防护体系里面各个组成部分的特性是可以预期的，并能配套发展。能按照最优使用效果去设计，最好的用户体验。不用考虑集成多个厂家，不用考虑各个厂家的最小能力集。

2、防护体系软件化程度高，具备平滑迭代的能力

各种防护能力软件化程度高，增加新的特性或纳入统一管理系统更简单。