其实基于情境感知安全并不复杂，其核心就是情境。所谓情境感知，其中的一个应用方式就是通过Intelligence-Aware情报感知。说到Intelligence，大家可以想起来我之前分享过好几篇的Threat Intelligence了吧。今天就重点介绍一下这个Intelligence-Aware情报感知，各位借此也可以对什么是基于情境感知的安全有个粗浅了解。

    这里又出现了一个新的潮词，IASC（Intelligence-Aware Security Control）基于情报感知的安全控制。目前在国际上已经比较普遍的认为其是信息安全发展的下一个方向。

    目前传统信息安全解决方案和产品普遍面临以下四个问题：

    传统的孤立的安全控制被攻击者绕过的几率日趋增加-面对新形态的APT攻击，传统的防火墙、入侵检测和防病毒难以起到作用；

    基于人和业务流程的控制响应过慢-人来做响应太慢，自动化的攻击在几分钟内已经可以完成包括扫描、入侵、植入后门等一系列动作；

    攻击者在攻陷外部系统后，普遍会向内部网络做进一步的渗透-黑客的攻击链更长，攻击面更大，渗透更深入；

    安全相关数据分布在不同的系统中，不能有效统筹响应-单点发现的情报，不能有效地进行共享。

    因此，安全技术的保护策略必须改变，未来的安全方案必然向自动化的行为学习，情报分享，高级分析，自适应等技术转变。

    与之同时，威胁复杂度、速度、架构改变和分析能力都在驱动着安全技术的转变。

    威胁复杂性的提升，要求我们的技术方案也需要进行适应，终端、服务器、应用系统、网络系统、安全系统之间需要能够进行关联互动；

    速度的提升，完成一次攻击速度更快，响应的速度也需要进一步的提升；

    架构的改变，IaaS、PaaS、SaaS、BPaaS逐渐的引入，传统安全技术已经不能满足需求，如SECaaS等已经成为新的趋势；

    分析能力的提升，以前传统分析技术难以满足海量数据分析、复杂关联分析、实时性展示等需求，而大数据技术的成熟，让更复杂、更快速的分析成为可能。

    那什么是基于情报感知的安全控制（即IASC）呢？

    IASC框架包括基于情境感知（分析Who、What、Where、How等问题，主要是进行深层管理分析），安全情报（情报的共享，以及利用安全情报进行响应），可机读的安全情报（即可以利用系统可识别的方式来进行情报交换）和实时情报共享交换架构。

    这个我之前有篇基于说Threat Intelligence的，里面分享过我之前设计的一个架构（可参见 http://www.sec-un.org/smart-ppt-sharing-threat-information-sharing.html）。

    情景感知的例子，在用户访问应用或数据的时候，通过基于对情景的综合分析通过认证、访问控制等方式进行安全控制。

    简单的情景可包括：

    Who，低可信度的用户（比如已经中毒的用户，发现存在攻击行为的用户）

    What，来自不支持的Linux 终端的访问（客户端都是Win 7，突然来了个Linux来访问自然不正常）

    To What，访问敏感数据（是否访问的是敏感数据）

    When，周末凌晨的访问（这明显不是工作时间，访问也明显异常）

    Where，来自没有业务海外的访问（这也很明显异常）

    基于情境感知的安全也没这么复杂吧。

    了解完IACS，是不是发现这个跟数字公司和企鹅公司的客户端安全，或者是某宝的支付客户端安全控制看起来架构都是很像啊。

    对，这就是我以为他们的下一步方向，客户端采集（病毒感染情况、恶意代码、终端其他信息……），云端判断分析形成情报（客户端信誉情况、支付风险情况、服务信誉情况……），然后做为下游安全控制的输入（可以包括客户端软件、支付系统、甚至防火墙等安全设备）。BAT3们，应该也都想到了吧，这是一个新的生态圈。

    逐渐进入重头，NG防火墙的下一代是啥！基于情报感知的防火墙！

    去年我就给很多人灌输，数字公司啊、企鹅公司、某里啊，都会利用其端/云优势，杀入企业安全市场。怎么杀入呢，其中一个方式就是利用其在客户端、云平台中得到的传统安全公司得不到的安全情报，形成新一代的安全解决方案冲击企业市场。现在还没见人搞，让人捉急啊，没想明白的可以找我来培训一下怎么颠覆传统企业安全市场。这当然不仅仅指的是形成单独的安全产品，还有新的服务形态。