近期Palo Alto以1.05億美元的價格收購了LightCyber,將其偵查攻擊行為的功能加入網(wǎng)絡安全平臺，Palo Alto為什么要收購LightCyber呢？

其實不難發(fā)現(xiàn)，LightCyber的偵查缺口與修補方案被稱為Active Breach Detection，能 根 據(jù)行為分析以及異常檢測增加將發(fā)生的攻擊行為、內(nèi)部威脅和躲避過傳統(tǒng)控制行為攻擊的可見性。Palo Alto對LightCyber的收購正是加強其可視化的能力。

網(wǎng)絡安全運維的復雜程度決定了運維工作變得越來越困難，其主要原因包括：流量持續(xù)增長、網(wǎng)絡連接設備不斷增多、網(wǎng)絡以及應對全新和已知安全威脅的安全技術日益多元。因此網(wǎng)絡可視性亟待加強。

現(xiàn)在很多公司是從三個維度上來做可視化，一是整網(wǎng)的維度——路徑的可視化，如Redseal公司等；二是設備的維度，如Tufin公司專注于組織架構；三是策略的維度，如Firemon公司以運維的角度做可視化。

當下公司業(yè)務采用云和虛擬化已經(jīng)成為趨勢，例如在美國AWS VPC已成為美國廠商的標配，如果沒有相應的關于云安全的解決方案，其后果無疑是非常嚴重的。在虛擬化平臺方面VMware與相關廠商的合作推出的的虛擬化成為了主流虛擬化平臺，軟件定義數(shù)據(jù)中心逐漸興起并成為趨勢，可以說，決定了安全廠商的安全能力。

大數(shù)據(jù)合作和威脅情報共享方面，要做安全的解決方案幾乎必然會提到威脅情報，但現(xiàn)實是在大數(shù)據(jù)的搜集上比起安全廠商，大數(shù)據(jù)公司無疑占據(jù)著“天然優(yōu)勢”，在美國有很多專門做大數(shù)據(jù)的公司與安全廠商合作共同推進威脅情報的共享，如Redseal和Splunk達成的戰(zhàn)略合作。但在國內(nèi)還沒有關于做大數(shù)據(jù)的領頭羊與安全廠商合作推進威脅情報的共享，因此未來幾年很有可能出現(xiàn)類似的合作形式來共同推動威脅情報的共享。

可視化是將數(shù)據(jù)轉換成圖形或圖像顯示出來,并進行交互處理的技術。可視化的最終目的是為了用直觀、交互的方式傳遞數(shù)據(jù)中隱藏的信息，通過數(shù)據(jù)接入、數(shù)據(jù)整合、數(shù)據(jù)處理、數(shù)據(jù)分析、可視化和數(shù)據(jù)展示的流程來實現(xiàn)可視化。

在可視化路徑上，有一些廠商做路徑可視化，當然廠商的水平有高有低，高水平的能夠做到安全域的路徑可視化，而低水平的只能做到結點到結點的路徑可視化。從路徑展現(xiàn)來看這很可能成為一種趨勢。

當然路徑只是基礎，而服務才是靈魂，因為單純的路徑是沒有意義的，只有在建立路徑的基礎上，通過多重功能疊加，例如疊加流量、漏洞信息、負載情況等。一旦建立起這些“地圖”，在安全上才能變得有意義。

路徑和策略的建立，最后是要落實到公司組織架構上，因此建立適合公司的組織架構決不能被忽視。例如Tufin與Palo Alto合作，基于Palo Alto的設備組、用戶組及其中的嵌套關系建立組織架構做運維，其工作組相對較為清晰。此案例也能給國內(nèi)安全廠商一些啟發(fā)和借鑒。例如在進行安全可視化平臺規(guī)劃時，可以參考基于路徑和策略組織架構，形成基線和工作流，并疊加流量等，最終發(fā)現(xiàn)威脅。