囊萤夜读剖析（囊萤夜读从要你命3000）

囊萤夜读剖析（囊萤夜读从要你命3000）谜底里边有UTM、SOC、大数据分析平台、APT、NGFW等等，其中确实有部分产品是典型的加法思维产品，名头很大，功能很多，但是从防护效果来看，至少可以被吐槽很久。其实我们信息安全领域也有类似加法思维的安全产品，所以当我将《国产凌凌漆》这段剧情截图放到朋友圈，让大家看图猜安全圈热词的时候，朋友圈给出的谜底也是脑洞大开。要你命3000=西瓜刀＋毒药＋火药＋硫酸＋铁链＋手枪＋手榴弹＋杀虫剂看到这里你是不是惊呆了，“要你命3000”实际上是一个典型的加法思维产品，把很多功能堆砌在一起，就像一个全家桶，要啥有啥，名字也很吓人，但是实际效果如何，相信大伙心中早有答案。看图猜谜

“囊萤夜读”是孙维个人专栏的夏日版，“围炉夜话”陪伴我们已经一段时间，这个冬天再见。

达闻西

夕阳西下，猪肉摊上方挂着数条白晃晃的猪肉在规律地摆动着，案板上一把菜刀入木三分，上面刻着四个字，民族英雄。读到这里大家应该都知道我说的是《国产凌凌漆》这部电影，当然电影中除了星爷扮演的特工凌凌漆大放异彩之外，达闻西这个名字从此也享誉江湖。

从特工到菜贩，达闻西放浪不羁的形骸下，还住着一个偏执的产品经理灵魂。没错，落寞特工达闻西其实还有另外一个身份，资深产品经理，在告别训练凌凌漆的光辉岁月后，达闻西于市井中历练升级，终于再次携带终极必杀武器“要你命3000”闪亮登场，该超级杀器集多种致命武器于一身，而且每种武器都能独当一面。

要你命3000=西瓜刀＋毒药＋火药＋硫酸＋铁链＋手枪＋手榴弹＋杀虫剂

看到这里你是不是惊呆了，“要你命3000”实际上是一个典型的加法思维产品，把很多功能堆砌在一起，就像一个全家桶，要啥有啥，名字也很吓人，但是实际效果如何，相信大伙心中早有答案。

看图猜谜

其实我们信息安全领域也有类似加法思维的安全产品，所以当我将《国产凌凌漆》这段剧情截图放到朋友圈，让大家看图猜安全圈热词的时候，朋友圈给出的谜底也是脑洞大开。

谜底里边有UTM、SOC、大数据分析平台、APT、NGFW等等，其中确实有部分产品是典型的加法思维产品，名头很大，功能很多，但是从防护效果来看，至少可以被吐槽很久。

被点名最多的是UTM，好多人对UTM根深蒂固的观念就是麻雀虽小五脏俱全，但由于处理逻辑是串葫芦方式，每个包都要依次通过各个引擎进行单独分析，这导致UTM性能会急剧降低，用户体验不好，导致UTM的很多功能直接被停用，形同虚设。

其实发展到今天性能基本不算UTM的诟病，但是UTM的出发点是性价比，目标对象也是SMB（中小企业），我把防火墙、IPS、防病毒、内容过滤、防垃圾邮件都塞一个盒子里，你买一个盒子就相当于带了多台设备回家，这是UTM的初衷，但是这些集成在一起的功能无法和市场上专门的安全产品进行比较。

另外安全防护需要强调异构和纵深，显然UTM无法满足，如果UTM一旦被突破，那威胁成功利用的可能性要大很多。各个层面的安全问题，应该在相应的层面来解决，所以我们很难见到在纵深防护体系或大型网络里边看到UTM的存在。

NGFW也被提及，但NGFW和UTM处理逻辑不一样，它同样具备多个安全功能，其实NFGW的精髓是可视化能力。发展到今天，二代墙现在的定位也比较尴尬，可以是WAF、可以是VPN、可以是IPS，在客户眼里变成了万金油的角色，没有特点是它最大的特点。

看图猜谜的答案有很多，但是我期望的谜底没有人提，最近很火的加法思维热词其实算态势感知。

态势感知

态势感知（Situation Awareness）不是新词，最早在航天军事领域使用，国内也提，但正儿八经火起来应该近段时间，至于火的原因大家应该也都知道。

最近看了《伦敦陷落》，当美国总统在伦敦街头被恐怖分子抓走之后，英国军情六局利用已有的情报数据，再加上实时的线索，利用分析模型进行美国总统被藏地点的预测。

军情六局从恐怖头目数百家位于英国的空壳公司进行历史通讯数据分析，再结合公司地址为闲置工地和实时用电量大幅增长等多个因素的关联，最终准确判断出美国总统的位置，从而成功将其就出，这其实也算是态势感知的另类解读。

态势感知包含认知、理解和预测三个阶段。

军情六局对恐怖组织相关背景、运营方式和历史攻击资料进行收集和梳理，同时对暴乱发生地点的市政设施和图纸进行查看，这些都属于认知；在认知基础上进行特征归纳，理解这些资料背后的意义，并找出对定位恐怖分子伦敦据点有意义的指标和参数；最终再根据这些指标变化来预测即将到来的变化。

我们再来看看安全厂商的态势感知解决方案，同样也是和达闻西一样把一堆功能绑在一起，大多数厂商都是资产管理、WEB漏洞扫描、入侵检测、病毒检测、异常流量检测，再加上可视化的地图炮就摇身一变成态势感知了。

态势感知既不是感知事件，也不是感知攻击，它是预测趋势和变化。1 1 1 1 1 1还是等于1，一锅乱炖并不能炒出一桌惊艳天下的大餐。

态势感知要预测安全状态会发生什么改变，对组织有什么影响，同时还要提出应对建议。今年南方雨水太多，水果商就会意识到南方的瓜果质量会不如往年，他们会改变自己的市场策略，减少南方瓜果的采购，以避免造成滞销影响利润的不利局面出现。

很多时候大家都犯了同样的一个错误，把态势感知的输入当成了输出。

资产数据、配置数据、漏洞数据、内外部威胁数据和事件数据等，其实这些都是态势感知的基础，在这个基础上我们来进行分析提炼并预测，再基于这个预测提出可行的应对方案，当然要实现这个有难度，但起码是个正确的方向。

达闻西的“要你命3000”只是一个无厘头的笑话，但我们的安全态势感知产品却要正面对抗网络攻击的黑暗森林，如果它还只是一个加法思维的功能堆砌型产品，那显然无法发挥它应有的价值。

到最后，态势感知充其量也就是一个热词，仅此而已。作为甲方，我们一定要慎重对待加法思维产品，隔靴搔痒并没有太多意义。