近日，360联合Gartner共同发布了《数据驱动的安全协同》调研报告。报告指出，信息安全是一场持续的战争过程，但目前却面临着诸多方面的困境，未来信息安全的制胜之道在于各方力量的协同。

信息安全形势日益严峻

近年来，全球网络空间的安全威胁愈演愈烈。由于互联网技术与传统行业的融合日渐紧密，以致于网络安全引发的危机波及面更广，造成的恶劣影响更大。

图1被动式防御已经无法对抗高强度、跨国家的网络攻击

根据Verizon 2015数据泄露调查报告(《2015 DBIR》)称，单单2014年就有79790家公司遭遇数据泄露，全球500强企业中超过半数发生过数据泄露事件。更令人惊悚的是，60%的案例中，攻击者仅需要几分钟就可以得手，足见安全形势之严峻。

从攻击者采用的攻击手段来看，0day漏洞、免杀木马、定制化工具，并结合社会工程学等多种手段结合的方式日渐盛行。它们不仅难以被发现，而且还会长时间驻留在电脑终端内，伺机而动，在锁定重要目标之后随时发动攻击。这些攻击不仅会对个人或者企业造成危害，而且可能导致国家关键基础设施瘫痪，国家海量战略数据被窃取或泄露。

信息安全防护的三重困境

当前，被动修补防护体系已经无法从根本上解决安全威胁。如Gartner报告所称，当前人们面临着网络威胁检测能力、响应能力和应用安全的三重困境。

首先，使用传统技术的入侵检测系统和防病毒软件无法及时发现新型攻击，大量误报的信息也会淹没真实的报警。当前，攻击方采用的攻击脚本和恶意程序已达百亿规模，如果没有创新技术，就无法确保恶意代码被检出。此外，传统SIEM和SOC产品提供的各种关联算法和定制规则无法从海量威胁信息中检测出真正有威胁的信息。

其次，企业IT架构和攻击者的手法同步变得更加复杂，安全团队无力应付各种复杂的工作。近几年，云计算、虚拟化、SDN等新兴技术的广泛应用让企业安全边界越来越大，企业部署的安全产品种类和复杂程度日渐增加，导致安全团队长期超负荷运转。企业运维变成了一个劳动密集型的工作。

最后，多样化的IT环境和开发模式的变化也让应用层漏洞数量快速增加。由于业务上线和更新速度的不断提升，大部分开发团队都采用敏捷开发模式，需求和实现在一轮轮的迭代中快速改变，安全测试工作被大大压缩，导致应用上线时漏洞数激增。

协同成信息安全制胜之道

针对上述安全困境，Gartner提出了包括12种具体安全能力的自适应安全架构。但考虑到实际中，很少有安全供应商具备如此全面的能力，因此，要打赢信息安全这一仗，各方力量的协同最为关键，其中数据协同、智能协同和产业协同这三种协同能力最为重要。

首先，数据协同包括异构数据协同和云地数据协同。异构数据协同是将多个安全检测设备同时作为数据来源，进行多源数据协同分析，利用部分先验知识将微小的线索联系起来，由点及面，发现攻击行为。云地数据协同是本地安全设备与云端威胁情报进行协同，获取最新的先验知识。这种方式可以有效降低企业成本，提升企业收益。

其次，智能协同包括“机器+机器”的智能协同、“机器+人”的智能协同和“人+人”的智能协同。“机器+机器”的智能协同是指大量基础的响应工作由机器之间自动协同完成。“机器+人”的智能协同是指采用“机器辅助+人工分析”的方式对现场线索和海量数据进行自动化关联分析，以便对APT攻击进行发现和溯源。“人+人”的智能协同是指充分利用白帽子的力量，采用众测模式公开悬赏等方式，对漏洞进行发现和修复。

最后，产业协同是指应用开发商和生态供应商以及客户之间展开良性互动，提升管理效率，降低安全风险，为消费者提供高质量的服务。Gartner的一份2015年的研究报告认为，“到2019年，全球2000强企业50%的对外服务和解决方案花费，将通过不到十家组织生态系统的战略供应商提供。”

结语

总体而言，当前，单靠一个厂商的力量无法解决整个行业面临的问题。建立信息安全领域的行业协同机制，去应对日渐加剧的网络威胁已是迫在眉睫。安全协同能力，不论在数据、智能还是产业层面，是安全+大数据背景下的必然产物，也是从传统安全向下一代安全的演进的重要能力。