看見是一種能力

在以往相當長的一段時間裏，人們總是將安全技術及其具體化以後的產品視爲是一種系統的防禦能力。如殺毒軟件、防火牆、PS、IDS等，人們關注的往往是它能夠識別出多少種攻擊、能夠防禦住多少種攻擊但卻很少有人會去關注它們是否真的有能力看見所有的攻擊，是否有能力發現那些未知的、高級的網絡攻擊。

最近，企業安全被描述成很糟糕、很黑暗，到處存在漏洞，需要解決的問題無數。但我們認爲，在不同的階段，安全有不同的優先級問題需要解決，而在目前這個階段，安全最優先、最重要的問題就是看見能力的缺失。看得見才能意識到成脅，看得見才知道威脅正在發生。看見以後オ能防禦，看見發生了什麼，個人和企業オ會有安全感。未來每個安全公司都要思考如何才能看見。

事實上，僅僅依靠一些簡單的黑客技術和木馬程序就能輕易拿下個終端設備，甚至拿下整個網絡系統的蠻荒時代已經漸漸遠去了。在現如今的網絡攻擊中，特別是那些針對組織機構發動的高級網絡攻擊中隱蔽性極強的未知威脅纔是最主要的安全隱患。製造這些威脅的人希塑自己永遠不被人看見，而且他們的很多攻擊手法也確實有能力繞過幾乎所有的防禦設備和防禦系統。在這種情況下，能否看見這些未知威脅的存在，能否追蹤到攻擊的過程，就成爲了一種安全技術或者是一套防禦系統真實能力的體現。

看不見的攻擊就無法防禦，但這並不等於未知的威脅就一定無法被看見。未來幾年中，是否能夠迅速、有效、及時地看見未知的威脅，能夠看見未知威脅的多少內容(而不是盲人摸象)，將成爲安全技術與安全企業競爭的主要戰場。

另外，對於已知的威脅，看見的能力也存在着差異和競爭:其主要表現在能夠看見多少以及能夠看見多遠。比如，同樣是一個木馬程序的樣本，有的人只能看見這個樣本本身;但有的人就可以看到木馬背後的服務器，並且能夠看見更多的同源木馬;有的人甚至還可以更進一步地看見這個木馬背後的黑客組織，定位木馬作者，並還原木馬製造與傳播的整個產業鏈。

顯然，這三種人雖然都能“看見”某一種成脅，但看見的能力卻天差地別，這也必然會影響到這三個人防禦能力的施展：第一個人只能是看見一個木馬，防禦一個木馬；第二個人則能夠舉一反三，發現在一個木馬，防禦一羣木馬；而最後一個人則有可能監控，甚至摧毀一個黑客組織，從源頭上阻斷木馬的製造與傳播。