1.8 可观测性

未来，可观测性在网络空间安全领域具有重要意义。它通过绘制安全架构图、流程图和数据流图等方式，将网络安全方案、安全控制点和安全流程可视化，从而帮助安全团队和业务团队更好地理解并协同实施网络安全策略。同时，它还有助于安全运营团队识别和分析安全资产及其关联关系。庞大的系统中成百上千个节点互相影响，这本身就很复杂。而随着EIP、CDN、SLB、高防以及WAF等云产品的不断丰富，云主机的网络拓扑变得更加复杂，并且资产无法完全掌握，因此很难准确查找存在的安全隐患。

为了解决性能问题，传统的应用性能监测（Application Performance Monitoring，APM）技术采用的是为每个请求过程分配一个唯一的TraceID的方法。该TraceID不仅包含性能方面的信息，还是用户实体行为分析的重要方式。然而，在海量请求情况下，如何保证TraceID唯一并包含请求信息？图1-13展示了TraceID的组成。

通过这个TraceID，我们可以结合日志掌握这个请求在2022-10-18 10:10:40发出，并且被位于11.15.148.83主机、进程号为14031的Nginx（对应标识位“e”）接收。其中的四位原子递增数的取值范围为0～9999，旨在防止单机并发导致TraceID冲突。

与之类似，网络性能监测（Network Performance Monitoring，NPM）是一种监测网络性能的技术。它可以实时监测网络中的数据包传输速度、响应时间和丢包率等指标，帮助政企识别网络性能瓶颈和异常情况，并提供相应的优化建议。

在可视化方面，APM和NPM都有助于补全资产的关系信息。此外，传统的访问控制集中在南北向流量限制，而对东西向流量进行限制和隔离一直是难点。虽然微隔离技术可以解决这个问题，但缺乏可视化辅助会使交付过程变得混乱无序。

1.8.1 访问链

在渗透测试中，安全人员通常会从网络拓扑图入手了解政企的网络情况。访问链（Access Path）可视化是一种利用数字孪生技术展示真实网络环境的方法。这种可视化方法能够将内部状态转换成外部输出，帮助安全运营团队快速识别和分析安全资产及其关联关系，提升安全事件处理效率。

应用架构有很多类型，IBM的克里斯·多特森（Chris Dotson）提出了一种方法来统一展示。这一方法包括构想所有用户可能的数据访问场景，并为某个用户使用何种数据的访问链设定一个具体的场景名字，以卡片的形式呈现出来。这样在设计防御系统时，这些卡片组合能够被清晰地参考和使用。

下面以一个简单的三层设计（Three-tier Design）为例。首先画出一个用户，再加入一个管理员，以此作为起点。然后，画出用户访问的第一个组件（例如Web服务器），再将该组件与用户连起来，并在连线上注明用户的访问方式。继续画第一个组件需要访问的其他组件，再画出它们之间的连线。接着，画出管理员如何访问应用。注意，管理员可能有多种访问应用的方式，例如，可通过云提供商提供的门户或应用编程接口访问，还可通过开放操作系统权限访问。最后的访问链输出如图1-14所示。

通过上述方式，可以快速把访问链上组件间的逻辑关系形象、直观地表达出来。这些生成的拓扑图既包括物理拓扑，也包括逻辑拓扑。逻辑拓扑是指应用之间的逻辑连接关系，物理拓扑是指设备之间的物理连接关系。通常，一台物理设备上可能运行多个应用。

随着元宇宙、AI建模等技术的不断发展，未来几年，是否能够迅速、有效、及时地看见未知威胁，能够看见未知威胁的多少内容（而不是盲人摸象），将成为安全技术与安全企业竞争的主要战场。特别是上云后，IT团队对云基础架构的可见性变差，安全风险的可视化能力也在下降，尤其受云上敏捷开发、新应用和服务交付加快、多云的影响，部署配置错误的可能性急剧增加。

1.8.2 杀伤链

随着云计算的普及，政企面临的威胁已逐渐从已知漏洞变为未知威胁。黑灰产的“武器库”日趋成熟，其中包括未公开披露的漏洞攻击手段（0day）。如何快速定位攻击源以及入侵原因，还原攻击者的入侵路径，在安全威胁检测中变得至关重要。

数字孪生是一种模拟杀伤链（Kill Chain）的技术，能够评估政企的安全威胁情况。随着微服务架构的流行，完整的业务事务逻辑被部署在多个微服务上。用户点击请求可能会触发多个微服务之间的相互功能调用，从而增加系统的复杂性和难度。此时，链路追踪应运而生，它可以快速、准确地定位存在问题的调用链路。

2010年，Google对其内部的分布式链路跟踪系统Dapper进行改造，并将请求按照Trace、Segment、Span三种模型进行划分，其间形成的OpenTracing规范成为链路追踪领域的重要标准。该规范提供了一种标准化的链路追踪方法，使链路追踪技术广泛应用于互联网应用系统中。

日常攻防中，政企等组织希望能够高效发现数据泄露问题，由此接入了SIEM流量日志，以记录所有访问业务的流量。但随之而来的问题是：每天有成千上万条流量日志混杂在一起，根本无法区分哪个人访问了哪个业务。

图1-15是一张2022年最火的安全创业公司WIZ的产品截图，它从访问逻辑角度梳理了链路。在一个网站主机上存在一个权限过大的令牌，最终导致敏感数据泄露。

WIZ平台会收集并整理警报的上下文信息，然后在一个清晰的拓扑图中展示出来。这样做可以帮助聚合相关联的问题，并且快速辨识出可能的安全漏洞渗透路径。这有助于安全团队根据图表中的风险级别进行高效、合理的修复。

该解决方案将拓扑图、时序图和系统地图融为一体，展示应用程序中各个组件（如服务器、数据库、中间件等）之间的关系以及调用时间序列，并显示数据在应用程序系统中的移动方式；同时，基于图技术，在云工作负载中创建多种上下文关系，包括网络暴露、漏洞、密钥、用户和机器身份等。因此，WIZ平台自推出后广受欢迎，给公司带来的收入在18个月内从100万美元增长到1亿美元。