28、构建交互式安全可视化

构建交互式安全可视化

1. 开发方法与反馈循环

在安全可视化开发中，有一种方法与敏捷开发过程极为相似。在这个过程里，所有参与者都是平等的伙伴，共同协作以打造出成功的成品。若你的组织有应用开发团队，而你对敏捷开发不太熟悉，不妨邀请一位成员共进午餐，借此了解敏捷开发在实际中的运作方式。这样做不仅能让你交到开发领域的朋友，还有望帮助他们更好地理解应用安全。

从根本上说，这两种概念都运用了高效的反馈循环，以确保项目能按计划推进，尽快达成预期目标。即便你是成品的开发者，且经验丰富，但仍需定期向领域内外的人士征求意见和反馈，以确保构建出正确的元素。

2. 用于探索的交互

2.1 网络漏洞与传统报告问题

大多数网络都存在一定数量的漏洞。Nessus（http://www.tenable.com/products/nessus）漏洞扫描器是一款常用的工具，能帮助我们发现这些漏洞。一份详细的Nessus报告可能长达数百页，每个主机都会列出易受攻击的组件，每个组件又有众多属性，如基本和详细描述、总体评级以及通用漏洞评分系统（CVSS，http://www.first.org/cvss）分数。

即使是像为VAST 2011可视化挑战创建的小型网络（http://hcil.cs.umd.edu/localphp/hcil/vast11/），也可能有数千个漏洞发现。尽管可以从多个角度处理数据并生成大量静态可视化图表，但这正是交互式工具发挥作用的绝佳场景，它能帮助安全分析师探索并确定优先修复哪些漏洞。

2.2 Nessus Vulnerability Explorer（NV）工具

Tenable提供了交互式报告工具，但这里要介绍的是John Goodall在2013年发布的开源工具Nessus Vulnerability Explorer（NV，http://ornl-sava.github.io/nv/#）。使用NV，你只需将Nessus扫描的导出文件拖入浏览器，就能开始探索其中包含的漏洞。

NV的界面基于树形图，这种可视化方式通过嵌套矩形以紧凑的形式展示层次数据，每个矩形的大小和颜色对应数据集中的分类或定量变量。虽然树形图需要一定时间来适应，但一旦掌握解读方法，它将成为目标可视化的有力助手。

Goodall的交互式树形图允许用户通过简单的拖放操作重新排列层次结构，用户可以选择以传统的IP地址为中心查看漏洞，也可以切换到基于Nessus漏洞（插件）ID或端口的视图。只需单击一下，节点就可以根据数量或潜在影响调整大小，单击单个矩形还能显示漏洞的详细信息。

2.3 简单的Excel示例

并非所有的探索界面都需要如此复杂。例如，一个简单的Excel工作簿，其中包含防火墙日志提取，日志条目数据表顶部有过滤控件。此外，还有两个数据透视表，分别按防火墙和端口展示视图，并配有相应的条形图，当你操作数据透视表的值时，条形图会动态变化。较新的Excel版本没有以往的工作簿大小限制，只要系统足够强大，就能轻松容纳超过一百万行和16000列的数据。为数据集提供智能汇总的表格视图，并配以基本可视化图表，让用户能按需轻松排序，这种方式可能比想象中更有用。不过，在此之前，你仍需完成寻找、编目、获取、清理、扩充和处理数据等艰巨工作。

下面是一个简单的操作流程说明：
1. 打开Excel工作簿，确保其中包含防火墙日志提取数据。
2. 在日志条目数据表顶部使用过滤控件筛选所需数据。
3. 操作数据透视表，观察条形图的动态变化。
4. 根据需要对表格视图进行排序。

3. 用于启发的交互

3.1 大众对数字世界的理解局限

尽管如今似乎人人都手持某种智能设备，时刻与世界相连，但实际上大多数人对所处的数字世界仅停留在表面理解。例如，人们知道使用Instagram应用需要用户名和密码才能发布照片给朋友看，但对于背后的二进制世界，如色调、饱和度和亮度的数字化处理，网络数据包的交换，以及信息可能在数千英里外的传输和存储等细节，却知之甚少。

在工作场所，即使业务流程相对容易理解，但支撑这些流程的信息技术组件的复杂性，对于IT专家来说都可能具有挑战性，更不用说普通业务人员了。

3.2 “World’s Biggest Data Breaches”可视化工具

数据泄露是一个现实问题，但在安全领域之外，人们对其了解并不深入。技术和大众新闻媒体几乎每周都会报道一起数据泄露事件，人们很难跟上节奏，更难以理解这些攻击的多样性。

David McCandless和Tom Evans创建的“World’s Biggest Data Breaches”可视化工具（http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/）是一个很好的例子。他们并非信息安全专业人士，而是可视化和开发专家。该工具遵循Ben Shneiderman在1996年提出的“先概览，再缩放和过滤，最后按需查看细节”的范式，创建了按年份垂直排列的交互式气泡图。用户可以通过过滤界面按组织类型或泄露方式查看数据泄露情况，还能更改气泡大小和颜色的构成因素。

3.3 该可视化工具成功的原因

与传统的报告资源相比，这个交互式工具更受广大用户欢迎，原因如下：
- 界面可访问性 ：它将数据呈现在熟悉友好的网页环境中，巧妙运用颜色、样式和设计，打造出直观易用的工具，用户无需担心操作失误。按钮的外观和行为符合预期，过滤界面有足够的空白空间，避免了过多专业术语和缺乏上下文的问题。鼠标操作能提供即时的游戏般反馈，即使没有说明，用户也能迅速上手。
- 便于定向探索 ：
- 关键元素突出可见 ：通过一致的颜色、形状和显著的位置，可视化的控制元素一目了然。加载可视化后，过滤控件立即出现，让用户有“我可以点击这个”的直观反应。颜色还能吸引用户关注创作者认为特别引人入胜的故事。
- 操作一致且有目的性 ：鼠标移动会突出显示元素，鼠标点击可选择选项并显示详细信息。操作过程中无需在鼠标和键盘之间切换，也不用在拖动和点击之间频繁转换，界面具有可预测性，除了有趣的故事外不会有意外情况。
- 反馈即时且操作安全 ：尽管该网站在后台处理大量数据和资源，但加载速度较快，稍有延迟时会显示熟悉的“加载中”消息，随后迅速显示核心可视化内容。每次点击都会产生即时反馈，且可以通过可视化控件或浏览器的重新加载按钮完全撤销操作，这种安全感让用户更愿意进行探索。

3.4 Flash和Java的衰落

曾经，Java和Flash小程序是为网站添加“像样”视觉交互的主要方式。Java是许多学校教授的正式语言，因此在学术可视化中是一个容易的选择；Flash则因其易于学习的开发工具，在普通网页开发社区中广受欢迎。

然而，如今Flash作为可视化媒介的使用正在缓慢而稳定地下降，目前仍在约17%的网站上存在；而Java小程序在网页中的占比仅为0.1%。它们衰落的原因主要包括：
- 不断出现的漏洞、数据泄露和安全更新循环。
- iPad、iPhone等触摸设备的普及，这些设备不支持使用这些工具构建的网站元素。
- 随着HTML5、CSS和JavaScript在主流浏览器中的广泛应用，原生平台功能不断增强。

为了覆盖最广泛的受众，最好避免使用需要浏览器扩展的专有技术或可视化工具包。

下面是Flash和Java衰落原因的表格总结：
| 原因 | 具体描述 |
| — | — |
| 安全问题 | 不断出现的漏洞、数据泄露和安全更新循环 |
| 平台兼容性 | 触摸设备不支持相关网站元素 |
| 技术发展 | HTML5、CSS和JavaScript的广泛应用增强了原生平台功能 |

4. 开发交互式可视化的要点

4.1 包含适当的细节

数据泄露是复杂的事件，如VERIS分类法所展示的那样。对于“World’s Biggest Data Breaches”可视化工具的大众用户来说，VERIS级别的详细分类信息并不合适。McCandless和Evans选择在点击时提供简单的摘要和简洁的描述，同时按需提供详细的新闻报道。

在可视化中提供的细节程度高度依赖于目标用户。在面向安全专业人士的会议工具中包含VERIS级别的分类细节是合适且被期望的。因此，要构建成功的交互式可视化，必须清楚了解用户是谁，以及他们的专业水平和期望。

4.2 开发工具与选择

即使排除了Flash和Java选项，在开发交互式可视化时仍面临选择的难题。大多数情况下，你需要亲自编写代码，尤其是处理敏感数据且不能在公共互联网上发布时。虽然大多数可通过互联网访问的“点击式”工具将数据存储在“云”中，并使用公共网站作为展示层，但在静态可视化不足以满足需求时，桌面工具能提供很大帮助。

4.3 使用Tableau构建交互式仪表板

Tableau（http://tableausoftware.com/）是一款类似办公软件的独立工具，擅长构建辅助/定向交互式可视化和仪表板。它是一款仅适用于Windows的应用程序，其设计深受Jock Mackinlay关于自动化关系信息图形展示设计研究（http://cs171.org/2008/papers/mackinlay86.pdf）的影响。

Tableau的基本理念是系统会分析你的数据，并为你提供最佳的可视化建议。如果你想构建交互式、用户友好的仪表板，或者为复杂数据集快速提供交互式探索界面，Tableau是首选工具。

以安全意识调查为例，原始调查结果可能是一系列看似无穷的数据点。使用Tableau，你可以轻松处理这些数据，分析其中变量的类型，并引导你选择最合适的可视化方式来编码单个元素或元素之间的关系。

下面是使用Tableau创建交互式仪表板的操作步骤：
1. 导入数据（如ch11/data/awareness - survey.csv）。
2. 让Tableau分析数据，根据其建议选择可视化方式。
3. 确定展示的维度，如按业务部门、工作年限和员工级别查看每个调查答案。
4. 创建交互式仪表板。
5. 可以将仪表板分享给其他Tableau Desktop用户，或通过Tableau Server在网页浏览器中展示。

整个过程从数据导入到完成仪表板大约需要20分钟。例如，创建的安全意识调查交互式仪表板可在http://public.tableausoftware.com/views/UserAwareness/UserAwareness查看。

下面是使用Tableau构建交互式仪表板的mermaid流程图：

graph LR
    A[导入数据] --> B[Tableau分析数据]
    B --> C[选择可视化方式]
    C --> D[确定展示维度]
    D --> E[创建交互式仪表板]
    E --> F[分享或展示仪表板]

综上所述，构建交互式安全可视化需要综合考虑多个方面，包括开发方法、工具选择、用户体验和细节提供等。通过合理运用这些原则和工具，我们可以更好地展示安全数据，帮助用户更好地理解和处理安全问题。

5. 交互式安全可视化的优势总结

5.1 探索效率提升

与传统的静态报告相比，交互式安全可视化工具在探索数据方面具有显著优势。例如，Nessus Vulnerability Explorer（NV）的树形图界面，能让用户快速查看具有相似漏洞特征的节点，所有必要信息都显示在屏幕上，底部的条形图还能提供有用的高级概述，帮助引导探索。而传统的汇总报告视图可能需要大量的滚动和缩放操作才能提供相同类型的信息，并且很难发现环境中的模式。

以下是交互式与传统方式在探索效率上的对比表格：
| 对比项目 | 交互式可视化 | 传统汇总报告 |
| — | — | — |
| 查看相似特征节点 | 快速且直观 | 需大量滚动和缩放 |
| 发现环境模式 | 容易 | 几乎不可能 |
| 信息获取速度 | 快 | 慢 |

5.2 启发大众认知

通过交互式可视化，能够帮助大众更好地理解复杂的安全问题，如“World’s Biggest Data Breaches”可视化工具，它把数据泄露这样复杂的问题以直观的方式呈现出来，让普通用户也能轻松理解数据泄露的数量、种类和规模。而在传统的报告资源中，这些信息往往难以被大众消化。

5.3 降低技术依赖

随着Flash和Java的衰落，现代的交互式安全可视化更多地依赖于现代浏览器和网页框架的原生能力，避免了使用需要浏览器扩展的专有技术。这使得可视化工具更易于部署和使用，能够覆盖更广泛的受众。

6. 选择合适的交互式可视化工具

6.1 考虑因素

在选择交互式可视化工具时，需要考虑多个因素，以下是一个简单的列表：
1. 目标用户 ：不同的用户群体对可视化的需求和理解能力不同，例如大众用户可能更需要简单直观的界面，而安全专业人士可能需要更详细的技术信息。
2. 数据类型和规模 ：不同的工具对数据类型和规模的处理能力不同。例如，Excel适合处理相对较小规模的数据，而Tableau则可以处理更复杂、更大规模的数据集。
3. 功能需求 ：根据具体的需求，选择具有相应功能的工具。例如，如果需要进行数据探索和分析，可能需要选择具有强大分析功能的工具；如果只是需要简单的可视化展示，可能一个简单的Excel工作簿就足够了。

6.2 工具对比

下面是常见的几种交互式可视化工具的对比表格：
| 工具名称 | 适用场景 | 优点 | 缺点 |
| — | — | — | — |
| Excel | 小规模数据处理和简单可视化 | 易于使用，广泛普及 | 处理大规模数据能力有限 |
| Nessus Vulnerability Explorer（NV） | 网络漏洞探索 | 专门针对Nessus扫描数据，交互式强 | 仅适用于Nessus相关数据 |
| Tableau | 复杂数据集的交互式可视化和仪表板构建 | 系统自动分析数据并提供建议，功能强大 | 是Windows-only应用，有一定学习成本 |

7. 未来趋势展望

7.1 更广泛的浏览器兼容性

随着技术的发展，未来的交互式安全可视化工具将更加注重浏览器的兼容性，确保能够在各种浏览器和设备上都能正常使用。这将进一步扩大工具的受众范围，提高工具的可用性。

7.2 人工智能与机器学习的融入

人工智能和机器学习技术将逐渐融入到交互式安全可视化中。例如，通过机器学习算法对安全数据进行分析和预测，然后将结果以可视化的方式呈现给用户，帮助用户更好地做出决策。

7.3 增强的用户交互体验

未来的交互式可视化工具将提供更加丰富和直观的用户交互体验。例如，可能会引入虚拟现实（VR）和增强现实（AR）技术，让用户能够更加身临其境地探索安全数据。

下面是未来趋势的mermaid流程图：

graph LR
    A[更广泛浏览器兼容性]
    B[人工智能与机器学习融入]
    C[增强用户交互体验]
    A --> D[未来交互式安全可视化发展]
    B --> D
    C --> D

8. 总结与建议

8.1 总结

构建交互式安全可视化是一个复杂但有价值的过程。通过合理运用开发方法、选择合适的工具、提供适当的细节和良好的用户体验，能够帮助用户更好地理解和处理安全数据。同时，随着技术的不断发展，交互式安全可视化也将不断演进，为安全领域带来更多的便利和价值。

8.2 建议

为了更好地构建交互式安全可视化，以下是一些建议：
1. 深入了解目标用户的需求和期望，根据用户的特点选择合适的工具和展示方式。
2. 注重数据的处理和清洗，确保数据的质量和准确性，这是构建有效可视化的基础。
3. 不断学习和掌握新的技术和工具，跟上技术发展的步伐，以提供更好的可视化体验。
4. 在设计交互式可视化时，遵循一些基本的设计原则，如关键元素突出、操作一致、反馈及时等，提高用户的使用体验。

总之，交互式安全可视化在当今的安全领域中具有重要的作用，通过不断地探索和实践，我们能够构建出更加优秀的可视化工具，为安全决策提供有力的支持。