天瑶 Skywatch由启明星辰·知白学院正式推出，天瑶 Skywatch是一款规则驱动、高度弹性的网络安全机器人自动化智能系统，旨在帮助安全人员提升工作效率，轻松按场景打造实战化安全解决方案。

2021年全球知名研究和咨询公司Gartner在其顶级战略技术趋势中提出，越来越多的手动流程正在被规则驱动的智能系统取代。越来越多的企业开始采用超级自动化（HyperAutomation）技术来实现业务的自动化（Automation）。

自动化（Automation）是指通过技术来完成需要人工干预的任务——通常是大量枯燥的重复劳动。

任何一种工具、产品独立使用，都能够实现流程中特定场景的自动化，但往往局限性比较大（尤其是需要协同完成的工作），很多情况下还需要人工干预，无法实现整个流程的智能化运行。这就是超级自动化——多种工具的混合技术VS普通自动化的区别。

引用Gartner的话，“超级自动化是企业使用AI人工智能、RPA机器人流程自动化、API集成技术、ML机器学习、事件驱动软件以及其他类型的决策流程和流程自动化工具集，来帮助实现更广泛的业务流程的自动化”。

RPA（机器人流程自动化）是一种以自动化技术为基础通过模拟人执行重复性任务的软件在不改造现有系统的前提下通过软件机器人自动处理大量重复性、具备规则性的工作流程任务。

数字机器人通常也称为数字劳动力（Digital Labor）或者数字员工，其技术基因主要来自于AI和RPA等技术的支持。

天瑶 Skywatch 是一款提供从简单的if/then规则判断到复杂的工作流程控制能力，帮助您自动化完成工作任务的安全机器人软件。

传感引擎（自动化机器人的五感）：支持包括运行任意网络服务、API、任意探测服务形式的传感器，作用是将平台外部信息传入到系统和将系统执行结果反馈到外部。

规则引擎（自动化机器人的左脑）：将各传感器传入到系统的信息数据按照预定义的规则完成逻辑关联判断以确认外部发生了什么。同时规则引擎也可以理解为系统的第六传感器——规则传感器。

决策引擎（自动化机器人的反射神经）：通过决策规则建立感知到的事件与要执行的行动操作之间的映射关系。

工作流引擎（自动化机器人的右脑）：工作流是一个执行逻辑录入与控制引擎，是系统实现“HyperAutomation”的核心。在待执行的自动化操作需要将多种工具、技术源混合，并且具备极复杂的逻辑关系时，可预先通过工作流编排引擎将执行逻辑录入到系统，执行过程中系统将按照预定的执行逻辑自动维持单节点运行所需的上下文数据。

行动（自动化机器人的四肢）：行动是系统的最小执行单元，一个行动代表一项可执行的具体自动化（Automation）操作，包括本地执行系统命令、本地执行脚本代码、本地运行安全工具、在远程主机执行系统命令、在远程主机执行脚本代码、调用远程安全工具、远程调用API、远程控制设备、远程操作数据库\虚拟化\Web应用……软件等。

注：无论是行动或传感器，其本质是一组开箱即用的IDE+Code+Command。

任何可获得的“AI人工智能、API集成技术、ML机器学习、事件驱动软件”工具、技术、产品都可以基于天瑶 Skywatch按照需要的业务流程进行混合集成。系统对这些技术以何种形式集成到系统中并没有限制，一切按需。以最常见的nmap工具为例，在系统中其即可以做为一个行动用于完成扫描类的执行，也可以将其做为一个探测类的传感器完成外部信息的收集工作。

天瑶 Skywatch并不是简单实现ScriptCode拼搭的运行软件，其中包含了Kubernetes、Container、MicroService等主流技术，实现的自动化业务原生具备弹性可扩展、Distributed 、CI/CD、DevOps等Cloud Native技术特征，并在Concurrency与Fault-Tolerant上具有很好的表现。低耦合的模块分离设计可以带来高度灵活、自由的弹性自动化。

天瑶 Skywatch将简化技术的使用门槛，让您可以专心于安全业务流程，轻松实现安全工作的超级自动化（HyperAutomation）。理论上所有人工通过机器完成的工作都可以转化为可执行的自动化流程。

Example：

过去您可能会习惯于在工作电脑上安装各类安全工具，每天抱着电脑东来西去，还要面对繁琐的安装部署过程、可能的后门程序、晦涩的使用文档以及窘迫的计算资源带来的运行崩溃。

如果您开始尝试通过天瑶使用这些工具，上述事情都不再需要关心，您可以通过网络中任意一台电脑的浏览器（甚至手机）使用他们，只需要选择想要使用的工具，根据说明填入正确的参数并静待运行结果。因为这些工具在天瑶 Skywatch上均以云化的方式提供给您使用，从而为您节约大量时间。特别是需要在不同工具之间来回切换时，通过天瑶 Skywatch的编排引擎，您可以轻易完成不同工具之间运行时上下文数据引用配置，让多个不同工具形成一个整体运行。

Gartner在2017年提出“安全编排、自动化及响应（SOAR）”的技术概念，通过将SIME、威胁情报、安全编排等技术有效结合为安全分析与应急人员提供一项能够将执行经验转化为自动化过程的解决方案。虽然Gartner已经连续三年对SOAR概念重新定义，但其用于应对海量安全告警这个目标是不变的。SOAR解决方案的提出是全行业对基础安全设备的告警会存在大量误报，并且这些大量无效告警已经严重影响到应急质量和应急人员的生活质量所达成的共识。即便通过策略优化可以提高安全系统的告警质量，但通常需要一个很长的周期，并且有时候优化甚至赶不上告警波动的变化。

SOAR类的产品包含事件、案件、剧本、动作几个重要概念。事件指告警；案件是通过规则分析对告警的初步研判；剧本是应急人员通过安全编排向系统录入的响应经验；动作是系统提供的各种执行脚本。

天瑶 Skywatch满足SOAR的解决方案是：启用几个告警接收类的传感器、通过规则引擎捕捉案件、应急人员通过编排引擎录入响应经验、同样我们提供了大量可执行行动。当然部分SOAR会提供如工单、作战室（聊天室）等功能，对于工单我们认为在一个组织中有过多的工单系统并不是好事，反而会形成组织流程障碍并影响到事件响应的效率，理论上一个组织使用一套IT运维工单能带来最优的协同。因此我们更希望的是去对接客户的工单系统，帮助客户自动化流转工单就像在现实世界一样。同理作战室这种功能，我们更愿意去根据客户使用习惯兼容更多的聊天软件，这样做的好处是：不管是面对工单、还是聊天消息能做到在不改变用户习惯的情况下去建立跨系统的工单、消息互通。

Gartner发布的2021年八大安全趋势中提出了“入侵与攻击模拟（BAS）能够持续测试和验证安全机制，并测试企业和机构对抗外部威胁的能力，同时，能提供专业评估和指出高价值资产(如机密数据)的风险。此外BAS通过演练，使安全机构走向成熟”。入侵与攻击模拟（BAS）是指通过部署攻击代理或模拟恶意流量的方式在实网环境中真实模拟出渗透攻击各阶段的攻击行为，并基于实网安全措施的检测/防护结果和模拟攻击的执行状态情况实现在对网络无害的前提下进行再有安全措施对持续渗透攻击行为响应能力的持续测试与验证。

使用天瑶 Skywatch最炫酷的是如果你将它当做一个超级中间件看待，通过天瑶 Skywatch的低代码特性你会发现开发一个安全系统会变的像开发一个微信小程序一样简单。因为你只需要一个前端页面开发人员按照业务需求写出交互页面，后端执行、算法都不需要考虑，只需要通过天瑶 Skywatch的智能编排与行动将后端的一切构建完毕后通过API类型的传感器去提供给前端页面调用即可。注意由于天瑶 Skywatch 原生提供了Concurrency与Fault-Tolerant方面的设计，所以你开发的安全系统同样会继承所有这些大型系统才有的技术特征。

这样做的意义同样在于让您可以专心于您的业务表现。未来我们计划给天瑶 Skywatch增加一个功能模块，叫“应用”，用于让这些前端代码像行动、传感器等其它模块的内容一样开箱即用。

更多……

上面都是天瑶 Skywatch当前已实践的解决方案，天瑶 Skywatch会在官方能力仓库中持续提供丰富的原生技术解决方案包，这些包开箱即用，为您的自动化实践带来最大的功能弹性。后续我们将会通过建立社区仓库、开放文档及技术培训的方式来丰富天瑶 Skywatch的能力，我们将以非常开放的态度去落实这一切。

所以天瑶 Skywatch是一款非常灵活的框架平台产品，如我们当前的实践一样，同一款产品同时应用于5种不同的业务场景，不拘泥于形态，着眼于场景化实战化的安全解决方案，正如我们想做到的“应云而生，随器而形”。

从企业网络安全运营角度，它能帮助你以“如无必要勿增实体”的快速试错、快速调整、持续集成、持续部署、持续优化、持续创新式软件解决方案实现自动化、体系化、系统化、平台化的企业网络安全治理目标；它可以是企业网络中的影子机器人，像数字化员工一样静默工作，这样的员工一个网络中可以有多个，它们可以协同工作。当然它也能以某种系统界面展现形式出现，一切根据企业网络安全运营的需要。

从服务提供商角度，服务项目中它可以帮助你降低执行成本，集成项目中它可以帮助你提升解决方案能力，如果你想深度绑定客户还能以最少的研发人员与最低的研发成本去基于客户业务提供系统定制能力。

从个人角度，如果你是安全专家，它可以帮助你进行各种解决方案的尝试，让你放心大胆的面向技术设计解决方案。如果你是安全工程师，它带来最直接的便利就是提升工作效率。

我们不想表达天瑶 Skywatch是万能的，它也不是能解决所有问题。比如天瑶 Skywatch不能代替探针类的基础安全设施，我们后续也没有计划为天瑶 Skywatch提供专用的探针，因为当前已经有足够多优秀探针类产品供您选择；同样的道理它也不能代替防火墙、网闸等网关控制产品，但天瑶 Skywatch可以驱动它们。