态势感知是什么? LELE was finally revised on the morning of December 16, 2020 态势感知是什么?
烫毛机
态势感知的概念最早是由美国空军提出,是为提升空战能力,分析空战环境信息、快速判断当前及未来形势,以作出正确反应而进行的研究探索。上世纪90年代这个概念被引入了信息安全领域,最知名的2003年开始的美国的爱因斯坦计划(正式名称国家网络空间安全保护系统The National Cybersecurity Protection System),2013年已经开始第三期的建设,美国CERT 及后续DHS(国土安全部)对态势感知进行了不断探索。
美国国家安全系统委员会对态势感知的定义是:“在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测。”态势感知是偏重于检测和响应分析能力的建设,这确实是现实最迫切的安全需要。 为什么需要态势感知?
面对新的安全形势,传统安全体系遭遇瓶颈,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。
糖尿病检测仪
从美国对爱因斯坦计划的持续不断投入,可以看到网络空间安全的态势感知,对于国家、行业有多么重要的意义。我国的网络安全形势非常严峻,截止2016年底,仅360公司就累计监测到针对中国境内目标发动攻击的APT组织36 个,最近仍处于活跃状态的APT组织至少有13个,这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设施的行业/企业。今年爆发的WannaCry蠕虫,更让我们看到了网络武器民用化之后可能造成的巨大灾害。
从现实中的网络安全建设看,多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,虽取得了一定的成果,也遇到发展瓶颈。简单通过购买更多的安全设备已经不能使安全能力有提升,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基础上,开始增加在非特征技术检测能力上的投入,以及事件响应分析能力的建设;并通过对事件的深度分析及信息情报共享,建立预测预警并针对性改善安全系统,最终达到有效检测、防御新型攻击威胁之目的。
工位管理系统正是因为这些现实的问题,习总书记才会在讲话中明确提出建设“全天候全方位感知网络安全态势”。
态势感知能干什么?
网络安全与战争一样,本质是攻防双方的对抗,攻防之战,速度为王,作为防守方的目标是缩短攻击者的自由攻击时间。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。
“全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位,可以理解为时间维度和检测内容维度。
在时间维度上,需要利用已有实时或准实时的检测技术,还需要通过更长时间数据来分析发现异常行为特别是失陷情况。
在内容维度上,也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下5类检测能力,或者说至少4类(参照Gartner:Five Styles of Advanced Threat Defense ):
基于流量特征的实时检测(WAF、IPS、NGFW等)
多功能电脑包
基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)
cos系统下载针对内容的静态、动态分析机制(沙箱)
基于终端行为特征的实时检测(ESP)
垃圾处理厂工艺流程
基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)
“态”指是从全局角度看到的现状,包括组织自身的威胁状态和整体的安全环境,需要基于之前提到的5种检测能力尽可能的发现攻击事件或攻击线索,同时需要对涉及到的报警提供进一步的分析,回答以下的问题:
是真实的攻击吗是否可能误报是否把扫描识别为真实攻击
是什么性质的攻击定向或者随机
可能的影响范围和危害
缓解或者清除的方法及难度
无法正确的回答这些问题,只是简单的将报警在地图上呈现就无法体现有现实价值的“态”,无法确定是否可以进入处置流程。
“势”,即未来的状态。要能预测组织未来的安全状态,需要对现阶段所面临的攻击事件特别是定向攻击事件有深入的了解:
是新的攻击团队还是已知团伙
攻击者的意图
攻击者的技战术水平及特点
是否属于一次大型战役的一部分
了解这些信息,同时通过信息和情报共享,对同行业或相似部门的相关此类信息也有所了解,就能够预测未来可能处于的安全状态以及需要防御的重点,即预测预防能力。
谁能做态势感知?
要完成态势感知的建设目标,需要具备以下三大核心要素:流量数据采集、威胁情报和安全分析师。
流量数据采集相对而言实施难度较小,同时还有着不可替代的价值:通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP(战术、技术和过程)。因此流量数据是态势感知中必须考虑的一环。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议