↑ 点击上方“安全狗”关注我们
在16年年底刊发的《“十三五”国家信息化规划》中,“十大任务”的最后一项“健全网络安全保障体系”,里面有这样一段话:
“全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。”
然而,态势感知到底是什么,有什么用,什么时候需要,为什么我们需要……关于态势感知,即便是安全圈,仍然存在很多误解。
为了消除误解,真正认识到态势感知对我们当前的网络安全环境有什么意义,我们就来扒一扒,关于态势感知,我们有多少误解。
误解一:态势感知一词起源于网络安全领域
态势感知概念的产生最早源于军事需求。
“知己知彼,百战不殆”,这句话可以称得上是态势感知这个概念的精髓。在过去的几十年中,西方国家在太空和军事领域的态势感知研究与开发中,投入了大量的资源,所开发的态势感知系统主要是以光电监测为主的战术信息系统、导弹预警系统(反导态势感知系统)和太空飞行物监测系统等等。
直到上世纪末90年代,态势感知(Situation Awareness)才被引入到信息技术安全领域,并首先用于对下一代入侵检测系统的研究。其中最成熟的应用,当属美国爱因斯坦计划。爱因斯坦计划始于2003年,目的是让“系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁。”
误解二:态势感知是国内首先提出的概念
网络态势感知(cyberspace situational awareness,简称 CSA)最早是由Tim Bass在1999年提出的,所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。
值得注意的是,态势强调环境、动态性以及实体间的关系,是一种状态和趋势,一个整体和宏观的概念,任何单一的情况或状态都不能称其为态势。
误解三:态势感知专用于网络安全领域
态势感知不是网络安全领域的专用词汇。太空研究,核反应控制、国际关系等领域,都有态势感知的身影。
2016年7月,国际关系学院和对外经济贸易大学7月2日在北京发布其共同研究成果“国际安全态势感知指数”,这是国内第一份对国际安全问题进行量化评估的大数据评级指数,围绕安全外交理论与实践、领土冲突与国际安全秩序构建、跨境安全议题与全球治理三个框架。
当然,网络安全领域也是现在态势感知这个概念生根发芽的重要领域,在2015年,安全狗为客户量身打造的态势感知安全服务平台上线,成为国内较早开展态势感知平台开发和应用的先行者。
误解四:态势感知是SIEM的高级版
没有预测的态势感知,就不叫态势感知。Bass在态势感知最初的研究框架中就提出Close-the-loop的概念,既态势感知必须要有“评估”(Assessment) - “预测”(Forecast) - "可视化"(Visualization) - 和“联动”(Comprehension)四个环节,缺一不可。
没有对非结构化数据分析,也不能叫真正的态势感知。结构不一、而又相互关联的数据,就如同大脑接收到的不同信息(声音、气味等)。态势感知的其中一大作用,就是将这些数据的关联理清,这就需要用到数据挖掘和神经网络技术。
实现这一连串的计算,好比大脑调动神经元,处理无数信息,并不是件容易的事。既需要强大的算法模型,又需要可以做实时处理和计算的平台,将告警结果分析、输出。
也就是说,过去和现在不是态势感知的核心,能预判未来才是。
误解五:态势感知未来的最大价值在于监测
监测是只是态势感知的“幼年”阶段,态势感知这门技术、或者说是研究方向,还有巨大的空间亟待挖掘—— 包括与机器学习、人机交互的技术结合。就现阶段的态势感知安全产品和服务来说,它真正要做到的绝不止检测和告警,而是指导决策,和动态监测。
未来,态势感知需要模拟的是人的决策过程。可以预见,与人工智能的结合,通过API调用,形成强大的威胁情报网。从而对其它的安全产品“发出号令”,达到协同防御。事实上,态势感知“协同指挥”的意义,在早期已经明确。“协同态势感”知在军事领域中的英文概念是"Command Bridge",指对一个军事区的所有情况、威胁进行监测,然后迅速调动兵力做出相应。“协作”和“桥梁”作用,是态势感知不可缺少的功能。
安全狗的啸天·态势感知平台基于大数据安全分析机制,能发现潜在的入侵和攻击威胁,帮助企业建设安全监控和防御体系,以可视化的界面呈现,实现网络基础信息调查和采集、网络安全数据汇集与大数据预警。
啸天网络安全态势感知平台提供了这些功能:
1、安全监测:对网络安全态势进行全面监测工作;
2、通报预警:实时根据态势感知和扫描监测到的威胁和漏洞情况,开展预警和通报工作;
3、态势感知:提供对网络、应用、业务、资产等全面性的安全趋势分析和可视化展示;
4、追踪溯源:通过对威胁数据的智能聚类和关联挖掘,发掘有价值的威胁事件线索。
在虚拟化、云计算、BYOD、大数据带来变革与创新机遇的同时,黑客的进攻手段和安全防护技术也都经历着快速进化。随着大数据时代的到来,海量的数据不断在企业中流动,进入企业内部网络的途径也越来越多,黑客将会利用APT等更高级的定向式攻击,不断寻找出的网络“弱点”,并隐藏其中,随时发动致命的攻击。
但是,另一方面,大量数据的流动变化,也为我们寻找黑客的非法行为提供了蛛丝马迹,利用不断创新的大数据安全技术就可以做到“听其声、辨其形”,而网络安全“态势感知”也必将成为抵御未知威胁最锋利的武器。
往期精彩文章推荐:
