态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以 安全大数据 为基础,从全局视角提升对安全威胁的 发现识别、理解分析、响应处置 能力的一种方式,最终是为了决策与行动,是安全能力的落地。态势感知的概念最早在军事领域被提出,覆盖 感知、理解和 预测 三个层次。并随网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”。旨在大规模网络环境中对能够引起网络态势发生明显的变化的安全要素进行获取、理解、显示以及最近发展的新趋势的顺延性预测,进而进行决策与行动。(获取、理解、显示、预测、响应)态势感知(SA,Situational Awareness or Situation Awareness)是对一段时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。当前,大家提到“态势感知”时主要是指“网络安全态势感知”,即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态,识别出当前网络中存在的问题和异常活动,并作出相应的反馈或改进。通过对一段时间内的网络安全状况做分析和预测,为高层决策提供有力支撑和参考。态势感知的概念比较抽象,我们举个例子来帮助理解:天气预报 就能够理解为一种“态势感知”。通过对某一地点的持续观测和分析,我们大家可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测,如台风、雾霾、暴雪等,对我们来讲特别的重要。通过提前进行人员和财产的转移,准备相关抗灾措施,可以大幅度降低灾害带来的影响,这就是进行“态势感知”的重要目的。具备威胁调查 分析及可视化 能力,可以对威胁相关的影响区域、攻击路径、目的、手段进行快速判断出,从而支撑有效的安全决策和响应;能够建立安全 预警 机制,来完善风险控制、应急响应和整体安全防护的水平。通俗来讲,态势感知从时间概念上可以被理解为:刚才发生了什么,现在应该做什么,接下来会发生啥,也就是态势感知的根本任务,了解昨天、思考今天,预测明天。态势感知的目的是,全天候全方位 地感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全有着非常强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。现阶段面对传统安全防御体系失效的风险,态势感知能够 全面 感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。随网络与信息技术的持续不断的发展,人们的安全意识在慢慢地提高。我们已不再笃定觉得自身的网络是绝对安全的,相反的,我们大家都认为网络遭受攻击是必然的、常态化的。咱们不可以阻止攻击行为,但是能提前识别和发现攻击行为,尽可能降低损失。也就是说,安全防护思想 已经从过去的 被动防御 向 主动防护 和 智能防护 转变。同时,物联网和云技术的发展也是日新月异,很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等,这都为我们提出了新的挑战,也对网络安全人员的能力也提出了更高的要求。正是在这样的背景下,以网络安全态势感知技术为核心的产品和解决方案得到加快速度进行发展。网络安全态势感知技术能带动整个安全防护体系升级,实现以下三个方面的转变:安全建设的目标从满足合规转变为增强防御和威慑能力,并且更看重对抗性,这对情报技术提出了更加高的要求。攻击检测的对象从已知威胁转变为 未知威胁 ,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。
三、态势感知系统的功能检测:提供网络安全持续监控能力,及时有效地发现各种攻击威胁与异常,特别是针对性攻击。分析、响应:建立威胁可视化及分析能力,对威胁的影响区域、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技术、攻击工具等信息。防御:利用掌握的攻击者相关目的、技术、攻击工具等情报,完善防御体系。四、如何评估态势感知的建设结果?网络安全态势感知的建设结果能从如下几个维度进行评估:防御:利用掌握的情报和资产摸底信息,完善防御体系,消除资产风险。检测:提供网络安全持续监控能力,快速、精准地检测 出安全威胁。响应:提供涵盖终端和网络的 响应 能力,支持攻击取证、事件溯源和威胁修复等。预测:通过对历史安全情况、现网流行攻击和情报系统来进行 综合研判 ,提供改善建议。五、什么是态势感知的三个层级Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然最简单,但却是很多后续理论的基础,人们一般称该模型为Endsley模型(Endsley’s model)。Endsley模型 将态势感知分为 三个层级 ,分别是态势要素感知、态势理解和态势预测。要素感知(Level 1):感知环境中相关要素的状态、属性和动态等信息。态势理解(Level 2):通过识别、解读和评估的过程,将不相关的要素信息联系起来,并关注这一些信息对预期目标的影响。态势预测(Level 3):基于对前两级信息的理解,预测未来的发展形态趋势和可能会产生的影响。
四、业界的态势感知产品1. 安全狗 - 啸天安全大数据及态势感知平台2. 华为的态势感知产品 - HiSec Insight针对金融、网安、政府、运营商等大、中、小企业,华为推出 基于大数据 的APT防御产品 HiSec Insight高级威胁分析系统(简称HiSec Insight)。HiSec Insight能够 采集网络中的海量基础数据 ,如网络中的流量、各类设备的网络日志和安全日志等,通过 大数据分析和机器学习技术 ,识别网络中的潜在威胁和高级威胁,以此来实现对全网的安全态势感知。高级威胁检测HiSec Insight基于机器学习和大数据平台,能够迅速、准确地实现边界和内网的高级威胁检测。基于 多源数据分析,包括原始流量、日志、Netflow等信息。基于 多种异常检测模型,包括加密流量检测、WEB异常检测、邮件异常检测、C&C异常检测和隐蔽通道检测等模型。覆盖高级威胁的 整个攻击链,包括资源侦查、外部渗透、命令与控制、内部扩散和数据外发等过程。3. 百度智能云 - 昊天镜智能风控4. IBM - QRadar XDR借助情报,自动执行使用专门构建的 AI 和预构建的手册节省充实、关联和调查威胁信息所需的时间,包括 自动最终的原因分析 和 MITRE ATT&CK 映射 。 通过 自动分类 和 智能语境化 将调查速度提高 60 倍。补充:根本缘由分析可以综合运用一系列原理、技巧和方法来找出 某个事件或趋势的最终的原因 。RCA 可以透过表层的因果关系,显示流程或系统最初在哪个环节出现故障或造成问题。根本缘由分析的 第一个目标 是发现问题或事件的最终的原因。第二个目标 是全面了解如何修复、弥补最终的原因内的深层问题,以及如何吸取教训。第三个目标 是将从分析中获得的见解应用到实践中,从而以系统化方式预防很多问题,或者再次运用成功的做法。联合起来,提高可视性与领先专家共同设计的简单 XDR 工作流程,通过消除孤岛并统一输入和共享洞察,帮助加快警报分类、威胁搜寻、调查和响应。与现有工具集成一个大型开放式 XDR ECO将您的 EDR、SIEM、NDR、安全统筹与自动化响应 (SOAR) 以及威胁情报解决方案整合起来,同时将数据留在原处,并利用您当前的环境。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
7月补发,上海工龄40年,养老金10000,能月增500、补3500元吗?
ESG Weekly两部门:加大对煤电低碳化改造建设项目的支持 中国南方电网加强同乌兹别克斯坦绿色能源合作
技嘉推出 C500 PANORAMIC STEALTH 全视海景房机箱,支持背插主板