什么是网络安全态势感知?

什么是网络安全态势感知?

态势感知(SA,Situational Awareness or Situation Awareness)是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。当前,大家提到“态势感知”时主要是指“网络安全态势感知”,即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态,识别出当前网络中存在的问题和异常活动,并作出相应的反馈或改进。通过对一段时间内的网络安全状况进行分析和预测,为高层决策提供有力支撑和参考。

网络安全态势感知的概念来源

态势感知的概念起源于20 世纪80 年代的美国空军,当时主要用于分析空战环境信息,对当前和未来形势进行分析,最终做出相应的判断和决策。后来经过不断发展和完善,形成相关理论体,已广泛应用于军事、航空、工业生产、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。

态势感知的概念比较抽象,我们举个例子来帮助理解:天气预报就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析,我们可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测,如台风、雾霾、暴雪等,对我们来讲尤为重要。通过提前进行人员和财产的转移,准备相关抗灾措施,可以大大降低灾害带来的影响,这就是进行“态势感知”的重要目的。

为什么网络安全态势感知很重要

随着网络与信息技术的不断发展,人们的安全意识在逐步提高。我们已经不再笃定认为自己的网络是绝对安全的,相反的,我们认为网络遭受攻击是必然的、常态化的。我们不能阻止攻击行为,但是可以提前识别和发现攻击行为,尽可能降低损失。也就是说,安全防护思想已经从过去的被动防御向主动防护和智能防护转变。

同时,物联网和云技术的发展也是日新月异,很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等,这都为我们提出了新的挑战,也对网络安全人员的能力也提出了更高的要求。

正是在这样的背景下,以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级,实现以下三个方面的转变:

  • 安全建设的目标从满足合规转变为增强防御和威慑能力,并且更加注重对抗性,这对情报技术提出了更高要求。
  • 攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。
  • 对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。
网络安全面临的新挑战
网络安全面临的新挑战

网络安全态势感知的应用场景

由于网络安全态势感知系统的建设复杂度和建设成本较高,所以当前主要应用场景还是在大型机构和大中型企业中。对于规模较小的单位,可以选择功能和架构相对简单、性能相对较弱的集成单一产品。

  • 政府机关:从国家维度或省市行政管理维度,对相关信息基础设施的网络安全态势进行管理和监控。
  • 大型行业:从行业体系维度,对行业内部系统的网络安全态势进行管理和健康。当前,网络安全态势感知的主要应用行业包括政务、金融、网络运营、教育等。
  • 大型机构或企业:从日常安全运维角度出发,对核心资产和业务系统的安全状态进行管理和监控。

如何评估态势感知的建设结果

网络安全态势感知的建设结果可以从如下几个方面进行评估:

  • 防御:利用掌握的情报和资产摸底信息,完善防御体系,消除资产风险。
  • 检测:提供网络安全持续监控能力,快速、精准地检测出安全威胁。
  • 响应:提供涵盖终端和网络的响应能力,支持攻击取证、事件溯源和威胁修复等。
  • 预测:通过对历史安全情况、现网流行攻击和情报系统进行综合研判,提供改进建议。

什么是态势感知的三个层级

Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然比较简单,但却是很多后续理论的基础,人们一般称该模型为Endsley模型(Endsley’s model)。

Endsley模型将态势感知分为三个层级,分别是态势要素感知、态势理解和态势预测。

  • 要素感知(Level 1):感知环境中相关要素的状态、属性和动态等信息。
  • 态势理解(Level 2):通过识别、解读和评估的过程,将不相关的要素信息联系起来,并关注这些信息对预期目标的影响。
  • 态势预测(Level 3):基于对前两级信息的理解,预测未来的发展态势和可能产生的影响。
Endsley模型
Endsley模型

华为的态势感知产品HiSec Insight

针对金融、网安、政府、运营商等大、中、小型企业,华为推出基于大数据的APT防御产品HiSec Insight高级威胁分析系统(简称HiSec Insight)。HiSec Insight能够采集网络中的海量基础数据,如网络中的流量、各类设备的网络日志和安全日志等,通过大数据分析和机器学习技术,识别网络中的潜在威胁和高级威胁,从而实现对全网的安全态势感知。

高级威胁检测

HiSec Insight基于机器学习和大数据平台,可以快速、准确地实现边界和内网的高级威胁检测。

  • 基于多源数据分析,包括原始流量、日志、Netflow等信息。
  • 基于多种异常检测模型,包括加密流量检测、WEB异常检测、邮件异常检测、C&C异常检测和隐蔽通道检测等模型。
  • 覆盖高级威胁的整个攻击链,包括资源侦查、外部渗透、命令与控制、内部扩散和数据外发等过程。

全网安全态势感知

HiSec Insight对网络中的攻击、威胁、漏洞和资产执行动态整合,通过大数据处理及整合能力,从全局视角为用户提供网络安全状态。通过图形化攻击溯源,展示完整的攻击路径,为后续的决策及行动提供一个有效、直观的参考。

  • 综合安全态势:通过威胁地图、资产风险、漏洞、威胁源和安全资讯等信息多维度呈现全网安全态势。
  • 内网安全态势:呈现内网安全相关的威胁事件、失陷主机、外联端口TOP和外联流量趋势等信息。
  • 网站安全态势:呈现网站相关的威胁事件、漏洞、威胁源TOP、威胁类型分布和访问趋势等信息。
  • 资产安全态势:呈现资产的漏洞分布、风险排行、高危端口分布和资产类型分布等信息。
  • 脆弱性态势:呈现漏洞数量统计、漏洞分布、资产高危漏洞TOP、漏洞趋势和漏洞类型等信息。
  • 威胁事件态势:呈现热点事件、威胁事件统计、威胁事件类型TOP和实时威胁事件等信息。
  • 围绕“攻击者”的画像分析:呈现攻击者的信息、攻击链、攻击趋势和攻击相关的事件等信息。
  • 围绕“失陷主机”的画像分析:呈现资产的风险、指纹信息、资产的漏洞和发生的威胁事件等信息。

安全响应联动

HiSec Insight基于智能检索,可以快速、准确地实现调查回溯。同时,结合HiSec安全解决方案可以实现网络安全协同,从单点防御转变为到全局防御,最终实现威胁自动处置,达到快速阻断威胁的目的。

  • 支持通过关键字对日志和原始流量进行快速检索。
  • 基于攻击链进行事件调查,支持关联原始流量并下载对应的PCAP文件,方便网络取证。
  • 支持与终端EDR协同调查取证,快速确认终端感染范围。
  • 支持与网络控制器、安全控制器、防火墙和终端EDR进行联动响应。
  • 支持基于安全数据源或安全事件的响应编排功能,实现自动响应闭环。

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/293150.html

(0)
上一篇 2022年11月15日
下一篇 2022年11月15日

相关推荐

发表回复

登录后才能评论