态势感知
本章节主要整理网络态势感知(CSA,Cyberspace Situation Awareness)相关的知识。
什么是态势感知
首先于1995年,Endsley提出,主要指:在大规模网络环境中,对 能够引起网络态势发生变化的安全要素进行获取、理解、显示,并预测未来的发展趋势。[1]
从定义中可以看出,主要包含三个方面:
- 感知层(Perception)—— 数据提取
- 感知和获取环境中的重要线索和元素
- 理解层(Comprehension)—— 理解分析
- 整合感知到的数据和信息,分析其相关性,进行建模和评估
- 预测层(Projection)—— 态势预测
- 基于对环境的感知和理解(前面两层),预测相关知识(Knowledge,注意其与Information的区别)的未来发展趋势。
总体来说,态势感知不是值单个的产品,而是一个完整的解决方案——一个企业安全领域的,包含产品、服务,最终达到感知威胁并辅助安全管理和决策的一整套方案。
常见的模型
Part1:威胁探针 + 威胁情报(情报系统对于提升网络安全态势感知能力很重要)
Part2:安全感知平台(大数据、机器学习、威胁建模、行为分析)
Part3:威胁大屏展示(全面发现各种疑似、潜藏威胁)
为什么需要
渗透和攻击过程非常复杂,并且很多时候都“出人意料”,现有的安全系统大多采用模式识别(特征库匹配)的方式,比较机械,且误报率高,难以检测和防护。
因此,攻击行为分析是一个重要的方面。对于企业来说,具有专家知识的分析人员,对于企业的威胁感知和排查是非常重要的,但专家的人力成本以及现实因素的限制较大,如何使用机器去辅助并完成一部分分析、保障工作,结合专家经验呢?这就诞生了态势展示模型。
产品类型
关于网络安全产品的类型,IDC(国际数据,International Data Corporation,IDC)对其进行了最新的划分,主要是根据其应用领域来界定,产品形态策划成为了产品属性,并且更加多样化[1]:
- 网络安全
- 内容检测
- 互联网防护
- 端点安全
- AIRO(Analytics, Intelligence, Response, Orchestration)
- 身份与数字信任
- 应用安全与DevSecOps
- 平行市场
- ..
其中,威胁感知产品就是属于AIRO,AIRO类产品主要包括:
- 分析与情报
- SIEM和安全分析
- 威胁分析
- 威胁情报
- 欺骗(Spoofing)
- 响应
- 取证和应急响应(IR)
- 策略与合规管理
- 设备集中管理
- 策略集中下发
- GRC(Risk and Compliance,风险控制)
- 编排
- 脆弱性评估与管理
- NAC(Network access control,网络访问控制)
- 编排自动化工具(参考SOA部分)
References
[1] 也来聊聊态势感知(上),大兵说安全,https://mp.weixin.qq.com/s/dCGMfKsFzYaZiffjkBBYpg