态势感知是什么？[学习].pdfVIP

态势感知是什么？ 态势感知的概念最早是由美国空军提出，是为提升空战能力，分析空战环境信息、快速判 断当前及未来形势，以作出正确反应而进行的研究探索。 上世纪 90 年代这个概念被引入了信息安全领域，最知名的 2003 年开始的美国的爱因斯坦 计划（正式名称国家网络空间安全保护系统 The National Cybersecurity Protection System）， 2013 年已经开始第三期的建设，美国 CERT 及后续 DHS （国土安全部）对态势感知进行了 不断探索。 美国国家安全系统委员会对态势感知的定义是：“在一定的时间和空间范围内，企业的安全 态势及其威胁环境的感知。理解这两者的含义以及意味的风险，并对他们未来的状态进行 预测。”态势感知是偏重于检测和响应分析能力的建设，这确实是现实最迫切的安全需要。 为什么需要态势感知？ 面对新的安全形势，传统安全体系遭遇瓶颈，需要进一步提升安全运营水平的同时积极的 开展主动防御能力的建设。 从美国对爱因斯坦计划的持续不断投入，可以看到网络空间安全的态势感知，对于国家、 行业有多么重要的意义。我国的网络安全形势非常严峻，截止 2016 年底，仅 360 公司就 累计监测到针对中国境内目标发动攻击的 APT 组织 36 个，最近仍处于活跃状态的 APT 组 织至少有 13 个，这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设 施的行业／企业。今年爆发的 WannaCry 勒索蠕虫，更让我们看到了网络武器民用化之后 可能造成的巨大灾害。 从现实中的网络安全建设看，多年来我们一直偏重于架构安全（漏洞管理、系统加固、安 全域划分等）和被动防御能力(IPS、WAF 、AV 等)的建设，虽取得了一定的成果，也遇到发 展瓶颈。简单通过购买更多的安全设备已经不能使安全能力有提升，需要进一步提升安全 运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基 础上，开始增加在非特征技术检测能力上的投入，以及事件响应分析能力的建设；并通过 对事件的深度分析及信息情报共享，建立预测预警并针对性改善安全系统，最终达到有效 检测、防御新型攻击威胁之目的。 正是因为这些现实的问题，习总书记才会在 4.19 讲话中明确提出建设“全天候全方位感知 网络安全态势 ”。 态势感知能干什么？ 网络安全与战争一样，本质是攻防双方的对抗，攻防之战，速度为王，作为防守方的目标 是缩短攻击者的自由攻击时间。态势感知系统的作用就是分析安全环境信息、快速判断当 前及未来形势，以作出正确响应。 “全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位， 可以理解为时间维度和检测内容维度。 在时间维度上，需要利用已有实时或准实时的检测技术，还需要通过更长时间数据来分析 发现异常行为特别是失陷情况。 在内容维度上，也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下 5 类检测能力，或者说至少 4 类（参照 Gartner ：Five Styles of Advanced Threat Defense ）： 基于流量特征的实时检测（WAF 、IPS、NGFW 等） 基于流量日志的异常分析机制（流量传感器、Hunting、UEBA） 针对内容的静态、动态分析机制（沙箱） 基于终端行为特征的实时检测(ESP) 基于终端行为日志的异常分析机制(EDR、Hunting、UEBA) “态”指是从全局角度看到的现状，包括组织自身的威胁状态和整体的安全环境，需要基于 之前提到的 5 种检测能力尽可能的发现攻击事件或攻击线索，同时需要对涉及到的报警提 供进一步的分析，回答以下的问题： 是真实的攻击吗？是否可能误报？是否把扫描识别为真实攻击？ 是什么性质的攻击？定向或者随机？ 可能的影响范围和危害 缓解或者清除的方法及难度 无法正确的回答这些问题，只是简单的将报警在地图上呈现就无法体现有现实价值的“态”， 无法确定是否可以进入处置流程。 “势”，即未来的状态。要能预测组织未来的安全状态，需要对现阶段所面临的攻击事件特 别是定向攻击事件有深入的了解： 是新的攻击团队还是已知团伙 攻击者的意图 攻击者的技战术水平及特点 是否属于一次大型战役的一部分 了解这些信息，同时通过信息和情报共享，对同行业或相似部门的相关此类信息也有所了 解，就能够预测未来可能处于的安全状态以及需要防御的重点，即预测预防能力。 谁能做态势感知？ 要完成态势感知的建设目标，需要具备以下三大核心要素：流量数据采集、威