安全态势感知系列之二

一个小故事，让人更直观理解态势感知的定义：“态势”不是“事件”， “小李，隔壁老王趁你上班去你家了”—— 这是事件； “小李，我感觉隔壁老王看你老婆的眼神不太对，你要多关注” —— 这是态势； 所以可以说，事件是必然性的结果，即便是预测事件也应该是精确度较高的一种推测 —— 这更像是用数学公式推算出一个确定性的数字。而态势是趋势，加上感知两个字后那就是对趋势的预测。

传统网络安全包含环境建设、防火墙、防病毒等设施建设、业务应用系统的数据安全、应用授权与认证等，但现在产生的问题是传统安全设备无法发现APT攻击，信息泛滥，海量数据堆积，运维人员疲于应付，时至今日边界隔离、单点防御已近乎失效。网络中部署的安全产品彼此孤立，无法呈现整网安全态势，发生攻击事件之后缺乏攻击还原手段，管理员无法有效追踪和定责。

随着技术的迅猛发展IT基础设施正在不断发生着变化，企业的安全运营思路甚至是安全体系，也应重新构建。企业安全防御的重点，应从过去的被动的围墙式，过渡到主动、动态对抗的检测和响应上。我们每天都会面对新出现的安全漏洞，企业安全保障需要对检测和响应做更多投入，而不是试图完成不可能的完美防护目标，传统特征检测面对未知威胁的失效。网络安全已经由过去的“90%防护+10%检测与响应”变成了“60%防护+40%检测与响应”。新型传感器、不同的数据源、分析工具以及操作需求推动着整体安全技术向更全面的事件驱动软件架构变革。企业应利用大数据、威胁情报、行为分析等技术，帮助组织对来自内/外部的安全威胁进行研判和溯源，安全运营中心(SOC)的建设正逐步成为大部分企业安全能力建设的重心，包括安全预防、持续监测、快速响应、溯源取证和风险预警这五方面的能力建设。

安全态势感知

目前企业IT系统安全面临的困境：

1、落后的边界隔离理念Vs灵活多变的渗透技术

2、日益臃肿的攻击特征库Vs专业智能的HaaS服务

3、一片祥和的监控页面Vs暗流涌动的隐蔽信道

传统的安全风雨体系已经千疮百孔，没有安全事件和告警不等于没有被攻击者盯上和攻击。对于多元、异构的安全数据，如何从中采集出足够且有效的安全要素，再通过关联分析和数据挖掘，获得当前网络局部或整体的安全态势信息，并利用历史数据和相关模型进行态势预测，是今日安全行业“态势感知”所需具有的重要能力。在特定系统环境中，对能够引起系统状态发生变化的要素进行获取、理解、显示以及预测未来的发展趋势，就是目前通常的态势感知的定义。

态：势态可评估，全局安全状态评价、攻击/资产威胁评价、合规状态自检评价；

势：趋势可预测，攻击趋势分析预测、异常流量/行为趋势判断、安全趋势预测算法模型；

感：风险可感应，云端未知威胁识别、多维度风险可视化、异常流量行为可监控；

知：知行合一可管控，协同联动策略下发、攻击溯源取证、工单流转闭环管理；

分析国内外知名的安全事件，发现事后总是能够找到黑客渗透和窃密的蛛丝马迹，一次成功的渗透和攻击过程，包含了复杂的信息搜集、攻击尝试、控制跳板、移动提权、信息回传过程。“智者千虑必有一失”，即使最聪明的天才也难免会留下可供防御者研究和分析的痕迹：

1、访问目的不同 页面访问规律，信息输入方式异于常人…

2、访问逻辑不同 数据包特征、网络行为特征存在差异…

3、访问结果不同 产生非必要的流量、导致目标系统异常…

传统的安全设备、软件和系统对此无能为力，因为它们并不懂得这些违规和异常的意义和逻辑，只是单纯的依赖特征库匹配进行着机械式的拦截/放行判断，无法去有效判断敌人，防护也无从说起。当然，这些痕迹若是给有经验的安全技术专家，很可能可以熟练地从海量信息中分析出来，但我们又不可能一直依靠专家24小时进行攻击分析。因此可见问题的关键在于，如何将技术保障系统的不眠不休与安全专家的分析能力结合起来。这一点，所有厂商都有了共同的认知，那就是基于大数据分析实现安全监测预警。

大数据安全分析

安全态势感知包括以下几个核心的方面：

资产感知是态势感知的基础，它首先界定了受保护网络的范围和内容，同时也为其它几个维度的感知提供了依据。在419讲话中，提到了要“摸清家底”，其中就包括要感知资产信息。譬如要知道受保护网络中都有哪些设备，责任人是谁，用了什么操作系统，安装了哪些软件和应用，什么版本，用到了哪些组件，打了哪些补丁，等等。

运行感知是指全面掌握受保护网络的运行状况，包括机房的运行状况、网络的运行状况、主机和设备的运行状况、应用和业务的运行状况、数据的存储和流转状况。这里的运行状况不仅包括可用性和性能、业务连续性，还包括运行的规律，譬如某个业务系统被访问的时间分布、协议分布、访问来源分布、访问量分布，等等。

漏洞感知顾名思义就是要掌握当受保护网络的漏洞情况，并维护所有资产漏洞的生命周期信息。419讲话中，反复提到“漏洞”，要求“找出漏洞”。通过漏洞感知，评估当前网络的暴露面，并结合现有防护措施，分析可能的攻击面和攻击路径，协助管理者提前进行安全布防，及时堵住安全漏洞，从而控制安全风险。

威胁感知是从攻击者的视角来分析当前受保护网络可能遭受的潜在危害，譬如：可能有哪些组织、利用什么僵尸网络和肉机，对我们的哪些资产，利用什么安全漏洞或者攻击手段，进行什么样的攻击和入侵，可能会留下什么痕迹，造成多么严重的后果。

攻击感知则是持续不断地收集当前网络中的攻防对抗数据，一方面实时展现当前网络中的攻防对抗实况，另一方面借助历史攻击信息分析潜藏的高危攻击行为和威胁信息，并协助安全分析师抽取高价值的威胁情报。

风险感知其实层次在前面五种感知之上。风险感知要综合前面五种感知的信息，进一步进行数据融合，从抽象的高度来评估当前网络的整体安全风险，譬如建立全网的安全风险指标体系。风险感知的所有感知的综合，正如419讲话中提到，“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”，要“认清风险”。

态势感知的三个级别

网络安全态势感知包括三个级别，第一是能够感知攻击的存在；第二是能够识别攻击者，或攻击的意图；最高级别是风险评估，通过对攻击者行为的分析，评估该行为（包括预期的后续动作）对网络系统有什么危害，从而为决策提供重要的依据。越来越多的设备接入互联网，所产生的数据量是非常庞大的，大数据所蕴含的价值是无穷的，我们可以利用大数据进行商业价值分析，攻击者也可以利用大数据进行破坏。而态势感知在我看来，就是大数据与安全防护的结合。

面对网络安全，没有人可以独善其身，也没有人可以单独为之，构建态势感知系统也不例外。它是一个复杂的系统工程，需要将各种安全技术、产品和能力连接到一起，形成一个生态系统。基于大数据的全网安全态势感知技术是未来信息安全发展的一个方向。如今信息安全所面临的威胁和挑战已经上升到了更高的层面，网络战早已不再是传说，这给安全防护带来了非常大的挑战，在大规模的APT攻击下，没有哪家企业和个人能够抵御住如此规模的攻击，因此，安全防御也需要做到全网联动、共同防御。在国家政策和领导的指导下，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。如今“态势感知”是网络空间安全领域聚焦的热点，代表了当前网络安全攻防对抗的最新趋势。