SOAR技术文章 从态势感知到全方位态势感知

Ming · 2022年07月01日 · 1608 次阅读

1      引言 随着 2016 年的 419 讲话中提到要 “全天候全方位感知网络安全态势”,在安全业界,“态势感知” 骤然变成了热词。到现在,几乎所有的国内安全厂商都推出了各自的态势感知产品或者解决方案。

作为一名从事安全管理平台领域十几年的业内人士,本人早就开始接触态势感知这个词了。

早在 2003 年,我当时作为主要参与者参加了《多信息源智能化安全强审计系统》和《网络安全管理和预警防御系统》两个 863 项目,里面就对态势感知进行了研究,重点是将这个理论应用到安全管理平台(SOC)中去。从那时开始,我对态势感知的研究一直是围绕安管平台(SOC)展开的。

2010 年,我还写过一篇题为《网络安全态势感知在安全管理平台中的应用研究》的文章 在期刊上发表过,迄今被引用过 10 次,我的博客上有这个文章摘录,可以 参阅( http://yepeng.blog.51cto.com/3101105/571109)。

我认为,在 419 之后,我们再谈态势感知,跟之前我们谈态势感知的背景、意义、目标就不一样了。从那时候开始,我又重新进行了一系列思考,也做了一些实践。从这个文章开始,我将我 2016 年初到现在一年多的思考做一个初步的总结,形成新态势感知系列,与大家一同探讨。

2      经典态势感知 其实,态势感知的理论早在 80 年代就基本成形了。到 90 年代末,态势感知被 Tim Bass 引入了网络与信息安全领域,并首先用于对下一代入侵检测系统的研究,出现了网络安全态势感知(Network Situation Awareness),或者安全态势感知(Security SituationAwareness)的概念。进入 21 实际,又出现了网络空间态势感知(Cyber Situational Awareness)的提法。

以下是有关安全领域的态势感知的几个经典定义。

定义 1(Endsley,1995):态势感知是指在一定时空条件下,对环境因素的获取、理解和对未来的预测。

定义 2(美国国家科技委员会,2006):网络空间态势感知是一种能力,用以达成四个目标:1)理解并可视化展现 IT 基础设施的当前状态,以及 IT 环境的防御姿态;2)识别出对于完成关键功能最重要的基础设施组件;3)解对手可能采取的破坏关键 IT 基础设施组件的行动;4)判定从哪里观察恶意行为的关键征兆。网络空间态势感知包括了对离散的传感器数据的归一化、一致化和关联,以及分析数据和展示分析结果的能力。态势感知是信息保障的内在组成部分。

摘自:美国网络空间安全与信息保障研发计划,2006

定义 3( 维基百科):态势感知是指一定时间和空间内环境因素的获取,理解和对未来短期的预测。

定义 4:所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。

定义 5(Springer,2010):网络空间(防御)态势感知涵盖态势识别、态势理解和态势预测三个阶段,并至少包括 7 个方面的内容:态势认知(situation perception)、攻击影响评估(impact assessment)、态势跟踪(situation tracking)、对手趋势和意图分析、态势因果关系与取证分析、态势信息质量评估、态势预测。

定义 6(Gartner,2011):态势感知是对威胁情报及资产漏洞信息的集成和分析,形成一幅对业务系统安全状态的准实时视图。包括四方面的能力:1)资产状态信息的收集——包括资产的配置状态、漏洞状态、连接情况和关键度;2)威胁行为信息的收集——包括外部威胁行为、用户行为、对手的信息,以及目标参数的风险级别;3)分析——支持风险估计、响应优先级划分、调查与即席查询;4)汇报——包括长期存储,以及预置和即席报表生成。

上面的这些定义都比较学术化和晦涩。在数年之前,我曾经提出过一个通俗地理解态势感知的四句话:

感:就好比人的形声闻味触,通过多种途径采集多种安全信息的过程,传感之意

知:就是对采集到安全要素信息进行理解、认知、研判,将信息变成知识和智慧的过程

态:目标系统当前的安全状态

势:目标系统的安全运行规律、动向,未来的安全走势

态势感知是一个过程,而绝不仅仅是一个可视化呈现。这个过程其实就是一个态势要素信息获取、分析、呈现、反馈的决策过程,也是态势从数据到信息再到知识和情报(洞察)的升华过程。

围绕经典的态势感知,在过去的十几年间,国内学术界已经进行了广泛深入的研究,在安全产业界也进行过不少探索和尝试,譬如我所负责的安管平台在 10 多年前就推出了态势感知功能模块。

那么,我们现在提态势感知,跟以前提态势感知有何不同呢?我认为,现在的态势感知是为了应对新形势下网络空间安全挑战提出来的。它不仅仅是一套技术,更是一个全新的安全建设思路、安全运作体系,体现了一系列安全防护体系构建思路的转变。

3      新态势感知 3.1    新形势、新挑战、新体系 当前网络与信息安全领域日新月异,正面临着全新的挑战。一方面,大智物移云等颠覆性的技术引入使得安全问题更加凸显,安全的攻击面更大,安全的重要性越发重要。另一方面,国家、企业和组织需要应对的网络空间安全攻击和威胁变得日益复杂和严峻,具有隐蔽性强、潜伏期长、持续性强的特点。当前我国网络安全产业正处于转型升级期。

现在,人们普遍形成了一个共识,就是:我们必须假定我们的网络已经遭受入侵。我们必须在这个假设前提上来构建全新的安全防护体系。安全防护体系的构建思想已经从过去的被动/消极防御逐步迈向主动/积极防护和智能/自适应防护,从单纯防御走向积极对抗,从独立防护走向协同防护。

419 讲话中的态势感知就是在这样一个大背景下提出来的。并且在讲话中,提到 “感知网络安全态势是最基本最基础的工作”。如何理解 “最基本最基础” 这六个字?一般的感觉都认为态势感知是高大上的东西,为何反倒成了最基本的能力了呢?

我个人认为,很重要的一点,就是国家希望构建态势感知体系来带动整个安全防护体系的技术转型升级。这种技术升级包括三个方面:

1)  安全建设的目标从注重合规转向更加注重对抗。对抗就强调要知己知彼,要应用安全情报;

2)  攻击检测技术从知所已知转向知所未知。譬如借助沙箱、异常分析、机器学习等技术;

3)  响应处置过程从看见看清转向快速闭环。强调应急响应、安全自动化,实现所谓安全弹性。

注意,上述转变升级不是后者取代前者的关系,而是叠加增强的关系!

3.2    国家对于态势感知的表述 在 419 后,国家把态势感知的建设放到了十分重要的位置。

在×××2016 年底发布的十三五国家信息化规划中,作为十大任务之一的 “健全网络安全保障体系” 中就明确提出要 “全天候全方位感知网络安全态势”。

紧接着,工信部的《信息产业发展指南》2016-2020 中,提出 “建设基于骨干网的网络安全威胁监测处置平台,形成网络安全威胁监测、态势感知、应急处置、追踪溯源等能力”。

在 2017 年的 217 讲话中,又提出 “要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护”。

透过这些信息至少看出来,态势感知已经成为国家工程。态势感知属于网络与信息安全保障体系的范畴,并且是关键和基本组成部分;态势感知技术与监测预警、应急响应、安全情报、大数据等技术密切相关;态势感知适用于多种网络环境,从骨干网、关键基础设施,到工业互联网和物联网,再到党政机关内部网络。

3.3    新态势感知 综上所述,本人提出了在新形势下对于态势感知的认识和理解,分为以下三个部分:

1)态势感知形形×××、不尽相同,但最重要的是 “全天候全方位态势感知”

这里,“全天候” 是指 7×24 持续不间断地对受保护网络进行监测和感知;“全方位” 是指要从资产感知、运行感知、漏洞感知、威胁感知、攻击感知和风险感知 6 个维度去全面感知网络态势。

全天候包括了平时和战时,包括了日常安全运维和重大活动保障,包括了生产环境和办公环境。全方位包括了形成态势的 6 大类关键要素信息,也即获得全方位态势感知的 6 个基础数据。

资产感知是态势感知的基础,它首先界定了受保护网络的范围和内容,同时也为其它几个维度的感知提供了依据。在 419 讲话中,提到了要 “摸清家底”,其中就包括要感知资产信息。譬如要知道受保护网络中都有哪些设备,责任人是谁,用了什么操作系统,安装了哪些软件和应用,什么版本,用到了哪些组件,打了哪些补丁,等等。

运行感知是指全面掌握受保护网络的运行状况,包括机房的运行状况、网络的运行状况、主机和设备的运行状况、应用和业务的运行状况、数据的存储和流转状况。这里的运行状况不仅包括可用性和性能、业务连续性,还包括运行的规律,譬如某个业务系统被访问的时间分布、协议分布、访问来源分布、访问量分布,等等。

漏洞感知顾名思义就是要掌握当受保护网络的漏洞情况,并维护所有资产漏洞的生命周期信息。419 讲话中,反复提到 “漏洞”,要求 “找出漏洞”。通过漏洞感知,评估当前网络的暴露面,并结合现有防护措施,分析可能的攻击面和攻击路径,协助管理者提前进行安全布防,及时堵住安全漏洞,从而控制安全风险。

威胁感知是从攻击者的视角来分析当前受保护网络可能遭受的潜在危害,譬如:可能有哪些组织、利用什么僵尸网络和肉机,对我们的哪些资产,利用什么安全漏洞或者攻击手段,进行什么样的攻击和入侵,可能会留下什么痕迹,造成多么严重的后果。

攻击感知则是持续不断地收集当前网络中的攻防对抗数据,一方面实时展现当前网络中的攻防对抗实况,另一方面借助历史攻击信息分析潜藏的高危攻击行为和威胁信息,并协助安全分析师抽取高价值的威胁情报。

风险感知其实层次在前面五种感知之上。风险感知要综合前面五种感知的信息,进一步进行数据融合,从抽象的高度来评估当前网络的整体安全风险,譬如建立全网的安全风险指标体系。风险感知的所有感知的综合,正如 419 讲话中提到,“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险”,要 “认清风险”。

态势感知讲究的是 “知己知彼,百战不殆”。而资产感知、运行感知、漏洞感知就是为了知己;威胁感知就是为了知彼。如果说知己是为了掌握我情,知彼是为了掌握敌情,那么攻击感知就是为了掌握战情。

上述 6 个维度的态势感知是相互依托,互为补充的。只有将这 6 个维度统一起来才能构建真正的全方位态势感知。

特别需要指出的是,威胁/攻击态势感知不等于全方位态势感知!网站态势感知也不是全方位态势感知!现在有些人提及的态势感知其实仅仅是威胁感知或者攻击感知,抑或是漏洞感知,还都仅仅是态势感知的某个方面(维度),而不能代表全部。有的人在阐述威胁感知的时候,也提到了全方位,强调从多种维度(譬如数据来源维度、检测技术维度)去感知攻击和威胁,但这还只能是威胁/攻击感知,而不是全方位态势感知。还有的人仅仅针对某类资产进行态势感知,譬如提出了所谓终端感知、网站态势感知,等等,也都是片面的态势感知,无法为管理者呈现一幅全方位的、融合所有安全要素的态势全景图。在后续文章中会专门加以阐述。

2)一个完整的态势感知系统实现必须是 “平台 + 传感器 + 团队” 三位一体

态势感知系统不仅仅是一个技术实现,也不仅仅是软件和硬件,他是一个系统工程,体现了各类安全设备和系统之间的机机协同,还包括人机协同。在这里,态势感知平台是整个系统运转的大脑,是数据融合中心、数据分析中心、决策指挥中心;态势感知传感器是获取全面安全要素信息的抓手和神经节点;态势感知支撑团队则是系统发挥实效的指挥官、决策者和关键保障;三者相互支撑、缺一不可。在当前条件下,安全的核心是对抗,对抗过程具有很大的不确定性,而对抗的背后本质上还是人与人之间的对抗。所以,人的参与必不可少。

3)态势感知是一个生态体系

网络安全的生存理论告诉我们,面对网络安全,没有人可以独善其身,也没有人可以单独为之,构建态势感知系统也不例外。它是一个复杂的系统工程,需要将各种安全技术、产品和能力连接到一起,形成一个生态系统。

态势感知系统必须是一个开放的系统:传感器要开放,要能支持各种类型、各种厂商的传感器;平台要开放,对下要能接入各种传感器信息,对上能够面向所有厂商提供各种分析和展示的接口,能够集成各种第三方的分析算法和展示界面;支撑团队要开放,通过 SOP 和规范化的交互式分析流程,使得各种符合标准规约的分析与运维团队都能参与到态势感知系统的运营中来。

4      小结 态势感知这个概念源于国外,传入国内后也经历了较长的时间,在 419 讲话后被赋予了新的内涵,外延也更加广泛。态势感知国内的重新兴起代表了国内数字时代安全防护理念的转型升级,给国内安全产业带了新的发展契机。

要真正实现全天候全方位的态势感知,就必须从态势感知的各种要素信息入手,从构成安全风险的各种要素信息入手,就必须要同时实现资产感知、运行感知、漏洞感知、威胁感知、攻击感知,以及在此之上的全面风险感知,并且所有的感知都必须是持续的、不间断的。态势感知不仅仅是看见,还包括决策和响应。有效的态势感知是要能够形成闭环的态势感知。

【参考】

 具备安全态势感知能力的安全管理平台

©著作权归作者所有:来自 51CTO 博客作者叶蓬的原创作品,如需转载,请与作者联系,否则将追究法律责任 新态势感知系列(1):从态势感知到全方位态势感知 https://blog.51cto.com/yepeng/1966070

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册