态势感知的概念与技术实现
态势感知的概念与技术实现
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
概念介绍
态势感知的最早提出覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
背景介绍
“态势感知(Situation Awareness,SA)”严格说并不是一个新名词。早在20世纪80年代,覆盖感知(感觉)、理解和预测三个层次。90年代,态势感知的概念开始被逐渐被接受,并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”,是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,而最终的目的是要进行决策与行动。
现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。
态势感知系统应该具备网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应;能够建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平。
提出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”,随着《网络安全法》和《国家网络安全战略》的相继出台,态势感知被提升到了战略高度,众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统,以应对网络空间安全严峻挑战。
如今,“态势感知”已经成为网络空间安全领域聚焦的热点,也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现,更代表了当前网络安全攻防对抗的最新趋势。
应用方向
大型行业:从体系内部建立态势感知,应用于内部系统的安全运营,发现重要威胁,解决问题,把安全能力落地;通过态势感知对多分支或二级单位进行外部监管,以提升整体的安全状态的掌握,同时与监管机构进行事件应急处置及威胁情报的合作。
机构或企业:从日常安全工作角度出发,对内部有价值的核心资产、业务系统安全状态进行感知,发现各类威胁与内部异常违规,保证业务系统能够比较平稳、顺畅地运行。
建设目的
- 检测:提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。
- 分析、响应:建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。
- 预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息。
- 防御:利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系。
应用价值
- 应对关键性威胁:快速发现失陷主机;全面的Web安全保障。
- 提升分析研判能力:分析研判保障事件正确响应处置、逐步完善防御架构;依赖外部威胁情报和本地的流量日志进行有效的分析研判。
- 信息与情报共享:实现本行业、本领域的网络安全监测预警和信息通报;研判分析和情报共享是预警、预测的基础。
- 履行行业监管职责:边界流量探针、云监控和外部情报监测等优选检测手段,实现对行业的监管。
国内态势感知厂商的产品分类
国内态势感知厂商的产品从技术实现上来分的话,大体上可以分为基于流量态势感知、基于SIEM态势感知、基于产品集成态势感知三种类型,每种类型都有各自的优势与劣势,下面就来逐一的介绍一下。
一、基于流量的态势感知产品
基于流量的态势感知产品本质上是安全威胁检测+态势感知大屏,利用传统的基于特征安全检测技术,融合一些威胁情报、沙箱或者机器学习算法,来提高安全检测的深度,通过告警合并、攻击链等分析技术优化安全告警后进行可视化展示。
这类态势感知产品实质上还是基于流量的检测设备,其发挥的作用和技术优势与IDS、WAF并没有什么本质区别,只是加上比较炫的态势感知大屏而已。
这类产品的优势是部署非常方便,可以高效利用检测与威胁情报能力,但资产、日志、漏洞接入与关联分析能力弱,无法很方便地对安全事件进行追踪溯源,对重检测轻分析的用户来说是最好的选择。
二、基于SIEM的态势感知产品
基于SIEM的态势感知产品本质上是日志审计+安全分析+态势感知大屏,通过自身的日志解析、处理与分析来展示安全威胁与事件,利用关联分析、威胁情报、机器学习算法来降低安全告警数量与误报,融合资产、漏洞等上下文信息对网络安全整体态势进行可视化展示。
与基于流量的态势感知产品特点正好相反,这类态势感知产品本身并不具备安全威胁检测能力,需要接入其它安全设备的告警日志来进行二次加工与分析。这类产品的优势是展示要素比较丰富,资产、漏洞、威胁、告警只要接入数据进来都可以展示,并且可以作为安全运维人员日常安全监控平台,方便安全事件追踪溯源。
这类态势感知产品的缺点也是比较明显的,首先是接入各种日志实施复杂度与成本比较高,自身检测能力薄弱对其它安全设备有依赖,安全事件追踪溯源与分析对人的能力有一定的门槛要求。
三、基于产品集成态势感知产品
基于产品集成态势感知更像是一种解决方案,其将自家或联盟方某几款产品(FW、WAF等)作为探针,再将告警集中到态势感知平台进行大屏展示,类似于打包的整体态势感知解决方案。
这种态势感知产品/解决方案比较适合在整体网络安全建设中应用,优势是安全探针与态势感知平台整合比较好,在威胁检测、安全分析与可视化展示方面已经进行了优化,并且态势感知平台很方便与探针设备进行联动。
这类态势感知产品/解决方案对于第三方设备兼容性是致命弱点,如果存在或者要新增其它品牌安全设备,默认不支持其它品牌的话定制化成本很高,这对于已经有一定安全基础的用户来说适用性会比较差。
所有态势感知类产品都没有百分之百完美的,不同行业用户态势感知的需求关注点也不同,在实施态势感知项目前先想清楚自身需求比较关键,毕竟适合自己的才是最好的。
多数据类型支持
通过智能分析企业的海量系统日志、WEB 日志、设备日志、及流量动态,探测企业安全状态和威胁来源,进行实时保护。
威胁情报驱动
针对目前国内的态势感知厂商排名,其实并没有什么先后排序的,因为大家的产品特点都不同,方向也不一样,自然也就没办法做态势感知厂商对比,没有说态势感知产品哪家厂商做的好,只能用户先了解自身的需求,再来和态势感知厂商沟通,最终确定一个比较合适的执行方案,毕竟量身定做的才是最好的。