一個小故事,讓人更直觀理解態勢感知的定義:“態勢”不是“事件”, “小李,隔壁老王趁你上班去你家了”—— 這是事件; “小李,我感覺隔壁老王看你老婆的眼神不太對,你要多關注” —— 這是態勢; 所以可以說,事件是必然性的結果,即便是預測事件也應該是精確度較高的一種推測 —— 這更像是用數學公式推算出一個確定性的數字。而態勢是趨勢,加上感知兩個字後那就是對趨勢的預測。
傳統網絡安全包含環境建設、防火牆、防病毒等設施建設、業務應用系統的數據安全、應用授權與認證等,但現在產生的問題是傳統安全設備無法發現APT攻擊,信息氾濫,海量數據堆積,運維人員疲於應付,時至今日邊界隔離、單點防禦已近乎失效。網絡中部署的安全產品彼此孤立,無法呈現整網安全態勢,發生攻擊事件之後缺乏攻擊還原手段,管理員無法有效追蹤和定責。
隨著技術的迅猛發展IT基礎設施正在不斷髮生著變化,企業的安全運營思路甚至是安全體系,也應重新構建。企業安全防禦的重點,應從過去的被動的圍牆式,過渡到主動、動態對抗的檢測和響應上。我們每天都會面對新出現的安全漏洞,企業安全保障需要對檢測和響應做更多投入,而不是試圖完成不可能的完美防護目標,傳統特徵檢測面對未知威脅的失效。網絡安全已經由過去的“90%防護+10%檢測與響應”變成了“60%防護+40%檢測與響應”。新型傳感器、不同的數據源、分析工具以及操作需求推動著整體安全技術向更全面的事件驅動軟件架構變革。企業應利用大數據、威脅情報、行為分析等技術,幫助組織對來自內/外部的安全威脅進行研判和溯源,安全運營中心(SOC)的建設正逐步成為大部分企業安全能力建設的重心,包括安全預防、持續監測、快速響應、溯源取證和風險預警這五方面的能力建設。
安全態勢感知
目前企業IT系統安全面臨的困境:
1、落後的邊界隔離理念Vs靈活多變的滲透技術
2、日益臃腫的攻擊特徵庫Vs專業智能的HaaS服務
3、一片祥和的監控頁面Vs暗流湧動的隱蔽信道
傳統的安全風雨體系已經千瘡百孔,沒有安全事件和告警不等於沒有被攻擊者盯上和攻擊。對於多元、異構的安全數據,如何從中採集出足夠且有效的安全要素,再通過關聯分析和數據挖掘,獲得當前網絡局部或整體的安全態勢信息,並利用歷史數據和相關模型進行態勢預測,是今日安全行業“態勢感知”所需具有的重要能力。在特定系統環境中,對能夠引起系統狀態發生變化的要素進行獲取、理解、顯示以及預測未來的發展趨勢,就是目前通常的態勢感知的定義。
態:勢態可評估,全局安全狀態評價、攻擊/資產威脅評價、合規狀態自檢評價;
勢: 趨勢可預測,攻擊趨勢分析預測、異常流量/行為趨勢判斷、安全趨勢預測算法模型;
感:風險可感應,雲端未知威脅識別、多維度風險可視化、異常流量行為可監控;
知:知行合一可管控,協同聯動策略下發、攻擊溯源取證、工單流轉閉環管理;
分析國內外知名的安全事件,發現事後總是能夠找到黑客滲透和竊密的蛛絲馬跡,一次成功的滲透和攻擊過程,包含了複雜的信息蒐集、攻擊嘗試、控制跳板、移動提權、信息回傳過程。“智者千慮必有一失”,即使最聰明的天才也難免會留下可供防禦者研究和分析的痕跡:
1、訪問目的不同 → 頁面訪問規律,信息輸入方式異於常人…
2、訪問邏輯不同 → 數據包特徵、網絡行為特徵存在差異…
3、訪問結果不同 → 產生非必要的流量、導致目標系統異常…
傳統的安全設備、軟件和系統對此無能為力,因為它們並不懂得這些違規和異常的意義和邏輯,只是單純的依賴特徵庫匹配進行著機械式的攔截/放行判斷,無法去有效判斷敵人,防護也無從說起。當然,這些痕跡若是給有經驗的安全技術專家,很可能可以熟練地從海量信息中分析出來,但我們又不可能一直依靠專家24小時進行攻擊分析。因此可見問題的關鍵在於,如何將技術保障系統的不眠不休與安全專家的分析能力結合起來。這一點,所有廠商都有了共同的認知,那就是基於大數據分析實現安全監測預警。
大數據安全分析
安全態勢感知包括以下幾個核心的方面:
資產感知是態勢感知的基礎,它首先界定了受保護網絡的範圍和內容,同時也為其它幾個維度的感知提供了依據。在419講話中,提到了要“摸清家底”,其中就包括要感知資產信息。譬如要知道受保護網絡中都有哪些設備,責任人是誰,用了什麼操作系統,安裝了哪些軟件和應用,什麼版本,用到了哪些組件,打了哪些補丁,等等。
運行感知是指全面掌握受保護網絡的運行狀況,包括機房的運行狀況、網絡的運行狀況、主機和設備的運行狀況、應用和業務的運行狀況、數據的存儲和流轉狀況。這裡的運行狀況不僅包括可用性和性能、業務連續性,還包括運行的規律,譬如某個業務系統被訪問的時間分佈、協議分佈、訪問來源分佈、訪問量分佈,等等。
漏洞感知顧名思義就是要掌握當受保護網絡的漏洞情況,並維護所有資產漏洞的生命週期信息。419講話中,反覆提到“漏洞”,要求“找出漏洞”。通過漏洞感知,評估當前網絡的暴露面,並結合現有防護措施,分析可能的攻擊面和攻擊路徑,協助管理者提前進行安全佈防,及時堵住安全漏洞,從而控制安全風險。
威脅感知是從攻擊者的視角來分析當前受保護網絡可能遭受的潛在危害,譬如:可能有哪些組織、利用什麼殭屍網絡和肉機,對我們的哪些資產,利用什麼安全漏洞或者攻擊手段,進行什麼樣的攻擊和入侵,可能會留下什麼痕跡,造成多麼嚴重的後果。
攻擊感知則是持續不斷地收集當前網絡中的攻防對抗數據,一方面實時展現當前網絡中的攻防對抗實況,另一方面藉助歷史攻擊信息分析潛藏的高危攻擊行為和威脅信息,並協助安全分析師抽取高價值的威脅情報。
風險感知其實層次在前面五種感知之上。風險感知要綜合前面五種感知的信息,進一步進行數據融合,從抽象的高度來評估當前網絡的整體安全風險,譬如建立全網的安全風險指標體系。風險感知的所有感知的綜合,正如419講話中提到,“維護網絡安全,首先要知道風險在哪裡,是什麼樣的風險,什麼時候發生風險”,要“認清風險”。
態勢感知的三個級別
網絡安全態勢感知包括三個級別,第一是能夠感知攻擊的存在;第二是能夠識別攻擊者,或攻擊的意圖;最高級別是風險評估,通過對攻擊者行為的分析,評估該行為(包括預期的後續動作)對網絡系統有什麼危害,從而為決策提供重要的依據。越來越多的設備接入互聯網,所產生的數據量是非常龐大的,大數據所蘊含的價值是無窮的,我們可以利用大數據進行商業價值分析,攻擊者也可以利用大數據進行破壞。而態勢感知在我看來,就是大數據與安全防護的結合。
面對網絡安全,沒有人可以獨善其身,也沒有人可以單獨為之,構建態勢感知系統也不例外。它是一個複雜的系統工程,需要將各種安全技術、產品和能力連接到一起,形成一個生態系統。基於大數據的全網安全態勢感知技術是未來信息安全發展的一個方向。如今信息安全所面臨的威脅和挑戰已經上升到了更高的層面,網絡戰早已不再是傳說,這給安全防護帶來了非常大的挑戰,在大規模的APT攻擊下,沒有哪家企業和個人能夠抵禦住如此規模的攻擊,因此,安全防禦也需要做到全網聯動、共同防禦。在國家政策和領導的指導下,眾多大行業、大型企業都開始倡導、建設和積極應用態勢感知系統,以應對網絡空間安全嚴峻挑戰。如今“態勢感知”是網絡空間安全領域聚焦的熱點,代表了當前網絡安全攻防對抗的最新趨勢。
閱讀更多 西山科技 的文章
