态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。随着网络安全重要性的凸显,态势感知开始在网络安全领域斩露头角,现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。
在新的网络安全形势下,网络安全态势感知变得炙手可热,已经成为政府、企业宣传网络安全的高频词。但是,对于网络安全态势感知的内容、针对不同用户需求如何感知等具体问题却缺乏清晰的认识。在详细分析感知内容即网络资产、资产脆弱性、安全事件、网络威胁、网络攻击和网络风险的基础上,针对不同种类用户即政府部门或企业、企业集团或行业主管部门、政府监管机构的不同网络安全保障需求和网络安全监管需求,提出了微观、中观和宏观网络安全态势感知的功能架构和部署方式,为不同用户建设网络安全态势感知平台提供参考。
新思界
产业研究中心出具的《
2019年全球及中国网络安全态势感知产业深度研究报告》显示,网络安全态势感知的内容包括:感知网络资产、感知资产脆弱性、感知安全事件、感知网络威胁、感知网络攻击与感知安全风险。
国际上的网络安全公司,如FireEye、Mandiant、MITRE、RSA、Lastline 等,都发布了网络安全态势感知相关的产品。我国的网络安全公司,如360公司、亚信科技、安恒科技、绿盟科技等安全企业,也都推出了网络安全态势感知系统,这些网络安全态势感知系统各有特色。
目前态势感知平台主要功能如下:
可视。通过多维度的安全数据仪表盘,涵盖网络安全监测的重点环节,将网络重点环节的实时运行及安全状态多维度地展示给网络安全人员,以便网络安全人员及时掌握网络安全整体状况。
可知。通过安全数据全量管理。收集的安全数据包括操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志等信息,并提供安全日志的全文检索功能,便于网络安全人员从海量日志查找和关联相关安全日志。在全量收集各种安全数据的基础上,充分利用大数据技术,从海量数据中挖掘高价值信息,侦测是否存在异常网络行为。
可管。通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志,结合安全基线、威胁情报和知识库进行多维度安全分析,对发现的漏洞和脆弱性及时处置。
可控。充分利用大数据的分析模型和机器学习等算法,为用户建立行为画像,可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击、0 day攻击等未知威胁攻击,并对分析出来的安全事件、异常行为等进行实时告警,通过可视化展现、邮件、手机APP等方式及时通报给相关网络安全人员进行处置。
可溯。通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源,刻画网络安全事件的攻击路径,为网络安全人员采取措施和溯源提供依据。
可预警。实时动态展示当前网络安全状况,并呈现一定时间内整个网络空间环境安全要素,从已知数据推演分析将要发生的安全事件,实现对安全威胁事件的预测和判断发生的概率。
