【態勢感知】老司機用實踐來告訴你態勢感知應該怎么搞

閱讀： 77

網絡安全態勢感知是在大規模網絡環境中，對能夠引起網絡態勢發生變化的所有安全要素進行獲取、理解、顯示以及預測未來的發展趨勢，並不拘泥於單一的安全要素。態勢感知體系包括四個部分：態勢察覺、態勢理解和評估、態勢預測和安全決策。它們分別如何實現並互相協作呢？

隨着金融科技的發展，商業銀行電子渠道業務的迅速擴張，如網上銀行、手機銀行、直銷銀行等一系列的電子銀行業務，由於其全天候、不分地域、開放程度高等特點，成為了網絡攻擊的重點，帶來了更多的信息安全風險。各種網絡攻擊、數據泄露事件層出不窮，要確保金融科技的平穩健康發展，必須妥善解決好網絡安全的問題。

在網絡信息系統安全技術研究中，由於已有防御手段無法有效應對各種復雜的網絡和業務環境，目前網絡安全態勢感知的研究成為新一代網絡安全技術的焦點。

本文結合目前網絡安全態勢感知的發展現狀針對商業銀行網絡安全態勢感知體系的建設思路做了簡單地梳理。

文章目錄

一、什么是態勢感知

態勢感知（Situation Awareness，SA)就是在一定的時間和空間條件下，對環境因素的感知、理解以及對其未來發展趨勢的預測，態勢感知的思想起源於戰爭中敵我雙方攻防態勢的估計，早在《孫子兵法》中就有“知己知彼，百戰不殆”的描述。

1988年，Endsley把態勢感知分成感知、理解和預測三個層次的信息處理。即：

感知(Perception)：感知和獲取環境中的重要線索或元素；

理解(Comprehension)：整合感知到的數據和信息，分析其相關性；

預測(Projection)：基於對環境信息的感知和理解，預測相關知識的未來的發趨勢。

二、網絡安全態勢感知體系

網絡安全態勢是指整個網絡當前狀態和變化趨勢，是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。

網絡安全態勢感知是在大規模網絡環境中，對能夠引起網絡態勢發生變化的所有安全要素進行獲取、理解、顯示以及預測未來的發展趨勢，並不拘泥於單一的安全要素。態勢感知技術首先對各種影響系統安全性的要素進行檢測獲取，然后對安全信息采用分類、歸並、建立數據模型、分析等手段進行融合，接着對融合的信息進行綜合分析，得到網絡的整體安全狀況及其應對措施，並對網絡安全狀況的發展趨勢進行預測，最后為商業銀行信息安全管理提供可靠的數據參考和決策支持。

本文提出的商業銀行網絡安全態勢感知體系，包括如下四個部分：

態勢察覺：主動探測+被動監聽采集實現多維度多層次數據源收集；
態勢理解和評估：對數據源進行預處理、數據融合並進行多層次多維度的態勢評估；
態勢預測：運用數據分析模型實現態勢預測，並通過可視化技術集中呈現，提供決策數據，指導進行安全防御體系的敏捷調整和持續運營；
安全決策：高層領導、部門領導、安全經理和運維人員在內的四層網絡安全態勢管理模式。

態勢察覺

任何單一的情況或狀態都不能稱之為態勢，網絡安全態勢感知體系需實現多層次多維度的態勢要素采集，包括對以下六種類型的數據的接入：

來自網絡安全防護系統的數據：例如防火牆、IDS/IPS、WAF、網絡安全審計系統等設備的日志或告警數據；
來自重要服務器與主機的數據：例如服務器安全日志、進程調用和文件訪問等信息，基於網絡與基於主機的協同能夠大大提升網絡威脅感知能力；
網絡骨干節點的數據：例如核心交換的原始網絡數據，網絡節點數據采集的越多，追蹤、確認網絡攻擊路徑的可能性就越大；
漏洞數據：基於主動的漏洞評估、滲透測試發現的漏洞數據；
直接的威脅感知數據：例如Honeynet（蜜網）誘捕的網絡攻擊數據，對網絡攻擊源及攻擊路徑的追蹤探測數據；
協同合作數據：包括權威部門發布的病毒蠕蟲爆發的預警數據，網絡安全公司或研究機構提供的威脅情報等。

態勢理解

為保障態勢感知結果准確和全面，應最大限度地確保獲取數據的完整，因此需對所有檢測設備獲得的原始數據進行分析。因處理的數據量大，如采取較為復雜的關聯技術，則處理時間會較長，系統的實時性較差。為滿足系統實時性的要求，網絡安全態勢感知體系的態勢理解過程首先可采用簡單的數據級融合，然后分析融合后數據的相關性，具體處理過程分為如下幾步：

分析原始安全數據，將安全數據歸類為資產數據、威脅數據、脆弱性數據，不考慮數據類之間的關系；
去除重復冗余信息，合並同類信息，修正錯誤信息，得到規范化的資產數據集、威脅數據集、脆弱性數據集；
將資產、威脅和脆弱性相關聯，綜合分析得到安全事件數據集。

態勢評估

態勢評估是網絡安全態勢感知的核心，是對網絡安全狀況的定性定量描述。可采用多層次多維度多粒度的態勢評估框架。由專題評估、要素評估和整體評估三個層次構成，每個層次分別從不同的維度，每個維度分別從不同的粒度對網絡安全態勢進行評估。

態勢預測

網絡安全態勢感知體系中的態勢預測指根據當前的網絡狀況，找出網絡安全隱患進行分析，對未來一定時間內的安全趨勢進行判斷，並提供相應的解決方法。

在全面獲取網絡威脅相關狀態數據的前提下，設定不同的場景和條件，根據網絡安全的歷史和當前狀態信息，建立符合網絡及業務場景的分析模型，並基於網絡威脅結合資產脆弱性來進行態勢預測，能夠更好地反映網絡安全在未來一段時間內的發展趨勢。

安全態勢預測的目標不是產生准確的預警信息，而是要將預測結果用於決策分析與支持，特別是對網絡攻防對抗的支持。

安全決策

網絡態勢感知體系為商業銀行提供不同層級的安全決策支撐，推動安全決策的地執行實現感知-響應的閉環：

管理層的高層領導，可掌握全網的整體安全態勢，評估全網和為安全態勢感知提供必要的決策支撐。
管理層的各部門領導，可掌握部門所屬業務信息系統的安全態勢，查閱所屬業務系統的運行報告和安全報告，並協調部門間運維流程和安全事件的處理。
執行層的安全經理，可將管理層的工作目標落實分解，形成系統可執行的策略、指標、規則、計划和任務；可以查看網絡和業務系統的安全資產運行狀況、安全風險走勢、重要的安全事件處理情況，安全分析報表報告；可以隨時掌握計划和任務的進展情況，實現對一線運維人員的考核。安全經理最終可以通過系統生成提交給管理層的各類安全報表報告。
執行層的運維人員，可持續對網絡資產及信息系統進行運行監測、安全審計、任務處理與應急響應。

三、結束語

未來網絡安全態勢感知體系的建設還將有很多新的升級，包括引入威脅自動化處置機制以大幅降低威脅檢測及響應處置時間；但同時，安全運營離不開安全人員的參與。在進行網絡安全態勢感知體系，尤其是威脅自動化處置機制建設時，還需進一步提高安全運維人員的技能及安全團隊建設，為未來網絡安全態勢感知體系安全能力的落地提供保障。