什么是态势感知?

什么是态势感知?

 同学,听说过态势感知吗?啥?不知道?不知道很正常,因为态势感知是一个比较小众、比较神秘的概念。为什么态势感知很神秘,首先是因为这是来自军事情报领域的概念,然后服务的是一些关键任务领域,一涉及关键任务自然就变得高级而且神秘了。

态势感知的定义

维基百科的定义:Situation awareness (SA) is the perception of environmental elements and events with respect to time or space, the comprehension of their meaning, and the projection of their future status.(态势意识(SA)是指对环境要素和事件在时间或空间上的感知,对其意义的理解,以及对其未来状态的预测。)

百度百科的定义:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

可以看出英文解释更加抽象,中文解释更侧重应用领域,比如军事作战,城市安防,网络安全等领域,百度的这个解释其实更接近网络态势感知。如果这还是很抽象,可以这么理解,态势感知的最终目的是保持安全状态,最接地气的理解就是“保安”了

态势感知也可以很简单

其实不看网络态势感知,态势感知本身很日常,涉及到最基本的行为习惯,态势感知是一种基本方法论,隐藏在日常生活当中。

初级态势感知比如开车,远远地看到红灯知道踩刹车,绿灯亮了起步同时提防抢灯的其他车,这就算态势感知了,非常常识化。

高级态势感知比如驾驶飞机,但开飞机这事……就比较复杂了,有仪表飞行也有目视飞行,都离不开态势感知的运用,在这里就不分析了。

网络态势感知,基本上现在但凡正规的网络安全建设都离不开他,同时呢又觉得很模糊,到底能干啥,又干了啥,反倒说不清楚,很是矛盾。这也难怪,因为安全态势感知确实复杂,而且发展的很快,目前小德跟大家讲解游戏态势感知产品的前世今生

态势感知的出现是网络安全防御发展的必然

互联网发展的历程中,很长一段时间大家对网络安全是不关注的,至少是不那么关注的。即使当前也有很大一波人其网络安全意识仍然很淡薄。随着网络攻击影响的范围越来越大,产生的损失越来越多,网络安全才被大家接受和认可,从而逐渐出现了以被动响应为核心特征的安全防御体系。主要的特征就是花钱买盒子,防火墙(FW),入侵防御系统(IPS),只要没有影响到业务正常运转,有没有被攻击,攻击的程度有多深,都没有人关注。

但是一旦出现了重大的安全事故,被偷数据了,或者服务器挂了,好了,请求安全产商紧急支持吧,安全产商赶紧派安全专家紧急响应,一顿操作也不知道做了什么,只要能业务正常就不管了。不过吃过网络攻击的亏的,后来都重视网络安全了,但总体上这一时期还主要以这种被动响应为主。

SIEM和SOC

很多人会有疑问,那态势感知出现之前就没有“态势感知”吗?答案是否定的。态势感知的雏形其实就是SIEM(Security Information and Event Management),就是一个广泛收日志,再对日志进行分析的平台。SIEM把传统的安全设备的日志,例如防火墙,IPS,服务器,交换机等的安全日志


说到SIEM,就不能不提MSS(安全服务)和SOC(安全运营中心),SOC更多的强调安全运营,把工具,人,流程等综合利用起来,从而最大的发挥安全工具的价值。SIEM就像一辆轿车,可以很快很舒适的把你送到你想去的地方,但是它毕竟是一辆车,没有人开,它就不会动,哪也去不了。所以需要人去发动他,正确的操作,才能跑起来。但是你不能开车它去闯红灯,不能逆行开车,这就是开车的规则。SOC就是持续安全的保障。

态势感知的若干发展阶段

回到安全态势感知的话题,我们来看看安全态势感知的发展的几个阶段。


第一阶段的安全态势感知比较的初级,因为大家都没有多少经验。基本沿用传统SIEM的方式,把传统安全设备的告警日志统统收上来,但是进行了整合,除了例行的安全事件角度,更是聚焦到了以资产为核心,从风险资产的角度来展示风险。资产上除了安全事件,必不可少的就是漏洞,因此把漏洞也整合了进来,形成脆弱性分析。考虑到可视化特性,纷纷做了几个大屏,例如风险资产大屏,攻击大屏,脆弱性大屏,动态刷新,可不要太炫酷。这也造成了大家固有的印象,一说到态势感知,就是卖大屏的。其实不是,大屏是有效的可视化手段,需要后台大量数据和计算力的支持。

第二阶段的态势感知经历了客户的洗礼,有了更多的实践经验,发现传统的安全设备基本都属于边界防御,内部威胁无法有效透视。于是对数据的要求就提高了。不仅仅要求收传统安全设备的告警日志,还需要客观存在的访问日志,这些访问日志不具备主观判定,需要构建一些行为基线,对于偏离基线的访问行为进行安全告警,于是UEBA(user and entity behavior analytics)风靡一时,也确实很有用,尤其是对内部横向渗透可以快速发现。

除此之外,威胁情报的利用,大大加快简化了安全威胁的发现。站在别人的肩膀上肯定更快一些,威胁情报就是把别人的经验拉过来为我所用,我外联了一个勒索的C2,证明是中毒了,那此时你也外联了这个C2,十有八九你也中毒了。所以威胁情报很有用。威胁情报不仅可以检测失陷,也可以有外部的攻击者,掌握了这部分情报,及时的封堵这些恶意IP的访问,可以大大减少被攻击的概率。而这些都对探针提出了更多的要求,除了可以检测镜像过来的流量上报安全告警,还要上报客观访问数据,进行更多的分析。

随着安全态势感知在客户实际生产环境中不断的实践,其提升效率的服务属性逐渐得到改良和演进。同时随着国家的网络安全战略持续提升,人们对网络安全越来越重视,对实用性有了更高更强更好的期望。比如平战一体化的需求,就要求能快速准确定位,证据充分,快速响应,这对平台的要求是很高的,实现这些需求,就要求更先进的检测手段和方式,例如一些AI算法简单的规则无法满足要求,基于无监督的AI算法就被应用进来,比如孤立森林,寻找异常点,效果还是很不错的。

同时知识图谱的应该也让数据的关联更加紧密,数据挖掘的更深,发挥的价值越大。除此之外,就是云端能力的强大赋能。以前的安全态势感知平台都是单点,忽略了一个强大的云端平台,可以提供更深层次的数据扩展,可以提供更快的更新频率,可以提供更强大的算力支持,还可以提供更多安全知识库,云端能力中心的赋能让安全态势感知如同猛虎添翼。为了快速响应,整合资源,安全态势感知开始与各种安全设备进行联动,如防火墙,IPS,交换机,蜜罐,漏洞扫描工具等等进行了集成,统一纳管,一个地方搞定,不用这个设备要登,那个设备要看,可以实现在发现问题以后全部自动化,这效率就高了。

态势感知的若干发展趋势

可以很容易的看出,安全态势感知的迭代其实就是在不断创新,不断提升用户体验,不断提升用户效率的过程。所以我们要说的安全态势感知的发展趋势也离不开这几方面。

1、云化云化

早期的态势感知基本都是孤岛式的,一个客户跟别人是不关联的。现在的态势感知基本都建立了与云的通道,数据可以上云下云,增加数据的流动渠道,繁荣了数据价值。但是当前与云的联动仍然还不彻底,还是束手束脚。很容易因某个客户表现出一些上云上云的担忧而变得胆小起来。云化的确很容易让客户产生安全方面的担忧,那是因为传统的网络安全护城河的观念造成的,显然已经无法满足新的网络安全形势的要求。此时需要明显表现出云化的安全性,其次是表现出云化带来的好处,即提供可以让客户唾手可得所需功能的机会。这是时代发展的必然选择。脱离这个预期,就会掉队,就会被历史淘汰。

2、一体化

安全态势感知是一个比较庞大的系统,覆盖的功能很多很杂,带来便利的同时也带来了麻烦,各种安全探针难以合理配置,系统配置繁琐,专业安全的人员缺乏等等都导致实际中往往出现安全态势感知没有得到合理的配置和使用。客户希望什么?就希望“不要麻烦,开箱即用,简单统一,使用方便”,把安全态势感知平台复杂的系统构建给客户屏蔽掉,就像我们开车一样,汽车的发动机呀,齿轮呀,轮胎呀,空调呀,车灯呀,他们的关联我们不需要知道,我只需要知道怎么开车就行了,把复杂留给自己,把方便留给客户。所以现在“All in One”的思想豁然开朗,倾力打造超融合一体机,就是让客户不在麻烦,减少使用上的障碍。

3、自动化

自动化其实就是为了节省安全运营人员重复低效的工作。理论上来说,一定条件下,只要流量接上来,从安全威胁分析,到安全事件处置,整个流程均可以自动化。一旦实现了自动化,就像自动驾驶一样,就可以省心省力了。这是非常好的期望,而且整个流程也已经被证明是可行的。当前对于把握较大的安全威胁,确实可以通过联动剧本编排来向终端防护下发策略执行安全威胁处置。但是这种安全威胁占比很低,仍旧有大量的安全威胁需要人工介入分析,从而导致自动化流程的中断。自动化还有一个很大的挑战是不同设备的集成能力。传统很多厂商的安全设备是很封闭的,就导致去联动设备产生很大的阻塞。我认为自动化的发展方向可以理解为地图导航,目标驱动下只要用户阻塞解决,不管你怎么调整路线,都会给你规划好一条最合适的路线,并推动解决,直到目标完成。但这无疑是需要更长时间的发展

4、实战化

网络威胁日益严重以及客户对网络安全的紧迫性需求日益高涨,尤其是对重大活动保障,攻防演练等对战性要求特别搞的场景下,客户要求快速精准的发现安全威胁,要能对发现的威胁提供更充足的扩展关联信息等等,所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势。在实战时能满足紧张对战需要,在平时时正常安全防护。实战对扩充信息的把握要求很高,需要聚合更为广泛的安全知识,尤其是安全威胁情报。

5、标准化

对安全态势感知的理解,各大安全厂商的理解都不一致,就导致安全态势感知产品的建设思路不一致,就导致各家的产品概念,功能等都不同。但是经过近几年的发展,各大厂商的安全态势感知基本同质化了,你有的功能我也有,我有的功能你也做了覆盖,整体功能都大体相当,区别就在于功能细节贴近客户的程度。所以经常服务一家安全态势感知的安全人员对另外一家的安全态势感知不是很懂但又似曾相识的感觉。所以缺乏标准。这对于安全态势感知的长远发展是不利的。对安全服务来说也是不利的,对整个安全行业发展也是不利的,对客户提升网络安全建设水平也是不利的。尽管目前也有组织牵头成立标准化,但距离实际落地困难依旧很大。

6、安全运营

前面几点都是谈的工具,还有很重要的一点是安全运营。安全态势感知是一个重服务的产品,需要安全服务的持续安全运营才能发挥作用。好在越来越多的客户也逐渐意识到了这一点,客户买了安全态势感知也是希望能用起来,保障业务正常运行。所以如果通过制度,工具保障安全运营,让安全态势感知真正发挥作用,也是未来一大热点。

讲完了发展历程,谈一谈现在的态势感知

态势感知采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

现有优势

主动监测

通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

精准防护

通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

智能分析

对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

可视化态势

态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

现有功能

态势总览

展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

资产管理

监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

告警管理

通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

弱点分析

列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

日志库

列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

系统设置

支持告警规则设置、日报/周报设置、资产授权。

态势大屏

移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/306943.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python--递归算法篇

1、给定一个包含n1个整数的数组nums,其数字在1到n之间(包含1和n), 可知至少存在一个重复的整数,假设只有一个重复的整数,请找出这个重复的数 def repeat(ls:list) -> list:#把个数超过1的数&#xff0c…

使用clickhouse-backup备份和恢复数据

作者:俊达 介绍 clickhouse-backup是altinity提供的一个clickhouse数据库备份和恢复的工具,开源项目地址:https://github.com/Altinity/clickhouse-backup 功能上能满足日常数据库备份恢复的需求: 支持单表/全库备份支持备份上…

【opencv】示例-grabcut.cpp 使用OpenCV库的GrabCut算法进行图像分割

left mouse button - set rectangle SHIFTleft mouse button - set GC_FGD pixels CTRLleft mouse button - set GC_BGD pixels 这段代码是一个使用OpenCV库的GrabCut算法进行图像分割的C程序。它允许用户通过交互式方式选择图像中的一个区域,并利用GrabCut算法尝试…

Tomcat无法成功启动——双击startup.bat闪退的解决办法

一、首先查看端口是否被占用了,一般Tomcat的默认端口是8080,可以在管理员命令行通过“netstat -ano|findstr "8080”"的命令查看当前是否有进程占用了端口。 1.如果端口占用了: 则根据PID(进程id号)来查这个…

深入理解Apache ZooKeeper与Kafka的协同工作原理

目录 引言 一、ZooKeeper基础概念 (一)ZooKeeper简介 (二)ZooKeeper数据结构 (三)ZooKeeper特点 (四)应用场景 二、ZooKeeper工作模式 (一)工作机制 …

jeecg-boot安装

我看大家都挺关注,所以集中上传了下代码和相关工具,方便大家快速完成 链接:https://pan.baidu.com/s/1-Y9yHVZ-4DQFDjPBWUk4-A 提取码:op1r 1. 下载代码 下载地址 : JEECG官方网站 - 基于BPM的低代码开发平台(低代码平台_零代…

Let‘s Encrypt

创建文件夹 mkdir /usr/local/develop/ 安装Certbot客户端 yum install certbot 首先确保example.com和www.example.com这两个域名通过DNS解析绑定了你的web 服务器的公网 IP 就是说先要完成域名解析到服务器 下面命令会验证 /var/www/example 他会将一些命令文件存在…

MySQL 04-EMOJI 表情与 UTF8MB4 的故事

拓展阅读 MySQL View MySQL truncate table 与 delete 清空表的区别和坑 MySQL Ruler mysql 日常开发规范 MySQL datetime timestamp 以及如何自动更新,如何实现范围查询 MySQL 06 mysql 如何实现类似 oracle 的 merge into MySQL 05 MySQL入门教程&#xff0…

SpringBoot + Dobbo + nacos

SpringBoot Dobbo nacos 一、nacos https://nacos.io/zh-cn/docs/quick-start.html 1、下载安装包 https://github.com/alibaba/nacos/releases/下载后在主目录下,创建一个logs的文件夹:用来存日志 2、启动nacos 在bin目录下打开cmd运行启动命令&a…

当你的项目体积比较大?你如何做性能优化

在前端开发中,项目体积优化是一个重要的环节,它直接影响到网页的加载速度和用户体验。随着前端项目越来越复杂,引入的依赖也越来越多,如何有效地减少最终打包文件的大小,成为了前端工程师需要面对的挑战。以下是一些常…

3D应用模型信创系统实时渲染有什么要求?

实时云渲染技术是数字孪生领域,比较常用的轻量化软件交付方式,该技术是将3D应用等大模型的算力执行放在了服务器端,而服务器目前比较常用的还是Windows系统。但随着国产信创在数字孪生领域应用越来越多,实时云渲染平台的国产信创化…

【vue】购物车案例优化

对 购物车案例 进行优化 用watch实现全选/取消全选用watch实现全选状态的检查用computed计算总价格 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-w…

【高效开发工具系列】obsutil安装与使用

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

Day98:云上攻防-云原生篇K8s安全Config泄漏Etcd存储Dashboard鉴权Proxy暴露

目录 云原生-K8s安全-etcd(Master-数据库)未授权访问 etcdV2版本利用 etcdV3版本利用 云原生-K8s安全-Dashboard(Master-web面板)未授权访问 云原生-K8s安全-Configfile鉴权文件泄漏 云原生-K8s安全-Kubectl Proxy不安全配置 知识点&#xff1a; 1、云原生-K8s安全-etcd未…

ubuntu 20.04 设置国内镜像源(阿里源、清华源)

在网上搜了好多设置国内镜像源&#xff0c;都写的乱七八糟的&#xff0c;都是随便换&#xff0c;最后还是换得一堆问题。 镜像源也是跟版本一一对应的&#xff0c;不能随便一个国内源就还过去用&#xff0c;否则会出现各种各样的问题&#xff0c;我也是吃过亏之后才发现的。 国…

循序渐进丨MogDB 数据库带级联从库的集群切换后如何保持原有架构?

生产数据库运行过程中可能会涉及到升级或者打补丁&#xff0c;导致各节点的角色有计划的发生改变。如果集群内角色发生改变&#xff0c;是否还能保持原有架构继续对外提供服务呢&#xff1f;我们来做一下测试。 采用22模式模拟同城两机房部署4节点 MogDB 数据库集群&#xff0c…

软考 — 系统架构设计师 - 嵌入式真题

问题1&#xff1a; 可靠度表示系统在规定条件下&#xff0c;规定的时间内不发生失效的概率。 失效率表示系统运行到此时从未出现失效的情况下&#xff0c;单位时间内系统出现失效的概率 问题 2&#xff1a; 动态冗余又称为主动冗余&#xff0c;通过故障检测&#xff0c;故障定…

WSL访问adb usb device

1.Windows上用PowerShell运行&#xff1a; winget install --interactive --exact dorssel.usbipd-win 2.在WSLUbuntu上终端运行&#xff1a; sudo apt install linux-tools-generic hwdata sudo update-alternatives --install /usr/local/bin/usbip usbip /usr/lib/linux-too…

ChatGPT加持,需求分析再无难题

简介 在实际工作过程中&#xff0c;常常需要拿到产品的PRD文档或者原型图进行需求分析&#xff0c;为产品的功能设计和优化提供建议。 而使用ChatGPT可以很好的帮助分析和整理用户需求。 实践演练 接下来&#xff0c;需要使用ChatGPT 辅助我们完成需求分析的任务 注意&…

【2024年认证杯】A题详细思路+数据(来源)+成品论文+模型代码(matlab+python)

2024年认证杯A题 解题思路 ⭐⭐第一问题分析第二问题分析第三问题分析 数据与数据来源&#x1f389;&#x1f389;指标解释数据来源 成品参考论文&#x1f60a;&#x1f60a;python/ matlab 代码&#x1f680;&#x1f680; 解题思路 ⭐⭐ 这个题目要求我们围绕人造保暖纤维的…