什么是态势感知?

什么是态势感知?

 同学,听说过态势感知吗?啥?不知道?不知道很正常,因为态势感知是一个比较小众、比较神秘的概念。为什么态势感知很神秘,首先是因为这是来自军事情报领域的概念,然后服务的是一些关键任务领域,一涉及关键任务自然就变得高级而且神秘了。

态势感知的定义

维基百科的定义:Situation awareness (SA) is the perception of environmental elements and events with respect to time or space, the comprehension of their meaning, and the projection of their future status.(态势意识(SA)是指对环境要素和事件在时间或空间上的感知,对其意义的理解,以及对其未来状态的预测。)

百度百科的定义:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

可以看出英文解释更加抽象,中文解释更侧重应用领域,比如军事作战,城市安防,网络安全等领域,百度的这个解释其实更接近网络态势感知。如果这还是很抽象,可以这么理解,态势感知的最终目的是保持安全状态,最接地气的理解就是“保安”了

态势感知也可以很简单

其实不看网络态势感知,态势感知本身很日常,涉及到最基本的行为习惯,态势感知是一种基本方法论,隐藏在日常生活当中。

初级态势感知比如开车,远远地看到红灯知道踩刹车,绿灯亮了起步同时提防抢灯的其他车,这就算态势感知了,非常常识化。

高级态势感知比如驾驶飞机,但开飞机这事……就比较复杂了,有仪表飞行也有目视飞行,都离不开态势感知的运用,在这里就不分析了。

网络态势感知,基本上现在但凡正规的网络安全建设都离不开他,同时呢又觉得很模糊,到底能干啥,又干了啥,反倒说不清楚,很是矛盾。这也难怪,因为安全态势感知确实复杂,而且发展的很快,目前小德跟大家讲解游戏态势感知产品的前世今生

态势感知的出现是网络安全防御发展的必然

互联网发展的历程中,很长一段时间大家对网络安全是不关注的,至少是不那么关注的。即使当前也有很大一波人其网络安全意识仍然很淡薄。随着网络攻击影响的范围越来越大,产生的损失越来越多,网络安全才被大家接受和认可,从而逐渐出现了以被动响应为核心特征的安全防御体系。主要的特征就是花钱买盒子,防火墙(FW),入侵防御系统(IPS),只要没有影响到业务正常运转,有没有被攻击,攻击的程度有多深,都没有人关注。

但是一旦出现了重大的安全事故,被偷数据了,或者服务器挂了,好了,请求安全产商紧急支持吧,安全产商赶紧派安全专家紧急响应,一顿操作也不知道做了什么,只要能业务正常就不管了。不过吃过网络攻击的亏的,后来都重视网络安全了,但总体上这一时期还主要以这种被动响应为主。

SIEM和SOC

很多人会有疑问,那态势感知出现之前就没有“态势感知”吗?答案是否定的。态势感知的雏形其实就是SIEM(Security Information and Event Management),就是一个广泛收日志,再对日志进行分析的平台。SIEM把传统的安全设备的日志,例如防火墙,IPS,服务器,交换机等的安全日志


说到SIEM,就不能不提MSS(安全服务)和SOC(安全运营中心),SOC更多的强调安全运营,把工具,人,流程等综合利用起来,从而最大的发挥安全工具的价值。SIEM就像一辆轿车,可以很快很舒适的把你送到你想去的地方,但是它毕竟是一辆车,没有人开,它就不会动,哪也去不了。所以需要人去发动他,正确的操作,才能跑起来。但是你不能开车它去闯红灯,不能逆行开车,这就是开车的规则。SOC就是持续安全的保障。

态势感知的若干发展阶段

回到安全态势感知的话题,我们来看看安全态势感知的发展的几个阶段。


第一阶段的安全态势感知比较的初级,因为大家都没有多少经验。基本沿用传统SIEM的方式,把传统安全设备的告警日志统统收上来,但是进行了整合,除了例行的安全事件角度,更是聚焦到了以资产为核心,从风险资产的角度来展示风险。资产上除了安全事件,必不可少的就是漏洞,因此把漏洞也整合了进来,形成脆弱性分析。考虑到可视化特性,纷纷做了几个大屏,例如风险资产大屏,攻击大屏,脆弱性大屏,动态刷新,可不要太炫酷。这也造成了大家固有的印象,一说到态势感知,就是卖大屏的。其实不是,大屏是有效的可视化手段,需要后台大量数据和计算力的支持。

第二阶段的态势感知经历了客户的洗礼,有了更多的实践经验,发现传统的安全设备基本都属于边界防御,内部威胁无法有效透视。于是对数据的要求就提高了。不仅仅要求收传统安全设备的告警日志,还需要客观存在的访问日志,这些访问日志不具备主观判定,需要构建一些行为基线,对于偏离基线的访问行为进行安全告警,于是UEBA(user and entity behavior analytics)风靡一时,也确实很有用,尤其是对内部横向渗透可以快速发现。

除此之外,威胁情报的利用,大大加快简化了安全威胁的发现。站在别人的肩膀上肯定更快一些,威胁情报就是把别人的经验拉过来为我所用,我外联了一个勒索的C2,证明是中毒了,那此时你也外联了这个C2,十有八九你也中毒了。所以威胁情报很有用。威胁情报不仅可以检测失陷,也可以有外部的攻击者,掌握了这部分情报,及时的封堵这些恶意IP的访问,可以大大减少被攻击的概率。而这些都对探针提出了更多的要求,除了可以检测镜像过来的流量上报安全告警,还要上报客观访问数据,进行更多的分析。

随着安全态势感知在客户实际生产环境中不断的实践,其提升效率的服务属性逐渐得到改良和演进。同时随着国家的网络安全战略持续提升,人们对网络安全越来越重视,对实用性有了更高更强更好的期望。比如平战一体化的需求,就要求能快速准确定位,证据充分,快速响应,这对平台的要求是很高的,实现这些需求,就要求更先进的检测手段和方式,例如一些AI算法简单的规则无法满足要求,基于无监督的AI算法就被应用进来,比如孤立森林,寻找异常点,效果还是很不错的。

同时知识图谱的应该也让数据的关联更加紧密,数据挖掘的更深,发挥的价值越大。除此之外,就是云端能力的强大赋能。以前的安全态势感知平台都是单点,忽略了一个强大的云端平台,可以提供更深层次的数据扩展,可以提供更快的更新频率,可以提供更强大的算力支持,还可以提供更多安全知识库,云端能力中心的赋能让安全态势感知如同猛虎添翼。为了快速响应,整合资源,安全态势感知开始与各种安全设备进行联动,如防火墙,IPS,交换机,蜜罐,漏洞扫描工具等等进行了集成,统一纳管,一个地方搞定,不用这个设备要登,那个设备要看,可以实现在发现问题以后全部自动化,这效率就高了。

态势感知的若干发展趋势

可以很容易的看出,安全态势感知的迭代其实就是在不断创新,不断提升用户体验,不断提升用户效率的过程。所以我们要说的安全态势感知的发展趋势也离不开这几方面。

1、云化云化

早期的态势感知基本都是孤岛式的,一个客户跟别人是不关联的。现在的态势感知基本都建立了与云的通道,数据可以上云下云,增加数据的流动渠道,繁荣了数据价值。但是当前与云的联动仍然还不彻底,还是束手束脚。很容易因某个客户表现出一些上云上云的担忧而变得胆小起来。云化的确很容易让客户产生安全方面的担忧,那是因为传统的网络安全护城河的观念造成的,显然已经无法满足新的网络安全形势的要求。此时需要明显表现出云化的安全性,其次是表现出云化带来的好处,即提供可以让客户唾手可得所需功能的机会。这是时代发展的必然选择。脱离这个预期,就会掉队,就会被历史淘汰。

2、一体化

安全态势感知是一个比较庞大的系统,覆盖的功能很多很杂,带来便利的同时也带来了麻烦,各种安全探针难以合理配置,系统配置繁琐,专业安全的人员缺乏等等都导致实际中往往出现安全态势感知没有得到合理的配置和使用。客户希望什么?就希望“不要麻烦,开箱即用,简单统一,使用方便”,把安全态势感知平台复杂的系统构建给客户屏蔽掉,就像我们开车一样,汽车的发动机呀,齿轮呀,轮胎呀,空调呀,车灯呀,他们的关联我们不需要知道,我只需要知道怎么开车就行了,把复杂留给自己,把方便留给客户。所以现在“All in One”的思想豁然开朗,倾力打造超融合一体机,就是让客户不在麻烦,减少使用上的障碍。

3、自动化

自动化其实就是为了节省安全运营人员重复低效的工作。理论上来说,一定条件下,只要流量接上来,从安全威胁分析,到安全事件处置,整个流程均可以自动化。一旦实现了自动化,就像自动驾驶一样,就可以省心省力了。这是非常好的期望,而且整个流程也已经被证明是可行的。当前对于把握较大的安全威胁,确实可以通过联动剧本编排来向终端防护下发策略执行安全威胁处置。但是这种安全威胁占比很低,仍旧有大量的安全威胁需要人工介入分析,从而导致自动化流程的中断。自动化还有一个很大的挑战是不同设备的集成能力。传统很多厂商的安全设备是很封闭的,就导致去联动设备产生很大的阻塞。我认为自动化的发展方向可以理解为地图导航,目标驱动下只要用户阻塞解决,不管你怎么调整路线,都会给你规划好一条最合适的路线,并推动解决,直到目标完成。但这无疑是需要更长时间的发展

4、实战化

网络威胁日益严重以及客户对网络安全的紧迫性需求日益高涨,尤其是对重大活动保障,攻防演练等对战性要求特别搞的场景下,客户要求快速精准的发现安全威胁,要能对发现的威胁提供更充足的扩展关联信息等等,所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势。在实战时能满足紧张对战需要,在平时时正常安全防护。实战对扩充信息的把握要求很高,需要聚合更为广泛的安全知识,尤其是安全威胁情报。

5、标准化

对安全态势感知的理解,各大安全厂商的理解都不一致,就导致安全态势感知产品的建设思路不一致,就导致各家的产品概念,功能等都不同。但是经过近几年的发展,各大厂商的安全态势感知基本同质化了,你有的功能我也有,我有的功能你也做了覆盖,整体功能都大体相当,区别就在于功能细节贴近客户的程度。所以经常服务一家安全态势感知的安全人员对另外一家的安全态势感知不是很懂但又似曾相识的感觉。所以缺乏标准。这对于安全态势感知的长远发展是不利的。对安全服务来说也是不利的,对整个安全行业发展也是不利的,对客户提升网络安全建设水平也是不利的。尽管目前也有组织牵头成立标准化,但距离实际落地困难依旧很大。

6、安全运营

前面几点都是谈的工具,还有很重要的一点是安全运营。安全态势感知是一个重服务的产品,需要安全服务的持续安全运营才能发挥作用。好在越来越多的客户也逐渐意识到了这一点,客户买了安全态势感知也是希望能用起来,保障业务正常运行。所以如果通过制度,工具保障安全运营,让安全态势感知真正发挥作用,也是未来一大热点。

讲完了发展历程,谈一谈现在的态势感知

态势感知采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

现有优势

主动监测

通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

精准防护

通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

智能分析

对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

可视化态势

态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

现有功能

态势总览

展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

资产管理

监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

告警管理

通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

弱点分析

列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

日志库

列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

系统设置

支持告警规则设置、日报/周报设置、资产授权。

态势大屏

移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/539491.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Power BI报告在PPT中实时刷新的实现技巧分享

前面我们刚介绍了如何在PPT中展示Power BI报告? 很巧的是,在刚刚的Power BI 2024年4月更新的诸多新特性中,PPT中使用的Power BI插件又有新特性的更新,数据自动刷新功能(新特性仅限国际版使用),这个新特性支持最低15秒…

【无标题】前缀和和差分

前缀和 一维前缀和 #include <vector> ​ class Code01_PrefixSumArray { public:class NumArray {public:std::vector<int> sum; ​NumArray(std::vector<int>& nums) {sum.resize(nums.size() 1);for (int i 1; i < nums.size(); i) {sum[i] su…

jenkins+git+maven+nodejs安装(linux系统)

前文已经安装完成sonarqube和Sonar Scanner了&#xff0c;接下来可以开始jenkins了 jenkins安装 命令&#xff08;版本为 2.440&#xff09; wget -O /etc/yum.repos.d/jenkins.repo https://pkg.jenkins.io/redhat-stable/jenkins.repo wget https://pkg.jenkins.io/redh…

BM25和语言模型的改进研究

原文链接&#xff1a; BM25和语言模型的改进研究 摘要&#xff1a; 近期关于搜索引擎排名函数的研究报告指出&#xff0c;BM25和带Dirichlet平滑的语言模型有所改进。本研究通过在INEX 2009维基百科语料库上训练&#xff0c;然后在INEX 2010和9个TREC语料库上测试&#xff0…

【设计模式】六大设计原则

设计原则 研究 23 种设计模式是困难的&#xff0c;甚至是没必要的六大设计原则零、单一职责原则开闭原则里氏代换原则依赖倒置原则接口隔离原则迪米特法则合成复用原则 研究 23 种设计模式是困难的&#xff0c;甚至是没必要的 设计模式有23种&#xff0c;我认为对普通人来说想…

【YOLOv9改进[损失函数]】使用MPDIou回归损失函数帮助YOLOv9模型更优秀

本文中&#xff0c;第一部分概述了各种回归损失函数&#xff0c;当然也包括了今天的主角MPDIou。第二部分内容为在YOLOv9中使用MPDIou回归损失函数的方法。 1 回归损失函数&#xff08;Bounding Box Regression Loss&#xff09; 边界框回归损失计算的方法包括GIoU、DIoU、CI…

Rockchip Android13 Vold(一):Native层

一:概述 Vold全称Volume Daemon是用于管理存储类设备的守护进程,负责接收驱动层设备挂载和卸载消息以及与Framework层之间的通信。Vold作为一个守护进程位于Android的Native Daemons层。 二:Vold框架图 三:Vold Sevice Android13的init.rc位于/system/etc/init/hw/其中使…

C++ 二重指针

一 指向指针的指针 如果在一个指针变量中存放的是另一个变量的指针的地址&#xff0c;称该指针为指向指针的指针&#xff0c;即二重指针。

鸿蒙OS开发实例:【Native C++】

介绍 本篇Codelab主要介绍如何使用DevEco Studio创建一个Native C应用。应用采用Native C模板&#xff0c;实现使用NAPI调用C标准库的功能。使用C标准库hypot接口计算两个给定数平方和的平方根。在输入框中输入两个数字&#xff0c;点击计算结果按钮显示计算后的数值。 相关概…

SpringBoot-自定义注解AOP实现及拦截器示例

SpringBoot-自定义注解AOP实现及拦截器示例 一、四大元注解 当你在编写自定义注解时&#xff0c;Target、Retention、Documented 和 Inherited 是四个你可能会用到的元注解&#xff0c;它们可以帮助你更好地定义和使用注解。 1、Target Target 注解用于指定注解可以应用的程…

Session缓存、Hibernate处理对象的状态了解

Session接口 Session接口是Hibernate向应用程序提供的操纵数据库的最主要的接口&#xff0c;它提供了基本的保存&#xff0c;更新&#xff0c;删除和查询的方法。 Session是有一个缓存, 又叫Hibernate的一级缓存 session缓存是由一系列的Java集合构成的。当一个对象被加入到…

SpringCloud集成SkyWalking链路追踪并收集日志2

博主介绍&#xff1a;✌全网粉丝5W&#xff0c;全栈开发工程师&#xff0c;从事多年软件开发&#xff0c;在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战&#xff0c;博主也曾写过优秀论文&#xff0c;查重率极低&#xff0c;在这方面有丰富的经验…

AI 文献综述工具

find sources that support this statement:

微信小程序 uniapp+vue.js医疗在线问诊挂号系统4oy17

预约挂号系统的逐渐发展&#xff0c;进一步方便了广大用户&#xff0c;使其可以更方便、快捷地预约挂号&#xff0c;并且也有效地防止号贩子“倒号”&#xff0c;使用户预约挂号更公平&#xff0c;然而现有预约挂号系统或多或少有所欠缺 小程序前端框架&#xff1a;uniapp 小程…

Tomcat无法成功启动——双击startup.bat闪退的解决办法

一、首先查看端口是否被占用了&#xff0c;一般Tomcat的默认端口是8080&#xff0c;可以在管理员命令行通过“netstat -ano|findstr "8080”"的命令查看当前是否有进程占用了端口。 1.如果端口占用了&#xff1a; 则根据PID&#xff08;进程id号&#xff09;来查这个…

kimichat使用技巧:用语音对话聊天

kimichat之前是只能用文字聊天的&#xff0c;不过最近推出了语音新功能&#xff0c;也可以用语音畅快的对话聊天了。 这个功能目前支持手机app版本&#xff0c;所以首先要在手机上下载安装kimi智能助手。已经安装的&#xff0c;要点击检查更新&#xff0c;更新到最新的版本。 …

期货开户交易绝境时保持理智

三国时代&#xff0c;诸葛亮以空城计骗过司马懿的数十万大军不战而退&#xff0c;也都是沉得住气。有智慧的人&#xff0c;越是紧急危难的时候&#xff0c;越是冷静沉著&#xff0c;唯有在镇静中才能想出应付事变的方法。所谓“饭未煮熟&#xff0c;不要妄自一开&#xff1b;蛋…

SGI_STL空间配置器源码剖析(六)deallocate函数

deallocate函数是内存释放函数。源码及注释如下&#xff1a; /* __p may not be 0 */static void deallocate(void* __p, size_t __n) // __p指向要回收的内存起始地址&#xff0c;__n表示其大小{if (__n > (size_t) _MAX_BYTES)// 大于128字节&#xff0c;普通方式开辟和回…

git am XXX.patch 文件内容解析

git am XXX.patch 文件内容解析 打补丁的两种方式&#xff1a; 1.patch XXX.patch 2.git am XXX.patch 例如&#xff1a; diff --git a/drivers/crypto/se/ce.c b/drivers/crypto/se/ce.c index e6f68286d4ce6..de1bcb46fbe6b 100644 --- a/drivers/crypto/se/ce.cb/drive…

Zookeeper中的节点类型和实现持久化的两种方式

进入zookeeper的bin目录&#xff0c;执行./zkServer.sh start ../conf/zoo.cfg启动&#xff01; Zookeeper内部的数据模型 类似于数据结构中的树&#xff0c;同时也很像文件系统的目录&#xff0c; 节点的类型 持久节点&#xff1a;create /znode 创建出的节点&#xff0c…