什么是态势感知?

news2024/12/23 13:22:30

什么是态势感知?

 同学,听说过态势感知吗?啥?不知道?不知道很正常,因为态势感知是一个比较小众、比较神秘的概念。为什么态势感知很神秘,首先是因为这是来自军事情报领域的概念,然后服务的是一些关键任务领域,一涉及关键任务自然就变得高级而且神秘了。

态势感知的定义

维基百科的定义:Situation awareness (SA) is the perception of environmental elements and events with respect to time or space, the comprehension of their meaning, and the projection of their future status.(态势意识(SA)是指对环境要素和事件在时间或空间上的感知,对其意义的理解,以及对其未来状态的预测。)

百度百科的定义:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

可以看出英文解释更加抽象,中文解释更侧重应用领域,比如军事作战,城市安防,网络安全等领域,百度的这个解释其实更接近网络态势感知。如果这还是很抽象,可以这么理解,态势感知的最终目的是保持安全状态,最接地气的理解就是“保安”了

态势感知也可以很简单

其实不看网络态势感知,态势感知本身很日常,涉及到最基本的行为习惯,态势感知是一种基本方法论,隐藏在日常生活当中。

初级态势感知比如开车,远远地看到红灯知道踩刹车,绿灯亮了起步同时提防抢灯的其他车,这就算态势感知了,非常常识化。

高级态势感知比如驾驶飞机,但开飞机这事……就比较复杂了,有仪表飞行也有目视飞行,都离不开态势感知的运用,在这里就不分析了。

网络态势感知,基本上现在但凡正规的网络安全建设都离不开他,同时呢又觉得很模糊,到底能干啥,又干了啥,反倒说不清楚,很是矛盾。这也难怪,因为安全态势感知确实复杂,而且发展的很快,目前小德跟大家讲解游戏态势感知产品的前世今生

态势感知的出现是网络安全防御发展的必然

互联网发展的历程中,很长一段时间大家对网络安全是不关注的,至少是不那么关注的。即使当前也有很大一波人其网络安全意识仍然很淡薄。随着网络攻击影响的范围越来越大,产生的损失越来越多,网络安全才被大家接受和认可,从而逐渐出现了以被动响应为核心特征的安全防御体系。主要的特征就是花钱买盒子,防火墙(FW),入侵防御系统(IPS),只要没有影响到业务正常运转,有没有被攻击,攻击的程度有多深,都没有人关注。

但是一旦出现了重大的安全事故,被偷数据了,或者服务器挂了,好了,请求安全产商紧急支持吧,安全产商赶紧派安全专家紧急响应,一顿操作也不知道做了什么,只要能业务正常就不管了。不过吃过网络攻击的亏的,后来都重视网络安全了,但总体上这一时期还主要以这种被动响应为主。

SIEM和SOC

很多人会有疑问,那态势感知出现之前就没有“态势感知”吗?答案是否定的。态势感知的雏形其实就是SIEM(Security Information and Event Management),就是一个广泛收日志,再对日志进行分析的平台。SIEM把传统的安全设备的日志,例如防火墙,IPS,服务器,交换机等的安全日志


说到SIEM,就不能不提MSS(安全服务)和SOC(安全运营中心),SOC更多的强调安全运营,把工具,人,流程等综合利用起来,从而最大的发挥安全工具的价值。SIEM就像一辆轿车,可以很快很舒适的把你送到你想去的地方,但是它毕竟是一辆车,没有人开,它就不会动,哪也去不了。所以需要人去发动他,正确的操作,才能跑起来。但是你不能开车它去闯红灯,不能逆行开车,这就是开车的规则。SOC就是持续安全的保障。

态势感知的若干发展阶段

回到安全态势感知的话题,我们来看看安全态势感知的发展的几个阶段。


第一阶段的安全态势感知比较的初级,因为大家都没有多少经验。基本沿用传统SIEM的方式,把传统安全设备的告警日志统统收上来,但是进行了整合,除了例行的安全事件角度,更是聚焦到了以资产为核心,从风险资产的角度来展示风险。资产上除了安全事件,必不可少的就是漏洞,因此把漏洞也整合了进来,形成脆弱性分析。考虑到可视化特性,纷纷做了几个大屏,例如风险资产大屏,攻击大屏,脆弱性大屏,动态刷新,可不要太炫酷。这也造成了大家固有的印象,一说到态势感知,就是卖大屏的。其实不是,大屏是有效的可视化手段,需要后台大量数据和计算力的支持。

第二阶段的态势感知经历了客户的洗礼,有了更多的实践经验,发现传统的安全设备基本都属于边界防御,内部威胁无法有效透视。于是对数据的要求就提高了。不仅仅要求收传统安全设备的告警日志,还需要客观存在的访问日志,这些访问日志不具备主观判定,需要构建一些行为基线,对于偏离基线的访问行为进行安全告警,于是UEBA(user and entity behavior analytics)风靡一时,也确实很有用,尤其是对内部横向渗透可以快速发现。

除此之外,威胁情报的利用,大大加快简化了安全威胁的发现。站在别人的肩膀上肯定更快一些,威胁情报就是把别人的经验拉过来为我所用,我外联了一个勒索的C2,证明是中毒了,那此时你也外联了这个C2,十有八九你也中毒了。所以威胁情报很有用。威胁情报不仅可以检测失陷,也可以有外部的攻击者,掌握了这部分情报,及时的封堵这些恶意IP的访问,可以大大减少被攻击的概率。而这些都对探针提出了更多的要求,除了可以检测镜像过来的流量上报安全告警,还要上报客观访问数据,进行更多的分析。

随着安全态势感知在客户实际生产环境中不断的实践,其提升效率的服务属性逐渐得到改良和演进。同时随着国家的网络安全战略持续提升,人们对网络安全越来越重视,对实用性有了更高更强更好的期望。比如平战一体化的需求,就要求能快速准确定位,证据充分,快速响应,这对平台的要求是很高的,实现这些需求,就要求更先进的检测手段和方式,例如一些AI算法简单的规则无法满足要求,基于无监督的AI算法就被应用进来,比如孤立森林,寻找异常点,效果还是很不错的。

同时知识图谱的应该也让数据的关联更加紧密,数据挖掘的更深,发挥的价值越大。除此之外,就是云端能力的强大赋能。以前的安全态势感知平台都是单点,忽略了一个强大的云端平台,可以提供更深层次的数据扩展,可以提供更快的更新频率,可以提供更强大的算力支持,还可以提供更多安全知识库,云端能力中心的赋能让安全态势感知如同猛虎添翼。为了快速响应,整合资源,安全态势感知开始与各种安全设备进行联动,如防火墙,IPS,交换机,蜜罐,漏洞扫描工具等等进行了集成,统一纳管,一个地方搞定,不用这个设备要登,那个设备要看,可以实现在发现问题以后全部自动化,这效率就高了。

态势感知的若干发展趋势

可以很容易的看出,安全态势感知的迭代其实就是在不断创新,不断提升用户体验,不断提升用户效率的过程。所以我们要说的安全态势感知的发展趋势也离不开这几方面。

1、云化云化

早期的态势感知基本都是孤岛式的,一个客户跟别人是不关联的。现在的态势感知基本都建立了与云的通道,数据可以上云下云,增加数据的流动渠道,繁荣了数据价值。但是当前与云的联动仍然还不彻底,还是束手束脚。很容易因某个客户表现出一些上云上云的担忧而变得胆小起来。云化的确很容易让客户产生安全方面的担忧,那是因为传统的网络安全护城河的观念造成的,显然已经无法满足新的网络安全形势的要求。此时需要明显表现出云化的安全性,其次是表现出云化带来的好处,即提供可以让客户唾手可得所需功能的机会。这是时代发展的必然选择。脱离这个预期,就会掉队,就会被历史淘汰。

2、一体化

安全态势感知是一个比较庞大的系统,覆盖的功能很多很杂,带来便利的同时也带来了麻烦,各种安全探针难以合理配置,系统配置繁琐,专业安全的人员缺乏等等都导致实际中往往出现安全态势感知没有得到合理的配置和使用。客户希望什么?就希望“不要麻烦,开箱即用,简单统一,使用方便”,把安全态势感知平台复杂的系统构建给客户屏蔽掉,就像我们开车一样,汽车的发动机呀,齿轮呀,轮胎呀,空调呀,车灯呀,他们的关联我们不需要知道,我只需要知道怎么开车就行了,把复杂留给自己,把方便留给客户。所以现在“All in One”的思想豁然开朗,倾力打造超融合一体机,就是让客户不在麻烦,减少使用上的障碍。

3、自动化

自动化其实就是为了节省安全运营人员重复低效的工作。理论上来说,一定条件下,只要流量接上来,从安全威胁分析,到安全事件处置,整个流程均可以自动化。一旦实现了自动化,就像自动驾驶一样,就可以省心省力了。这是非常好的期望,而且整个流程也已经被证明是可行的。当前对于把握较大的安全威胁,确实可以通过联动剧本编排来向终端防护下发策略执行安全威胁处置。但是这种安全威胁占比很低,仍旧有大量的安全威胁需要人工介入分析,从而导致自动化流程的中断。自动化还有一个很大的挑战是不同设备的集成能力。传统很多厂商的安全设备是很封闭的,就导致去联动设备产生很大的阻塞。我认为自动化的发展方向可以理解为地图导航,目标驱动下只要用户阻塞解决,不管你怎么调整路线,都会给你规划好一条最合适的路线,并推动解决,直到目标完成。但这无疑是需要更长时间的发展

4、实战化

网络威胁日益严重以及客户对网络安全的紧迫性需求日益高涨,尤其是对重大活动保障,攻防演练等对战性要求特别搞的场景下,客户要求快速精准的发现安全威胁,要能对发现的威胁提供更充足的扩展关联信息等等,所以对安全态势感知提出了满足实战需要的需求。很多人谈到平战一体化的思想就是为了兼容这种趋势。在实战时能满足紧张对战需要,在平时时正常安全防护。实战对扩充信息的把握要求很高,需要聚合更为广泛的安全知识,尤其是安全威胁情报。

5、标准化

对安全态势感知的理解,各大安全厂商的理解都不一致,就导致安全态势感知产品的建设思路不一致,就导致各家的产品概念,功能等都不同。但是经过近几年的发展,各大厂商的安全态势感知基本同质化了,你有的功能我也有,我有的功能你也做了覆盖,整体功能都大体相当,区别就在于功能细节贴近客户的程度。所以经常服务一家安全态势感知的安全人员对另外一家的安全态势感知不是很懂但又似曾相识的感觉。所以缺乏标准。这对于安全态势感知的长远发展是不利的。对安全服务来说也是不利的,对整个安全行业发展也是不利的,对客户提升网络安全建设水平也是不利的。尽管目前也有组织牵头成立标准化,但距离实际落地困难依旧很大。

6、安全运营

前面几点都是谈的工具,还有很重要的一点是安全运营。安全态势感知是一个重服务的产品,需要安全服务的持续安全运营才能发挥作用。好在越来越多的客户也逐渐意识到了这一点,客户买了安全态势感知也是希望能用起来,保障业务正常运行。所以如果通过制度,工具保障安全运营,让安全态势感知真正发挥作用,也是未来一大热点。

讲完了发展历程,谈一谈现在的态势感知

态势感知采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。

现有优势

主动监测

通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。

精准防护

通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。

智能分析

对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。

可视化态势

态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。

现有功能

态势总览

展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。

资产管理

监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。

告警管理

通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。

弱点分析

列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。

日志库

列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。

系统设置

支持告警规则设置、日报/周报设置、资产授权。

态势大屏

移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1590283.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python与设计模式之工厂模式的那些事儿

一、工厂模式 工厂模式实现了按需创建的最佳模式,其目的是为了隐藏创建类的细节与过程,通过一个统一的接口来创建所需的对象。 话说没了皇位争夺权的皇三接到了一个外征的工作,始皇给了5个亿的经费让皇三组建一个军队。打权总是要进行武器采…

测试用例的编写评审

1、什么叫软件测试用例 什么是测试用例 测试用例(TestCase) 是为项目需求而编制的一组测试输入、执行条件 以及预期结果,以便测试某个程序是否满足客户需求。–测试依据 可以总结为:每一个测试点的数据设计和步骤设计。–测试用例 2、测试用例的重要性(了解) 2.1…

从IoTDB的发展回顾时序数据库演进史

面向工业物联网时代,以 IoTDB 为代表的时序数据库加速发展。 时序数据的主要产生来源之一是设备与传感器,具有监测点多、采样频率高、存储数据量大等多类不同于其他数据类型的特性,从而导致数据库在实现高通量写入、存储成本、实时查询等多个…

【数学建模】2024认证杯C题完整思路和代码论文解析

经过不懈的努力,2024认证杯数学建模C题的完整论文和代码已完成,代码为A题全部4问的代码,论文包括摘要、问题重述、问题分析、模型假设、符号说明、模型的建立和求解(问题1模型的建立与求解、问题2模型的建立与求解、问题3模型的建…

Rockchip Android13 Vold(一):Native层

一:概述 Vold全称Volume Daemon是用于管理存储类设备的守护进程,负责接收驱动层设备挂载和卸载消息以及与Framework层之间的通信。Vold作为一个守护进程位于Android的Native Daemons层。 二:Vold框架图 三:Vold Sevice Android13的init.rc位于/system/etc/init/hw/其中使…

域名网络、

http://www.localhost:8080/hello http://127.0.0.1:8080/hello 一般在本机的C:\Windows\System32\drivers\etc的host文件里都有 在这个hosts配置文件中有一个127.0.0.1和默认的用户名locahost,在tomcat启动后输入的地址就是localhost端口号,默认的…

跟bug较劲的第n天,undefined === undefined

前情提要 场景复现 看到这张图片,有的同学也许不知道这个冷知识,分享一下,是因为我在开发过程中踩到的坑,花了三小时排查出问题的原因在这,你们说值不值。。。 我分享下我是怎么碰到的这个问题,下面看代码…

可视化大屏的应用(12):在智慧制造中的十大价值

一、什么是智慧制造 智慧制造是指通过信息技术、物联网、人工智能等先进技术的应用,实现生产过程的数字化、网络化、智能化,从而提高生产效率、降低成本、提高产品质量和灵活性的一种制造模式。 智慧制造的核心是将传统的制造过程与先进的信息技术相结合…

【opencv】示例-grabcut.cpp 使用OpenCV库的GrabCut算法进行图像分割

left mouse button - set rectangle SHIFTleft mouse button - set GC_FGD pixels CTRLleft mouse button - set GC_BGD pixels 这段代码是一个使用OpenCV库的GrabCut算法进行图像分割的C程序。它允许用户通过交互式方式选择图像中的一个区域,并利用GrabCut算法尝试…

【大语言模型】基础:如何处理文章,向量化与BoW

词袋模型(BoW)是自然语言处理(NLP)和机器学习中一种简单而广泛使用的文本表示方法。它将文本文档转换为数值特征向量,使得可以对文本数据执行数学和统计操作。词袋模型将文本视为无序的单词集合(或“袋”&a…

洛谷题单 -- 图论的简单入门

B3643 图的存储 链接 : 图的存储 - 洛谷 思路 : 这一题要考察图的存储方式 , 一般可以使用邻接矩阵 或 邻接表来存储 图的结点 和1 边的信息 &#xff0c;详情请看代码 : 代码 #include<bits/stdc.h> using namespace std;const int N 1010 ; int n , m ; int …

建造者模式:构造复杂对象的艺术

在面向对象的设计中&#xff0c;建造者模式是一种重要的创建型设计模式&#xff0c;专门用来构建复杂的对象。它主要目的是将对象的构造代码与其表示代码分离&#xff0c;使同样的构建过程可以创建不同的表示。本文将详细介绍建造者模式的定义、实现、应用场景以及优缺点&#…

VBA中如何对工作表进行排序

代码 在VBA中对工作表进行排序的最简单方法是直接使用Move方法来移动工作表。 Sub SortSheetsByNameDescending()Dim sheetsDim sheet As WorksheetDim i As Integer, j As IntegerDim sortedSheets() As Array 获取当前工作簿中的所有工作表Set sheets ThisWorkbook.Sheets…

【深入理解Java IO流0x09】解读Java NIO核心知识(下篇)

1. NIO简介 在开始前&#xff0c;让我们再简单回顾一下NIO。 在传统的 Java I/O 模型&#xff08;BIO&#xff09;中&#xff0c;I/O 操作是以阻塞的方式进行的。也就是说&#xff0c;当一个线程执行一个 I/O 操作时&#xff0c;它会被阻塞直到操作完成。这种阻塞模型在处理多…

【研发效能·创享大会-嗨享技术轰趴】-IDCF五周年专场

一、这是一场创新分享局&#xff01; 来吧&#xff0c;朋友们! 参加一场包含AIGC、BizDevOps、ToB产品管理、B端产品运营、平台工程、研发效能、研发度量、职业画布、DevOps国标解读的研发效能创享大会&#xff0c;会有哪些收益呢&#xff1f; 知识更新与技能提升&#xff1a;…

给现有rabbitmq集群添加rabbitmq节点

现有的&#xff1a;10.2.59.216 rabbit-node1 10.2.59.217 rabbit-node2 新增 10.2.59.199 rabbit-node3 1、分别到官网下载erlang、rabbitmq安装包&#xff0c;我得版本跟现有集群保持一致。 erlang安装包&#xff1a;otp_src_22.0.tar.gz rabbitmq安装包&#xff1…

Linux系统启动过程详解

启动过程是指计算机从开机自检到操作系统完全加载的一系列动作。深入理解启动过程对于有效解决启动问题、提升系统性能以及高效管理系统的启动组件至关重要。例如&#xff0c;可以帮助我们识别和处理在启动过程中可能出现的诸如硬件故障、配置错误等问题。例如帮助我们个性化定…

C语言之九九乘法表||素数||最小公倍数

一、九九乘法表 &#xff08;1&#xff09;思路 1、九九乘法表中存在三个变量&#xff0c;以 x1 ; x2 ; y 为例&#xff08;这里也可以使用两个变量&#xff0c;用x1和x2来表示y&#xff0c;方法一样&#xff09; 2、想好了变量之后&#xff0c;我们要想怎样将他实现呢&#x…

Robotstudio2024中从备份文件恢复和创建工作站的具体方法演示

Robotstudio2024中从备份文件恢复和创建工作站的具体方法演示 如下图所示,打开Robotstudio2024软件,有需要的可以从以下链接获取: ABB机器人编程仿真软件RobotStudio 2024.1-链接baiduyun 点击“新建”—工作站—创建, 如下图所示,点击“ABB模型库”,选择自己使用的机器…

二刷大数据(一)- Hadoop

目录 大数据4V Hadoop概念Hadoop大版本区别HDFS产生背景架构文件块大小写文件流程读数据流程NameNode & SecondNameNodeDataNode工作机制 YARNMapReduce为什么不适合实时核心思想切片与MapTask原理MapTask机制MapReduceApplicationMasterApplicationMaster shuffle机制Redu…