單憑壹種或幾種安全技術很難應對復雜的安全問題,網絡安全人員的關註點也從單個安全問題的解決,發展到研究整個網絡的安全狀態及其變化趨勢。
網絡安全態勢感知對影響網絡安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢,是對網絡安全性定量分析的壹種手段,是對網絡安全性的精細度量,態勢感知成已經為網絡安全2.0時代安全技術的焦點,對保障網絡安全起著非常重要的作用。
壹、態勢感知基本概念
1.1 態勢感知通用定義
隨著網絡安全態勢感知研究領域的不同,人們對於態勢感知的定義和理解也有很大的不同,其中認同度較高的是Endsley博士所給出的動態環境中態勢感知的通用定義:
態勢感知是感知大量的時間和空間中的環境要素,理解它們的意義,並預測它們在不久將來的狀態。
在這個定義中,我們可以提煉出態勢感知的三個要素:感知、理解和預測,也就是說態勢感知可以分成感知、理解和預測三個層次的信息處理,即:
感知:感知和獲取環境中的重要線索或元素;
理解:整合感知到的數據和信息,分析其相關性;
預測:基於對環境信息的感知和理解,預測相關知識的未來的發展趨勢。
1.2 網絡安全態勢感知概念
目前,對網絡安全態勢感知並未有壹個統壹而全面的定義,我們可以結合態勢感知通用定義來對對網絡安全態勢感知給出壹個基本描述,即:
網絡安全態勢感知是綜合分析網絡安全要素,評估網絡安全狀況,預測其發展趨勢,並以可視化的方式展現給用戶,並給出相應的報表和應對措施。
根據上述概念模型,網絡安全態勢感知過程可以分為壹下四個過程:
1)數據采集:通過各種檢測工具,對各種影響系統安全性的要素進行檢測采集獲取,這壹步是態勢感知的前提;
2)態勢理解:對各種網絡安全要素數據進行分類、歸並、關聯分析等手段進行處理融合,對融合的信息進行綜合分析,得出影響網絡的整體安全狀況,這壹步是態勢感知基礎;
3)態勢評估:定性、定量分析網絡當前的安全狀態和薄弱環節,並給出相應的應對措施,這壹步是態勢感知的核心;
4)態勢預測:通過對態勢評估輸出的數據,預測網絡安全狀況的發展趨勢,這壹步是態勢感知的目標。
網絡安全態勢感知要做到深度和廣度兼備,從多層次、多角度、多粒度分析系統的安全性並提供應對措施,以圖、表和安全報表的形式展現給用戶。
二、態勢感知常用分析模型
在網絡安全態勢感知的分析過程中,會應用到很多成熟的分析模型,這些模型的分析方法雖各不相同,但多數都包含了感知、理解和預測的三個要素。
2.1 始於感知:Endsley模型
Endsley模型中,態勢感知始於感知。
感知包含對網絡環境中重要組成要素的狀態、屬性及動態等信息,以及將其歸類整理的過程。
理解則是對這些重要組成要素的信息的融合與解讀,不僅是對單個分析對象的判斷分析,還包括對多個關聯對象的整合梳理。同時,理解是隨著態勢的變化而不斷更新演變的,不斷將新的信息融合進來形成新的理解。
在了解態勢要素的狀態和變化的基礎上,對態勢中各要素即將呈現的狀態和變化進行預測。
2.2 循環對抗:OODA模型
OODA是指觀察(Oberve)、調整(Orient)、決策(Decide)以及行動(Act),它是信息戰領域的壹個概念。OODA是壹個不斷收集信息、評估決策和采取行動的過程。
將OODA循環應用在網絡安全態勢感知中,攻擊者與分析者都面臨這樣的循環過程:在觀察中感知攻擊與被攻擊,在理解中調整並決策攻擊與防禦方法,預測對手下壹個動作並發起行動,同時進入下壹輪的觀察。
如果分析者的OODA循環比攻擊者快,那麽分析者有可能“進入”對方的循環中,從而占據優勢。例如通過關註對方正在進行或者可能進行的事情,即分析對手的OODA環,來判斷對手下壹步將采取的動作,而先於對方采取行動。
2.3 數據融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系統中的壹種信息處理方式,由美國國防部成立的數據融合聯合指揮實驗室提出。
JDL模型將來自不同數據源的數據和信息進行綜合分析,根據它們之間的相互關系,進行目標識別、身份估計、態勢評估和威脅評估,融合過程會通過不斷的精煉評估結果來提高評估的準確性。
在網絡安全態勢感知中,面對來自內外部大量的安全數據,通過JDL模型進行數據的融合分析,能夠實現對分析目標的感知、理解與影響評估,為後續的預測提供重要的分析基礎和支撐。
2.4 假設與推理:RPD模型
RPD(Recognition Primed Decision)模型中定義態勢感知分為兩個階段:感知和評估。
感知階段通過特征匹配的方式,將現有態勢與過去態勢進行對比,選取相似度高的過去態勢,找出當時采取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案,推測當前態勢可能的演化過程,並調整行動方案。
以上方式若遇到匹配結果不理想的情況,則采取構造故事的方式,即根據經驗探索潛在的假設,再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為:基於假設進行相關信息的收集(感知),特征匹配和故事構造(理解),假設驅動思維模擬與推測(預測)。
三、態勢感知應用關鍵點
當前,單維度的網絡安全防禦技術手段,已經難以應對復雜的網絡環境和大量存在的安全問題,對網絡安全態勢感知具體模型和技術的研究,已經成為2.0時代網絡安全技術的焦點,同時很多機構也已經推出了網絡安全態勢感知產品和解決方案。
但是,目前市場上的的相關產品和解決方案,都相對偏重於網絡安全態勢的某壹個或某幾個方面的感知,網絡安全態勢感知的數據分析的深度和廣度還需要進壹步加強,同時網絡安全態勢感知與其它系統平臺的聯動不足,無法將態勢感知與安全運營深入融合。
為此,太極信安認為網絡安全態勢感知平臺的建設,應著重考慮以下幾個方面的內容:
1、在數據采集方面,網絡安全數據來源要盡可能的豐富,應該包括網絡結構數據、網絡服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等,只有這樣態勢評估結果才能準確。
2、在態勢評估方面,態勢感評估要對多個層次、多個角度進行評估,能夠評估網絡的業務安全、數據安全、基礎設施安全和整體安全狀況,並且應該針對不同的應用背景和不同的網絡規模選擇不同的評估方法。
3、在態勢感知流程方面,態勢感知流程要規範,所采用的算法要簡單,應該選擇規範化的、易操作的評估模型和預測模型,能夠做到實時準確的評估網絡安全態勢。
4、在態勢預測方面,態勢感知要能支持對不同的評估結果預測其發展趨勢,預防大規模安全事件的發生。
5、在態勢感知結果顯示方面,態勢感知能支持多種形式的可視化顯示,支持與用戶的交互,能根據不同的應用需求生成態勢評測報表,並提供相應的改進措施。
四、總結
上述幾種模型和應用關鍵點對網絡安全態勢感知來講至關重要,將這些基本概念和關鍵點進行深入理解並付諸於實踐,才能真正幫助決策者獲得網絡安全態勢感知能力。
太極信安認為,建設網絡安全態勢感知平臺,應以“業務+數據定義安全”戰略為核心驅動,基於更廣、更深的數據來源分析,以用戶實際需求為出發點,從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知,在認知、理解、預測的基礎上,真正幫助用戶實現看見業務、看懂威脅、看透風險、輔助決策。
摘自 CSDN 道法壹自然