什么是網(wǎng)絡(luò)安全態(tài)勢感知?你了解多少�?
2024年06月18日
態(tài)勢感知(SA����,Situational Awareness or Situation Awareness)是對一定時間和空間內(nèi)的環(huán)境元素進(jìn)行感知�,并對這些元素的含義進(jìn)行理解,最終預(yù)測這些元素在未來的發(fā)展?fàn)顟B(tài)�。當(dāng)前,大家提到“態(tài)勢感知”時主要是指“網(wǎng)絡(luò)安全態(tài)勢感知”���,即將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中���。網(wǎng)絡(luò)安全態(tài)勢感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個網(wǎng)絡(luò)的安全狀態(tài),識別出當(dāng)前網(wǎng)絡(luò)中存在的問題和異?;顒樱⒆鞒鱿鄳?yīng)的反饋或改進(jìn)��。通過對一段時間內(nèi)的網(wǎng)絡(luò)安全狀況進(jìn)行分析和預(yù)測����,為高層決策提供有力支撐和參考。
01����、 網(wǎng)絡(luò)安全態(tài)勢感知的概念來源
態(tài)勢感知的概念起源于20 世紀(jì)80 年代的美國空軍�,當(dāng)時主要用于分析空戰(zhàn)環(huán)境信息,對當(dāng)前和未來形勢進(jìn)行分析,最終做出相應(yīng)的判斷和決策�����。后來經(jīng)過不斷發(fā)展和完善�����,形成相關(guān)理論體�����,已廣泛應(yīng)用于軍事��、航空����、工業(yè)生產(chǎn)、安全�、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢感知即是將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中�。
態(tài)勢感知的概念比較抽象,我們舉個例子來幫助理解:天氣預(yù)報就可以理解為一種“態(tài)勢感知”�。通過對某一地點的持續(xù)觀測和分析,我們可以預(yù)測未來一段時間內(nèi)的天氣���。尤其是對重大災(zāi)害天氣的預(yù)測��,如臺風(fēng)�����、霧霾���、暴雪等�����,對我們來講尤為重要�。通過提前進(jìn)行人員和財產(chǎn)的轉(zhuǎn)移���,準(zhǔn)備相關(guān)抗災(zāi)措施�,可以大大降低災(zāi)害帶來的影響��,這就是進(jìn)行“態(tài)勢感知”的重要目的����。
02、為什么網(wǎng)絡(luò)安全態(tài)勢感知很重要
隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展���,人們的安全意識在逐步提高����。我們已經(jīng)不再篤定認(rèn)為自己的網(wǎng)絡(luò)是絕對安全的��,相反的�,我們認(rèn)為網(wǎng)絡(luò)遭受攻擊是必然的、常態(tài)化的����。我們不能阻止攻擊行為,但是可以提前識別和發(fā)現(xiàn)攻擊行為��,盡可能降低損失��。也就是說��,安全防護(hù)思想已經(jīng)從過去的被動防御向主動防護(hù)和智能防護(hù)轉(zhuǎn)變����。
同時,物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異�,很多顛覆性的新技術(shù)也引入了新的安全問題。例如海量終端接入�����、傳統(tǒng)的網(wǎng)絡(luò)邊界消失、網(wǎng)絡(luò)攻擊的隱蔽性和復(fù)雜度大大增強(qiáng)等����,這都為我們提出了新的挑戰(zhàn),也對網(wǎng)絡(luò)安全人員的能力也提出了更高的要求�。
正是在這樣的背景下,以網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展�����。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以帶動整個安全防護(hù)體系升級�����,實現(xiàn)以下三個方面的轉(zhuǎn)變:
安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力����,并且更加注重對抗性,這對情報技術(shù)提出了更高要求����。
攻擊檢測的對象從已知威脅轉(zhuǎn)變?yōu)槲粗{,通過大數(shù)據(jù)分析、異常檢測���、態(tài)勢感知���、機(jī)器學(xué)習(xí)等技術(shù)�,實現(xiàn)對高級威脅的檢測。
對威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣禹憫?yīng)閉環(huán)���,強(qiáng)調(diào)應(yīng)急響應(yīng)�����、協(xié)同聯(lián)動���,實現(xiàn)安全彈性。
03�、網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用場景
由于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高,所以當(dāng)前主要應(yīng)用場景還是在大型機(jī)構(gòu)和大中型企業(yè)中���。對于規(guī)模較小的單位��,可以選擇功能和架構(gòu)相對簡單���、性能相對較弱的集成單一產(chǎn)品��。
政府機(jī)關(guān):從國家維度或省市行政管理維度�����,對相關(guān)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行管理和監(jiān)控����。
大型行業(yè):從行業(yè)體系維度����,對行業(yè)內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行管理和健康。當(dāng)前���,網(wǎng)絡(luò)安全態(tài)勢感知的主要應(yīng)用行業(yè)包括政務(wù)�����、金融��、網(wǎng)絡(luò)運(yùn)營�、教育等��。
大型機(jī)構(gòu)或企業(yè):從日常安全運(yùn)維角度出發(fā),對核心資產(chǎn)和業(yè)務(wù)系統(tǒng)的安全狀態(tài)進(jìn)行管理和監(jiān)控�����。
04�、 如何評估態(tài)勢感知的建設(shè)結(jié)果
網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)結(jié)果可以從如下幾個方面進(jìn)行評估:
防御:利用掌握的情報和資產(chǎn)摸底信息,完善防御體系���,消除資產(chǎn)風(fēng)險�。
檢測:提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力�����,快速����、精準(zhǔn)地檢測出安全威脅��。
響應(yīng):提供涵蓋終端和網(wǎng)絡(luò)的響應(yīng)能力�����,支持攻擊取證���、事件溯源和威脅修復(fù)等����。
預(yù)測:通過對歷史安全情況、現(xiàn)網(wǎng)流行攻擊和情報系統(tǒng)進(jìn)行綜合研判����,提供改進(jìn)建議。
05�、什么是態(tài)勢感知的三個層級
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的認(rèn)知過程提出了一個經(jīng)典的態(tài)勢感知模型����。這個模型在當(dāng)前看來雖然比較簡單,但卻是很多后續(xù)理論的基礎(chǔ)��,人們一般稱該模型為Endsley模型(Endsley's model)��。
Endsley模型將態(tài)勢感知分為三個層級�,分別是態(tài)勢要素感知、態(tài)勢理解和態(tài)勢預(yù)測��。
要素感知(Level 1):感知環(huán)境中相關(guān)要素的狀態(tài)���、屬性和動態(tài)等信息���。
態(tài)勢理解(Level 2):通過識別����、解讀和評估的過程�����,將不相關(guān)的要素信息聯(lián)系起來��,并關(guān)注這些信息對預(yù)期目標(biāo)的影響�����。
態(tài)勢預(yù)測(Level 3):基于對前兩級信息的理解���,預(yù)測未來的發(fā)展態(tài)勢和可能產(chǎn)生的影響。
