僅靠壹種或幾種安全技術很難處理復雜的安全問題,網絡安全人員的關註點也從解決單壹的安全問題發展到研究整個網絡的安全狀態及其變化趨勢。
網絡安全態勢感知是通過獲取、了解、評估和預測影響網絡安全的諸多因素的未來發展趨勢,對網絡安全進行定量分析和精細度量的手段。態勢感知已經成為網絡安全2.0時代安全技術的焦點,在保障網絡安全中起著非常重要的作用。
壹,情境意識的基本概念
1.1情境意識的壹般定義
隨著網絡安全態勢感知研究領域的不同,人們對態勢感知有著不同的定義和理解,其中Endsley博士給出的動態環境下態勢感知的通用定義得到了高度認可:
態勢感知是感知時間和空間上的大量環境要素,理解其含義,預測其近期狀態。
在這個定義中,我們可以提取情境意識的三個要素:感知、理解和預測,這意味著情境意識可以分為三個層次的信息處理,即:
感知:對環境中重要線索或元素的感知和獲取;
理解:整合感知的數據和信息,分析它們的相關性;
預測:基於對環境信息的感知和理解,預測相關知識的未來發展趨勢。
1.2網絡安全態勢感知概念
目前,網絡安全態勢感知還沒有壹個統壹全面的定義。結合態勢感知的壹般定義,我們可以給出網絡安全態勢感知的基本描述,即:
網絡安全態勢感知是綜合分析網絡安全要素,評估網絡安全狀態,預測其發展趨勢,並以可視化的方式展現給用戶,給出相應的報告和對策。
根據上述概念模型,網絡安全態勢感知的過程可以分為以下四個過程:
1)數據采集:通過各種檢測工具,檢測並采集影響系統安全的各種因素,這是態勢感知的前提;
2)態勢理解:通過分類、歸並、關聯分析等手段,對各種網絡安全要素的數據進行處理和融合,對融合信息進行綜合分析,得出影響網絡的整體安全態勢,這是態勢感知的基礎;
3)態勢評估:對網絡當前的安全狀況和薄弱環節進行定性和定量分析,並給出相應的對策,是態勢感知的核心;
4)態勢預測:態勢感知的目標是通過態勢評估輸出的數據,預測網絡安全的發展趨勢。
網絡安全態勢感知既要有深度,也要有廣度,多層次、多角度、多粒度地分析系統的安全性並提供對策,以地圖、表格、安全報告等形式展現給用戶。
二、情境意識的常見分析模型
在分析網絡安全態勢感知的過程中,會用到很多成熟的分析模型。雖然這些模型的分析方法各不相同,但大多數都包含三個要素:感知、理解和預測。
2.1從感知開始:Endsley模型
在Endsley模型中,情境意識始於感知。
感知包括網絡環境中重要元素的狀態、屬性和動態,以及對其進行整理的過程。
理解就是對這些重要元素的信息進行融合和解讀,不僅僅是對單個分析對象的判斷和分析,還包括對多個相關對象的整合和梳理。同時,認識也隨著形勢的變化不斷更新和演變,不斷融入新的信息,形成新的認識。
在了解態勢要素的狀態和變化的基礎上,預測態勢中各要素的狀態和變化。
2.2循環對抗:OODA模式
OODA指的是觀察(Oberve)、調整(orientation)、決策(decision)和行動(act),這是信息戰領域的壹個概念。OODA是壹個不斷收集信息、評估決策和采取行動的過程。
當OODA循環應用於網絡安全態勢感知時,攻擊者和分析者都面臨著這樣壹個循環的過程:在觀察中感知攻擊和被攻擊,在理解中調整和決定攻防方式,預測對手下壹步行動並發起行動,同時進入下壹輪觀察。
如果分析師的OODA循環比攻擊者快,那麽分析師可能會“進入”對方的循環,從而獲得優勢。比如,通過關註對方正在做或者可能做的事情,也就是分析對手的OODA環,就可以判斷對手下壹步要采取的行動,搶在對方之前采取行動。
2.3數據融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系統中的壹種信息處理方法,由美國國防部建立的數據融合聯合指揮實驗室提出。
JDL模型綜合分析來自不同數據源的數據和信息,根據它們之間的相互關系進行目標識別、身份估計、態勢評估和威脅評估。融合過程將通過不斷改進評估結果來提高評估的準確性。
在網絡安全態勢感知中,面對來自內部和外部的大量安全數據,通過JDL模型進行數據融合分析,可以實現對分析目標的感知、理解和影響評估,為後續預測提供重要的分析基礎和支持。
2.4假設和推理:RPD模型
RPD模型中的情境意識可以分為感知和評估兩個階段。
在感知階段,通過特征匹配的方式將已有情境與過去情境進行比較,選擇相似度高的過去情境,找出當時哪些行動方案是有效的。在評估階段,分析以往類似情況的有效行動方案,推測當前情況可能的演變過程,調整行動方案。
如果上述方法的匹配結果不理想,則采用構造故事的方式,即根據經驗發掘潛在假設,然後評估每個假設與實際情況的壹致性。在RPD模型中,感知、理解和預測三要素主要體現為:基於假設收集相關信息(感知)、特征匹配和故事構建(理解)、假設驅動的思維模擬和推測(預測)。
三、情境意識應用的要點
目前,單壹維度的網絡安全防禦技術已經難以應對復雜的網絡環境和大量的安全問題。網絡安全態勢感知的具體模型和技術研究已經成為2.0時代網絡安全技術的重點,許多機構也推出了網絡安全態勢感知產品和解決方案。
但目前市場上的相關產品和解決方案相對偏向於對網絡安全態勢某壹方面或某幾方面的感知,網絡安全態勢感知的數據分析深度和廣度有待進壹步加強。同時,網絡安全態勢感知與其他系統平臺的聯動不足,無法將態勢感知與安全運營深度融合。
為此,太極校長認為,網絡安全態勢感知平臺的建設應重點關註以下幾個方面:
1.在數據收集方面,網絡安全數據的來源應盡可能豐富,包括網絡結構數據、網絡服務數據、漏洞數據、威脅和入侵數據、用戶異常行為數據等。只有這樣,態勢評估結果才能準確。
2.在態勢評估方面,態勢感知評估要從多個層面和角度對網絡的業務安全、數據安全、基礎設施安全和整體安全進行評估,針對不同的應用背景和不同的網絡規模選擇不同的評估方法。
3.在態勢感知過程方面,態勢感知過程要標準化,采用的算法要簡單。應選擇標準化、易操作的評估模型和預測模型,實時、準確地評估網絡安全狀況。
4.在態勢預測方面,態勢感知應該能夠支持不同的評估結果來預測其發展趨勢,防止大規模安全事件的發生。
5.對於態勢感知結果的顯示,態勢感知可以支持多種形式的可視化顯示,支持與用戶的交互,根據不同的應用需求生成態勢評估報告,並提供相應的改進措施。
第四,總結
上述模型和應用要點對於網絡安全態勢感知非常重要。只有深刻理解這些基本概念和關鍵點,並付諸實踐,才能真正幫助決策者獲得網絡安全態勢感知能力。
太極校長認為,網絡安全態勢感知平臺的建設應以“業務+數據定義安全”的戰略為驅動,基於對數據源和用戶實際需求更廣泛、更深入的分析,從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知。在認知、理解、預測的基礎上,真正幫助用戶看清業務,了解威脅。
摘自《CSDN道學-自然》