老司机用实践来告诉你态势感知应该怎么搞

网络安全态势感知是在大规模网络环境中，对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势，并不拘泥于单一的安全要素。态势感知体系包括四个部分：态势察觉、态势理解和评估、态势预测和安全决策。它们分别如何实现并互相协作呢?

随着金融科技的发展，商业银行电子渠道业务的迅速扩张，如网上银行、手机银行、直销银行等一系列的电子银行业务，由于其全天候、不分地域、开放程度高等特点，成为了网络攻击的重点，带来了更多的信息安全风险。各种网络攻击、数据泄露事件层出不穷，要确保金融科技的平稳健康发展，必须妥善解决好网络安全的问题。

在网络信息系统安全技术研究中，由于已有防御手段无法有效应对各种复杂的网络和业务环境，目前网络安全态势感知的研究成为新一代网络安全技术的焦点。

本文结合目前网络安全态势感知的发展现状针对商业银行网络安全态势感知体系的建设思路做了简单地梳理。

一、什么是态势感知

态势感知(Situation Awareness，SA)就是在一定的时间和空间条件下，对环境因素的感知、理解以及对其未来发展趋势的预测，态势感知的思想起源于战争中敌我双方攻防态势的估计，早在《孙子兵法》中就有“知己知彼，百战不殆”的描述。

1988年，Endsley把态势感知分成感知、理解和预测三个层次的信息处理。即：

• 感知(Perception)：感知和获取环境中的重要线索或元素;
• 理解(Comprehension)：整合感知到的数据和信息，分析其相关性;
• 预测(Projection)：基于对环境信息的感知和理解，预测相关知识的未来的发趋势。

二、网络安全态势感知体系

网络安全态势是指整个网络当前状态和变化趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。

网络安全态势感知是在大规模网络环境中，对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势，并不拘泥于单一的安全要素。态势感知技术首先对各种影响系统安全性的要素进行检测获取，然后对安全信息采用分类、归并、建立数据模型、分析等手段进行融合，接着对融合的信息进行综合分析，得到网络的整体安全状况及其应对措施，并对网络安全状况的发展趋势进行预测，最后为商业银行信息安全管理提供可靠的数据参考和决策支持。

本文提出的商业银行网络安全态势感知体系，包括如下四个部分：

• 态势察觉：主动探测+被动监听采集实现多维度多层次数据源收集;
• 态势理解和评估：对数据源进行预处理、数据融合并进行多层次多维度的态势评估;
• 态势预测：运用数据分析模型实现态势预测，并通过可视化技术集中呈现，提供决策数据，指导进行安全防御体系的敏捷调整和持续运营;
• 安全决策：高层领导、部门领导、安全经理和运维人员在内的四层网络安全态势管理模式。

1. 态势察觉

任何单一的情况或状态都不能称之为态势，网络安全态势感知体系需实现多层次多维度的态势要素采集，包括对以下六种类型的数据的接入：

• 来自网络安全防护系统的数据：例如防火墙、IDS/IPS、WAF、网络安全审计系统等设备的日志或告警数据;
• 来自重要服务器与主机的数据：例如服务器安全日志、进程调用和文件访问等信息，基于网络与基于主机的协同能够大大提升网络威胁感知能力;
• 网络骨干节点的数据：例如核心交换的原始网络数据，网络节点数据采集的越多，追踪、确认网络攻击路径的可能性就越大;
• 漏洞数据：基于主动的漏洞评估、渗透测试发现的漏洞数据;
• 直接的威胁感知数据：例如Honeynet(蜜网)诱捕的网络攻击数据，对网络攻击源及攻击路径的追踪探测数据;
• 协同合作数据：包括权威部门发布的病毒蠕虫爆发的预警数据，网络安全公司或研究机构提供的威胁情报等。

2. 态势理解

为保障态势感知结果准确和全面，应最大限度地确保获取数据的完整，因此需对所有检测设备获得的原始数据进行分析。因处理的数据量大，如采取较为复杂的关联技术，则处理时间会较长，系统的实时性较差。为满足系统实时性的要求，网络安全态势感知体系的态势理解过程首先可采用简单的数据级融合，然后分析融合后数据的相关性，具体处理过程分为如下几步：

• 分析原始安全数据，将安全数据归类为资产数据、威胁数据、脆弱性数据，不考虑数据类之间的关系;
• 去除重复冗余信息，合并同类信息，修正错误信息，得到规范化的资产数据集、威胁数据集、脆弱性数据集;
• 将资产、威胁和脆弱性相关联，综合分析得到安全事件数据集。

3. 态势评估

态势评估是网络安全态势感知的核心，是对网络安全状况的定性定量描述。可采用多层次多维度多粒度的态势评估框架。由专题评估、要素评估和整体评估三个层次构成，每个层次分别从不同的维度，每个维度分别从不同的粒度对网络安全态势进行评估。

4. 态势预测

网络安全态势感知体系中的态势预测指根据当前的网络状况，找出网络安全隐患进行分析，对未来一定时间内的安全趋势进行判断，并提供相应的解决方法。

在全面获取网络威胁相关状态数据的前提下，设定不同的场景和条件，根据网络安全的历史和当前状态信息，建立符合网络及业务场景的分析模型，并基于网络威胁结合资产脆弱性来进行态势预测，能够更好地反映网络安全在未来一段时间内的发展趋势。

安全态势预测的目标不是产生准确的预警信息，而是要将预测结果用于决策分析与支持，特别是对网络攻防对抗的支持。

5. 安全决策

网络态势感知体系为商业银行提供不同层级的安全决策支撑，推动安全决策的地执行实现感知-响应的闭环：

• 管理层的高层领导，可掌握全网的整体安全态势，评估全网和为安全态势感知提供必要的决策支撑。
• 管理层的各部门领导，可掌握部门所属业务信息系统的安全态势，查阅所属业务系统的运行报告和安全报告，并协调部门间运维流程和安全事件的处理。
• 执行层的安全经理，可将管理层的工作目标落实分解，形成系统可执行的策略、指标、规则、计划和任务;可以查看网络和业务系统的安全资产运行状况、安全风险走势、重要的安全事件处理情况，安全分析报表报告;可以随时掌握计划和任务的进展情况，实现对一线运维人员的考核。安全经理最终可以通过系统生成提交给管理层的各类安全报表报告。
• 执行层的运维人员，可持续对网络资产及信息系统进行运行监测、安全审计、任务处理与应急响应。

三、结束语

未来网络安全态势感知体系的建设还将有很多新的升级，包括引入威胁自动化处置机制以大幅降低威胁检测及响应处置时间;但同时，安全运营离不开安全人员的参与。在进行网络安全态势感知体系，尤其是威胁自动化处置机制建设时，还需进一步提高安全运维人员的技能及安全团队建设，为未来网络安全态势感知体系安全能力的落地提供保障。

【本文是专栏作者“绿盟科技博客”的原创稿件，转载请通过联系原作者获取授权】

戳这里，看该作者更多好文