態勢感知集檢測、預警、響應處置功能為一體,是主動防御體系中的安全大腦。態勢感知的概念最早由美國空軍在 20 世紀 80 年代時提出,其最為廣泛的定義是指“在一定的時空范圍內認知和理解環境因素,并對未來的發展趨勢進行預測”。隨著互聯網的迅猛發展,網絡安全態勢感知應運而生,其工作原理是對網絡環境中引起網絡態勢發生變化的安全要素信息進行獲取、理解,評估網絡安全的狀況,預測其發展趨勢,并以可視化的方式展現給用戶,幫助用戶實現相應的安全決策與行動,從而實現積極主動的動態安全防御。目前主流的態勢感知產品支撐技術都是相近的,主要以全流量分析為核心,結合威脅情報、UEBA(用戶實體行為分析)、機器學習、大數據關聯分析等。被動防御時代以邊界防護為主,防火墻是最重要的產品,主動防御時代安全大腦是防御體系中最核心的組成部分,而態勢感知充當的就是安全大腦的角色。
態勢要素的認知、理解和預測是網絡安全態勢感知的三個核心環節。網絡安全態勢感知的最終目標是對情境態勢進行有效管理,不斷針對網絡攻擊作出動態、積極的安全防御,以保障用戶業務的正常運行。而實現態勢感知,需要以安全大數據為基礎,從全局視角來提升對各類安全威脅的發現識別、分析理解和響應處置,通常還以可視化的方式展現給用戶。總體來說,態勢感知主要包括態勢認知、態勢理解和態勢預測三個環節。
態勢認知是態勢感知的前提,態勢感知是通過各類檢測工具,檢測收集多層次多維度的影響系統安全性的數據。從時間維度上看,不僅需要已有實時或準實時的數據,還需要通過更長時間的數據來分析一些異常行為,以發現一些多階段的新型攻擊方式,而從數據維度看,主要包含網絡安全防護系統數據(如防火墻、WAF、IDS/IPS 等安全設備日志或告警等)、重要服務器及主機的數據(如服務器安全日志、進程調用和文件訪問等)、網絡骨干節點數據、協同合作數據(如第三方的威脅情報數據)、威脅感知數據以及資產脆弱性數據等。
