"態勢感(gan)知(zhi)(zhi)"于(yu)美國空軍提出，包括“感(gan)知(zhi)(zhi)、理解(jie)、預測”三個層(ceng)次。在(zai)目(mu)前的(de)一些安全(quan)系(xi)統中，實(shi)際(ji)僅做(zuo)到了(le)“感(gan)知(zhi)(zhi)”。借用(yong)客戶(hu)一句話，安全(quan)的(de)核心技術(shu)實(shi)際(ji)還在(zai)國外，今天從我們自己做(zuo)起，來點(dian)滴學(xue)習安全(quan)知(zhi)(zhi)識(shi)。

        一、態勢感知的三個層面的遞進關系

        1、感知，實際(ji)(ji)是獲取一些(xie)安全事(shi)件的(de)重要(yao)線索(suo)。在網(wang)絡環境中，IDS、IPS實際(ji)(ji)上是這個層面的(de)工作。

        2、理解，分析安(an)全(quan)事件(jian)之間的相(xiang)關(guan)性(xing)。

        3、預測(ce)，能(neng)夠基本(ben)模型預測(ce)安全事件(jian)未(wei)來的一些發(fa)展趨勢

        二、態勢感知的建設推進

        1、明確(que)建(jian)設的目標、需要保(bao)護的業務資產范圍

        2、平臺五大目標“安全集(ji)成、智(zhi)能分析、態(tai)勢感知(zhi)、協(xie)同處置、運營可(ke)視”

        三、態勢感知的發展趨勢

        1、中(zhong)國的(de)(de)態勢感(gan)知平臺分為政府部門使(shi)用(yong)的(de)(de)監管平臺和企業使(shi)用(yong)的(de)(de)實施監測預(yu)警平臺

        2、態勢感(gan)知平臺(tai)是大數據(ju)安全(quan)領域規(gui)(gui)模(mo)(mo)增長(chang)最迅速的(de)產(chan)品。2017年國(guo)內(nei)感(gan)知市(shi)場規(gui)(gui)模(mo)(mo)約計20億(yi)人民幣，占安全(quan)市(shi)場的(de)5%。

        3、國外一般不(bu)談(tan)態(tai)勢感知系統，而稱為威(wei)(wei)脅管理、威(wei)(wei)脅發現產品，并把(ba)網(wang)絡安全態(tai)勢感知作為由多個系統、工具整(zheng)合實現的狀態(tai)效果。

        4、在(zai)國內態勢感(gan)知被寄予了很(hen)高的期望，希望能夠知道過去、預測未來。

        5、國(guo)內(nei)的廠商(shang)平臺一(yi)般(ban)含有的功能：資(zi)產管理(li)、漏洞管理(li)、大數(shu)據平臺、日志分析、威脅(xie)情報、沙箱(xiang)、用戶行為分析、網絡流量分析、取證溯源、威脅(xie)捕捉等能力。

        6、態勢感(gan)知在不同的(de)行(xing)業有不同的(de)核心技(ji)術(shu)需求(qiu)。a、金融行(xing)業有著更多的(de)業務場(chang)景(jing)，注(zhu)(zhu)重關(guan)(guan)聯分析能(neng)力、威脅告(gao)警精確度、用(yong)戶行(xing)為分析能(neng)力。b、運營商的(de)SOC（Security Operation Center）除了(le)關(guan)(guan)注(zhu)(zhu)自身(shen)的(de)安全，也會注(zhu)(zhu)重利用(yong)本身(shen)的(de)數據資源優勢，拓寬(kuan)行(xing)業市場(chang)。c、能(neng)源行(xing)業的(de)IT種類繁多，非常注(zhu)(zhu)意(yi)安全生產，因此看(kan)重產品的(de)兼(jian)容性(xing)、可連續(xu)性(xing)。d、政府機構關(guan)(guan)注(zhu)(zhu)對外部攻擊防范、高(gao)級威脅檢測。

        7、目前，態勢感(gan)知更(geng)多是提(ti)供(gong)數據分(fen)析結果。在大數據分(fen)析技術(shu)應(ying)用于預測方(fang)面，仍然做得不夠(gou)。

        四、態勢感知的1.0

        1、傳統安(an)(an)全(quan)(quan)體系(xi)中(zhong)(zhong)，各(ge)類安(an)(an)全(quan)(quan)產(chan)品各(ge)自作戰，不利于(yu)企業了解(jie)、應(ying)用整(zheng)體安(an)(an)全(quan)(quan)風險，形成了安(an)(an)全(quan)(quan)孤(gu)(gu)島(dao)。1.0打(da)破了日志、告警(jing)孤(gu)(gu)島(dao)，將各(ge)類安(an)(an)全(quan)(quan)設備的log采集到(dao)統一的日志存儲平臺(tai)，實現了集中(zhong)(zhong)存儲。

        2、1.0階段以(yi)資產為核心，通(tong)過互聯網(wang)已公開(kai)的(de)漏(lou)信息信息、惡意域名(ming)、代理攻擊(ji)IP等信息與資產進(jin)行匹配，呈現組織的(de)安全(quan)風險狀(zhuang)況。

        3、1.0階段(duan)呈(cheng)現有限，多以匯總數(shu)據和靜態(tai)呈(cheng)現為(wei)(wei)主(zhu)，采用定期刷新統計數(shu)據為(wei)(wei)主(zhu)，智能分析技術較少應(ying)用。

        4、1.0階段主要是定位于事件分(fen)析、風險可視、告警管理等。

        5、1.0在系統上增加了產生合規性報(bao)告(gao)的(de)功(gong)能，以滿足內控、審計(ji)方面的(de)要求。

        五、態勢感知的2.0

        1、 2.0將(jiang)在1.0基礎上，擴展大數據(ju)技(ji)術、人工智(zhi)能技(ji)術、威脅情報等(deng)。

        2、數據采集階(jie)段，2.0要求安全廠(chang)商以(yi)API接(jie)口和SDN網(wang)絡對(dui)接(jie)，突破Vxlan技術限制，使用(yong)可以(yi)采集東西(xi)(xi)向(xiang)的流(liu)(liu)量(liang)。在云環境時代，東西(xi)(xi)流(liu)(liu)量(liang)占據了業(ye)務(wu)流(liu)(liu)量(liang)的大部分。

        3、態(tai)(tai)勢感知與大數據、人工智(zhi)能聯(lian)合，將態(tai)(tai)勢感知技(ji)術(shu)擴展到業務風險控制領域。如(ru)采用Storm對數據流進(jin)行實時處理，可以滿(man)足近實時的風險發現。

        4、用(yong)機器學習更好實現風險預警、響應處理，提高對未來的預測、實時處置能力。系統可以從采集(ji)的數據中(zhong)學習，形成一個具有自身相關特(te)性的分析(xi)模型。

        六、體會

        1、1.0往往注(zhu)重安全設(she)施的建設(she)，疏于安體運營(ying)體系的建設(she)，造成感知(zhi)能力(li)差(cha)、使用功能有限，通常用來作日志查詢(xun)和事件調(diao)查事后追查使用。

        2、2.0時代融合了更(geng)多自動化、智能技術(shu)，將安(an)全運營進(jin)行(xing)了體系化的運行(xing)，服務于實時生(sheng)產過(guo)程中。

————————————————

版權(quan)聲(sheng)明：本文(wen)為(wei)CSDN博主(zhu)「qq_29718979」的(de)原創(chuang)文(wen)章，遵循(xun)CC 4.0 BY-SA版權(quan)協議，轉載請附上原文(wen)出處鏈接及本聲(sheng)明。

原文鏈接：//blog.csdn.net/qq_29718979/article/details/89290406