什么是網(wǎng)絡(luò)安全態(tài)勢感知��?你了解多少�����?
2024年06月18日
態(tài)勢感知(SA�,Situational Awareness or Situation Awareness)是對一定時間和空間內(nèi)的環(huán)境元素進(jìn)行感知��,并對這些元素的含義進(jìn)行理解�,最終預(yù)測這些元素在未來的發(fā)展?fàn)顟B(tài)��。當(dāng)前�����,大家提到“態(tài)勢感知”時主要是指“網(wǎng)絡(luò)安全態(tài)勢感知”����,即將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中����。網(wǎng)絡(luò)安全態(tài)勢感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個網(wǎng)絡(luò)的安全狀態(tài),識別出當(dāng)前網(wǎng)絡(luò)中存在的問題和異?�;顒?,并作出相應(yīng)的反饋或改進(jìn)。通過對一段時間內(nèi)的網(wǎng)絡(luò)安全狀況進(jìn)行分析和預(yù)測����,為高層決策提供有力支撐和參考���。
01、 網(wǎng)絡(luò)安全態(tài)勢感知的概念來源
態(tài)勢感知的概念起源于20 世紀(jì)80 年代的美國空軍���,當(dāng)時主要用于分析空戰(zhàn)環(huán)境信息���,對當(dāng)前和未來形勢進(jìn)行分析�,最終做出相應(yīng)的判斷和決策�。后來經(jīng)過不斷發(fā)展和完善�����,形成相關(guān)理論體,已廣泛應(yīng)用于軍事�、航空、工業(yè)生產(chǎn)��、安全�、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢感知即是將態(tài)勢感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中��。
態(tài)勢感知的概念比較抽象,我們舉個例子來幫助理解:天氣預(yù)報就可以理解為一種“態(tài)勢感知”。通過對某一地點(diǎn)的持續(xù)觀測和分析�,我們可以預(yù)測未來一段時間內(nèi)的天氣����。尤其是對重大災(zāi)害天氣的預(yù)測����,如臺風(fēng)�����、霧霾、暴雪等���,對我們來講尤為重要����。通過提前進(jìn)行人員和財產(chǎn)的轉(zhuǎn)移����,準(zhǔn)備相關(guān)抗災(zāi)措施�����,可以大大降低災(zāi)害帶來的影響,這就是進(jìn)行“態(tài)勢感知”的重要目的����。
02����、為什么網(wǎng)絡(luò)安全態(tài)勢感知很重要
隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展,人們的安全意識在逐步提高���。我們已經(jīng)不再篤定認(rèn)為自己的網(wǎng)絡(luò)是絕對安全的�����,相反的�����,我們認(rèn)為網(wǎng)絡(luò)遭受攻擊是必然的�����、常態(tài)化的�。我們不能阻止攻擊行為,但是可以提前識別和發(fā)現(xiàn)攻擊行為��,盡可能降低損失����。也就是說,安全防護(hù)思想已經(jīng)從過去的被動防御向主動防護(hù)和智能防護(hù)轉(zhuǎn)變�����。
同時,物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異��,很多顛覆性的新技術(shù)也引入了新的安全問題��。例如海量終端接入����、傳統(tǒng)的網(wǎng)絡(luò)邊界消失��、網(wǎng)絡(luò)攻擊的隱蔽性和復(fù)雜度大大增強(qiáng)等���,這都為我們提出了新的挑戰(zhàn),也對網(wǎng)絡(luò)安全人員的能力也提出了更高的要求。
正是在這樣的背景下�����,以網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展����。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以帶動整個安全防護(hù)體系升級,實(shí)現(xiàn)以下三個方面的轉(zhuǎn)變:
安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力,并且更加注重對抗性,這對情報技術(shù)提出了更高要求��。
攻擊檢測的對象從已知威脅轉(zhuǎn)變?yōu)槲粗{,通過大數(shù)據(jù)分析、異常檢測、態(tài)勢感知��、機(jī)器學(xué)習(xí)等技術(shù)��,實(shí)現(xiàn)對高級威脅的檢測�����。
對威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣禹憫?yīng)閉環(huán)�����,強(qiáng)調(diào)應(yīng)急響應(yīng)�����、協(xié)同聯(lián)動����,實(shí)現(xiàn)安全彈性��。
03�����、網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用場景
由于網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高���,所以當(dāng)前主要應(yīng)用場景還是在大型機(jī)構(gòu)和大中型企業(yè)中���。對于規(guī)模較小的單位,可以選擇功能和架構(gòu)相對簡單��、性能相對較弱的集成單一產(chǎn)品�����。
政府機(jī)關(guān):從國家維度或省市行政管理維度���,對相關(guān)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行管理和監(jiān)控�。
大型行業(yè):從行業(yè)體系維度�,對行業(yè)內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行管理和健康�����。當(dāng)前����,網(wǎng)絡(luò)安全態(tài)勢感知的主要應(yīng)用行業(yè)包括政務(wù)�、金融�、網(wǎng)絡(luò)運(yùn)營��、教育等�����。
大型機(jī)構(gòu)或企業(yè):從日常安全運(yùn)維角度出發(fā)����,對核心資產(chǎn)和業(yè)務(wù)系統(tǒng)的安全狀態(tài)進(jìn)行管理和監(jiān)控���。
04、 如何評估態(tài)勢感知的建設(shè)結(jié)果
網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)結(jié)果可以從如下幾個方面進(jìn)行評估:
防御:利用掌握的情報和資產(chǎn)摸底信息,完善防御體系�,消除資產(chǎn)風(fēng)險��。
檢測:提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力�,快速�����、精準(zhǔn)地檢測出安全威脅����。
響應(yīng):提供涵蓋終端和網(wǎng)絡(luò)的響應(yīng)能力�,支持攻擊取證、事件溯源和威脅修復(fù)等�。
預(yù)測:通過對歷史安全情況、現(xiàn)網(wǎng)流行攻擊和情報系統(tǒng)進(jìn)行綜合研判,提供改進(jìn)建議��。
05、什么是態(tài)勢感知的三個層級
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的認(rèn)知過程提出了一個經(jīng)典的態(tài)勢感知模型����。這個模型在當(dāng)前看來雖然比較簡單��,但卻是很多后續(xù)理論的基礎(chǔ),人們一般稱該模型為Endsley模型(Endsley's model)�����。
Endsley模型將態(tài)勢感知分為三個層級,分別是態(tài)勢要素感知�、態(tài)勢理解和態(tài)勢預(yù)測�����。
要素感知(Level 1):感知環(huán)境中相關(guān)要素的狀態(tài)、屬性和動態(tài)等信息��。
態(tài)勢理解(Level 2):通過識別���、解讀和評估的過程�,將不相關(guān)的要素信息聯(lián)系起來�,并關(guān)注這些信息對預(yù)期目標(biāo)的影響����。
態(tài)勢預(yù)測(Level 3):基于對前兩級信息的理解�����,預(yù)測未來的發(fā)展態(tài)勢和可能產(chǎn)生的影響�。
