什么是網(wǎng)絡(luò)安全態(tài)勢(shì)感知�?你了解多少?
2024年06月18日
態(tài)勢(shì)感知(SA����,Situational Awareness or Situation Awareness)是對(duì)一定時(shí)間和空間內(nèi)的環(huán)境元素進(jìn)行感知,并對(duì)這些元素的含義進(jìn)行理解����,最終預(yù)測(cè)這些元素在未來的發(fā)展?fàn)顟B(tài)。當(dāng)前�����,大家提到“態(tài)勢(shì)感知”時(shí)主要是指“網(wǎng)絡(luò)安全態(tài)勢(shì)感知”,即將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中����。網(wǎng)絡(luò)安全態(tài)勢(shì)感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),識(shí)別出當(dāng)前網(wǎng)絡(luò)中存在的問題和異?�;顒?dòng)���,并作出相應(yīng)的反饋或改進(jìn)����。通過對(duì)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀況進(jìn)行分析和預(yù)測(cè)��,為高層決策提供有力支撐和參考�����。
01�����、 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念來源
態(tài)勢(shì)感知的概念起源于20 世紀(jì)80 年代的美國空軍���,當(dāng)時(shí)主要用于分析空戰(zhàn)環(huán)境信息,對(duì)當(dāng)前和未來形勢(shì)進(jìn)行分析,最終做出相應(yīng)的判斷和決策��。后來經(jīng)過不斷發(fā)展和完善����,形成相關(guān)理論體,已廣泛應(yīng)用于軍事��、航空��、工業(yè)生產(chǎn)��、安全�、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢(shì)感知即是將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中����。
態(tài)勢(shì)感知的概念比較抽象,我們舉個(gè)例子來幫助理解:天氣預(yù)報(bào)就可以理解為一種“態(tài)勢(shì)感知”�。通過對(duì)某一地點(diǎn)的持續(xù)觀測(cè)和分析,我們可以預(yù)測(cè)未來一段時(shí)間內(nèi)的天氣����。尤其是對(duì)重大災(zāi)害天氣的預(yù)測(cè),如臺(tái)風(fēng)��、霧霾、暴雪等�����,對(duì)我們來講尤為重要�����。通過提前進(jìn)行人員和財(cái)產(chǎn)的轉(zhuǎn)移����,準(zhǔn)備相關(guān)抗災(zāi)措施,可以大大降低災(zāi)害帶來的影響��,這就是進(jìn)行“態(tài)勢(shì)感知”的重要目的��。
02�����、為什么網(wǎng)絡(luò)安全態(tài)勢(shì)感知很重要
隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展��,人們的安全意識(shí)在逐步提高���。我們已經(jīng)不再篤定認(rèn)為自己的網(wǎng)絡(luò)是絕對(duì)安全的�����,相反的����,我們認(rèn)為網(wǎng)絡(luò)遭受攻擊是必然的��、常態(tài)化的�。我們不能阻止攻擊行為,但是可以提前識(shí)別和發(fā)現(xiàn)攻擊行為�,盡可能降低損失。也就是說���,安全防護(hù)思想已經(jīng)從過去的被動(dòng)防御向主動(dòng)防護(hù)和智能防護(hù)轉(zhuǎn)變��。
同時(shí)�,物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異��,很多顛覆性的新技術(shù)也引入了新的安全問題�����。例如海量終端接入��、傳統(tǒng)的網(wǎng)絡(luò)邊界消失、網(wǎng)絡(luò)攻擊的隱蔽性和復(fù)雜度大大增強(qiáng)等�,這都為我們提出了新的挑戰(zhàn),也對(duì)網(wǎng)絡(luò)安全人員的能力也提出了更高的要求���。
正是在這樣的背景下����,以網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展���。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可以帶動(dòng)整個(gè)安全防護(hù)體系升級(jí)�,實(shí)現(xiàn)以下三個(gè)方面的轉(zhuǎn)變:
安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力�����,并且更加注重對(duì)抗性�,這對(duì)情報(bào)技術(shù)提出了更高要求。
攻擊檢測(cè)的對(duì)象從已知威脅轉(zhuǎn)變?yōu)槲粗{�,通過大數(shù)據(jù)分析、異常檢測(cè)���、態(tài)勢(shì)感知�、機(jī)器學(xué)習(xí)等技術(shù)��,實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)����。
對(duì)威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣?dòng)響應(yīng)閉環(huán),強(qiáng)調(diào)應(yīng)急響應(yīng)��、協(xié)同聯(lián)動(dòng)��,實(shí)現(xiàn)安全彈性�����。
03��、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用場景
由于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高����,所以當(dāng)前主要應(yīng)用場景還是在大型機(jī)構(gòu)和大中型企業(yè)中。對(duì)于規(guī)模較小的單位�,可以選擇功能和架構(gòu)相對(duì)簡單、性能相對(duì)較弱的集成單一產(chǎn)品���。
政府機(jī)關(guān):從國家維度或省市行政管理維度���,對(duì)相關(guān)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行管理和監(jiān)控�。
大型行業(yè):從行業(yè)體系維度�,對(duì)行業(yè)內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行管理和健康。當(dāng)前��,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主要應(yīng)用行業(yè)包括政務(wù)����、金融、網(wǎng)絡(luò)運(yùn)營����、教育等。
大型機(jī)構(gòu)或企業(yè):從日常安全運(yùn)維角度出發(fā)�,對(duì)核心資產(chǎn)和業(yè)務(wù)系統(tǒng)的安全狀態(tài)進(jìn)行管理和監(jiān)控。
04�����、 如何評(píng)估態(tài)勢(shì)感知的建設(shè)結(jié)果
網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建設(shè)結(jié)果可以從如下幾個(gè)方面進(jìn)行評(píng)估:
防御:利用掌握的情報(bào)和資產(chǎn)摸底信息�,完善防御體系,消除資產(chǎn)風(fēng)險(xiǎn)�。
檢測(cè):提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力,快速����、精準(zhǔn)地檢測(cè)出安全威脅��。
響應(yīng):提供涵蓋終端和網(wǎng)絡(luò)的響應(yīng)能力,支持攻擊取證�����、事件溯源和威脅修復(fù)等��。
預(yù)測(cè):通過對(duì)歷史安全情況�、現(xiàn)網(wǎng)流行攻擊和情報(bào)系統(tǒng)進(jìn)行綜合研判,提供改進(jìn)建議��。
05�����、什么是態(tài)勢(shì)感知的三個(gè)層級(jí)
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中�����,仿照人的認(rèn)知過程提出了一個(gè)經(jīng)典的態(tài)勢(shì)感知模型�����。這個(gè)模型在當(dāng)前看來雖然比較簡單,但卻是很多后續(xù)理論的基礎(chǔ)����,人們一般稱該模型為Endsley模型(Endsley's model)。
Endsley模型將態(tài)勢(shì)感知分為三個(gè)層級(jí)����,分別是態(tài)勢(shì)要素感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)����。
要素感知(Level 1):感知環(huán)境中相關(guān)要素的狀態(tài)、屬性和動(dòng)態(tài)等信息��。
態(tài)勢(shì)理解(Level 2):通過識(shí)別�����、解讀和評(píng)估的過程���,將不相關(guān)的要素信息聯(lián)系起來�����,并關(guān)注這些信息對(duì)預(yù)期目標(biāo)的影響�����。
態(tài)勢(shì)預(yù)測(cè)(Level 3):基于對(duì)前兩級(jí)信息的理解��,預(yù)測(cè)未來的發(fā)展態(tài)勢(shì)和可能產(chǎn)生的影響��。
