2024年06月18日
態(tài)勢(shì)感知(SA,Situational Awareness or Situation Awareness)是對(duì)一定時(shí)間和空間內(nèi)的環(huán)境元素進(jìn)行感知,并對(duì)這些元素的含義進(jìn)行理解,最終預(yù)測(cè)這些元素在未來的發(fā)展?fàn)顟B(tài)。當(dāng)前,大家提到“態(tài)勢(shì)感知”時(shí)主要是指“網(wǎng)絡(luò)安全態(tài)勢(shì)感知”,即將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。網(wǎng)絡(luò)安全態(tài)勢(shì)感知可以使網(wǎng)絡(luò)安全人員宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),識(shí)別出當(dāng)前網(wǎng)絡(luò)中存在的問題和異?;顒?dòng),并作出相應(yīng)的反饋或改進(jìn)。通過對(duì)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全狀況進(jìn)行分析和預(yù)測(cè),為高層決策提供有力支撐和參考。
01、 網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念來源
態(tài)勢(shì)感知的概念起源于20 世紀(jì)80 年代的美國空軍,當(dāng)時(shí)主要用于分析空戰(zhàn)環(huán)境信息,對(duì)當(dāng)前和未來形勢(shì)進(jìn)行分析,最終做出相應(yīng)的判斷和決策。后來經(jīng)過不斷發(fā)展和完善,形成相關(guān)理論體,已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全、網(wǎng)絡(luò)等領(lǐng)域。網(wǎng)絡(luò)安全態(tài)勢(shì)感知即是將態(tài)勢(shì)感知的相關(guān)理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中。
態(tài)勢(shì)感知的概念比較抽象,我們舉個(gè)例子來幫助理解:天氣預(yù)報(bào)就可以理解為一種“態(tài)勢(shì)感知”。通過對(duì)某一地點(diǎn)的持續(xù)觀測(cè)和分析,我們可以預(yù)測(cè)未來一段時(shí)間內(nèi)的天氣。尤其是對(duì)重大災(zāi)害天氣的預(yù)測(cè),如臺(tái)風(fēng)、霧霾、暴雪等,對(duì)我們來講尤為重要。通過提前進(jìn)行人員和財(cái)產(chǎn)的轉(zhuǎn)移,準(zhǔn)備相關(guān)抗災(zāi)措施,可以大大降低災(zāi)害帶來的影響,這就是進(jìn)行“態(tài)勢(shì)感知”的重要目的。
02、為什么網(wǎng)絡(luò)安全態(tài)勢(shì)感知很重要
隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展,人們的安全意識(shí)在逐步提高。我們已經(jīng)不再篤定認(rèn)為自己的網(wǎng)絡(luò)是絕對(duì)安全的,相反的,我們認(rèn)為網(wǎng)絡(luò)遭受攻擊是必然的、常態(tài)化的。我們不能阻止攻擊行為,但是可以提前識(shí)別和發(fā)現(xiàn)攻擊行為,盡可能降低損失。也就是說,安全防護(hù)思想已經(jīng)從過去的被動(dòng)防御向主動(dòng)防護(hù)和智能防護(hù)轉(zhuǎn)變。
同時(shí),物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異,很多顛覆性的新技術(shù)也引入了新的安全問題。例如海量終端接入、傳統(tǒng)的網(wǎng)絡(luò)邊界消失、網(wǎng)絡(luò)攻擊的隱蔽性和復(fù)雜度大大增強(qiáng)等,這都為我們提出了新的挑戰(zhàn),也對(duì)網(wǎng)絡(luò)安全人員的能力也提出了更高的要求。
正是在這樣的背景下,以網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)可以帶動(dòng)整個(gè)安全防護(hù)體系升級(jí),實(shí)現(xiàn)以下三個(gè)方面的轉(zhuǎn)變:
安全建設(shè)的目標(biāo)從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪?qiáng)防御和威懾能力,并且更加注重對(duì)抗性,這對(duì)情報(bào)技術(shù)提出了更高要求。
攻擊檢測(cè)的對(duì)象從已知威脅轉(zhuǎn)變?yōu)槲粗{,通過大數(shù)據(jù)分析、異常檢測(cè)、態(tài)勢(shì)感知、機(jī)器學(xué)習(xí)等技術(shù),實(shí)現(xiàn)對(duì)高級(jí)威脅的檢測(cè)。
對(duì)威脅的響應(yīng)從人工分析并處置轉(zhuǎn)變?yōu)樽詣?dòng)響應(yīng)閉環(huán),強(qiáng)調(diào)應(yīng)急響應(yīng)、協(xié)同聯(lián)動(dòng),實(shí)現(xiàn)安全彈性。
03、網(wǎng)絡(luò)安全態(tài)勢(shì)感知的應(yīng)用場景
由于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的建設(shè)復(fù)雜度和建設(shè)成本較高,所以當(dāng)前主要應(yīng)用場景還是在大型機(jī)構(gòu)和大中型企業(yè)中。對(duì)于規(guī)模較小的單位,可以選擇功能和架構(gòu)相對(duì)簡單、性能相對(duì)較弱的集成單一產(chǎn)品。
政府機(jī)關(guān):從國家維度或省市行政管理維度,對(duì)相關(guān)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行管理和監(jiān)控。
大型行業(yè):從行業(yè)體系維度,對(duì)行業(yè)內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行管理和健康。當(dāng)前,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主要應(yīng)用行業(yè)包括政務(wù)、金融、網(wǎng)絡(luò)運(yùn)營、教育等。
大型機(jī)構(gòu)或企業(yè):從日常安全運(yùn)維角度出發(fā),對(duì)核心資產(chǎn)和業(yè)務(wù)系統(tǒng)的安全狀態(tài)進(jìn)行管理和監(jiān)控。
04、 如何評(píng)估態(tài)勢(shì)感知的建設(shè)結(jié)果
網(wǎng)絡(luò)安全態(tài)勢(shì)感知的建設(shè)結(jié)果可以從如下幾個(gè)方面進(jìn)行評(píng)估:
防御:利用掌握的情報(bào)和資產(chǎn)摸底信息,完善防御體系,消除資產(chǎn)風(fēng)險(xiǎn)。
檢測(cè):提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力,快速、精準(zhǔn)地檢測(cè)出安全威脅。
響應(yīng):提供涵蓋終端和網(wǎng)絡(luò)的響應(yīng)能力,支持攻擊取證、事件溯源和威脅修復(fù)等。
預(yù)測(cè):通過對(duì)歷史安全情況、現(xiàn)網(wǎng)流行攻擊和情報(bào)系統(tǒng)進(jìn)行綜合研判,提供改進(jìn)建議。
05、什么是態(tài)勢(shì)感知的三個(gè)層級(jí)
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的認(rèn)知過程提出了一個(gè)經(jīng)典的態(tài)勢(shì)感知模型。這個(gè)模型在當(dāng)前看來雖然比較簡單,但卻是很多后續(xù)理論的基礎(chǔ),人們一般稱該模型為Endsley模型(Endsley's model)。
Endsley模型將態(tài)勢(shì)感知分為三個(gè)層級(jí),分別是態(tài)勢(shì)要素感知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)。
要素感知(Level 1):感知環(huán)境中相關(guān)要素的狀態(tài)、屬性和動(dòng)態(tài)等信息。
態(tài)勢(shì)理解(Level 2):通過識(shí)別、解讀和評(píng)估的過程,將不相關(guān)的要素信息聯(lián)系起來,并關(guān)注這些信息對(duì)預(yù)期目標(biāo)的影響。
態(tài)勢(shì)預(yù)測(cè)(Level 3):基于對(duì)前兩級(jí)信息的理解,預(yù)測(cè)未來的發(fā)展態(tài)勢(shì)和可能產(chǎn)生的影響。