態勢感知
洞悉安全風險的能力
態勢感知的概念最早在軍事領域被提出,覆蓋感知、理解和預測三個層次。並隨著網路的興起而升級為“網路態勢感知(Cyberspace Situation Awareness,CSA)”。旨在大規模網路環境中對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,進而進行決策與行動。
“態勢感知(Situation Awareness,SA)”嚴格說並不是一個新名詞。早在20世紀80年代,美國空軍就提出了態勢感知的概念,覆蓋感知(感覺)、理解和預測三個層次。90年代,態勢感知的概念開始被逐漸被接受,是指在大規模網路環境中對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,而最終的目的是要進行決策與行動。
隨著網路安全重要性的凸顯,態勢感知開始在網路安全領域展露頭角。2009年,美國白宮在公布的網路空間安全戰略文件中明確提出要構建態勢感知能力,並梳理出具備態勢感知能力和職責的國家級網路安全中心或機構,包含了國家網路安全中心(NCSC)、情報部門、司法與反間諜部門、US-CERT、網路作戰部門的網路安全中心(Cybersecurity Center)等,覆蓋了國家安全、情報、司法、公私合作等各個領域。
2016年4月19日,習總書記在與網路安全業界人士座談會上明確指出:“加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網路安全態勢,增強網路安全防禦能力和威懾能力。”全天候全方位感知網路安全態勢。知己知彼,才能百戰不殆。沒有意識到風險是最大的風險。網路安全具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏幾年都發現不了,結果是“誰進來了不知道、是敵是友不知道、幹了什麼不知道”,長期“潛伏”在裡面,一旦有事就發作了。
現階段面對傳統安全防禦體系失效的風險,態勢感知能夠全面感知網路安全威脅態勢、洞悉網路及應用運行健康狀態、通過全流量分析技術實現完整的網路攻擊溯源取證,幫助安全人員採取針對性響應處置措施。
所以態勢感知系統應該具備網路空間安全持續監控能力,能夠及時發現各種攻擊威脅與異常;具備威脅調查分析及可視化能力,可以對威脅相關的影響範圍、攻擊路徑、目的、手段進行快速判別,從而支撐有效的安全決策和響應;能夠建立安全預警機制,來完善風險控制、應急響應和整體安全防護的水平。
習近平總書記在去年的419座談會上提出:“安全是發展的前提,發展是安全的保障,安全和發展要同步推進。要樹立正確的網路安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網路安全態勢,增強網路安全防禦能力和威懾能力。”,隨著《網路安全法》和《國家網路安全戰略》的相繼出台,態勢感知被提升到了戰略高度,眾多大行業、大型企業都開始倡導、建設和積極應用態勢感知系統,以應對網路空間安全嚴峻挑戰。
如今,“態勢感知”已經成為網路空間安全領域聚焦的熱點,也成為網路安全技術、產品、方案不斷創新、發展、演進的彙集體現,更代表了當前網路安全攻防對抗的最新趨勢。
監管機構:從國家層面、省市大地域層面,對國計民生相關的關鍵信息基礎設施的安全態勢進行整體的監測與關注。
大型行業:從體系內部建立態勢感知,應用於內部系統的安全運營,發現重要威脅,解決問題,把安全能力落地;通過態勢感知對多分支或二級單位進行外部監管,以提升整體的安全狀態的掌握,同時與監管機構進行事件應急處置及威脅情報的合作。
大型機構或企業:從日常安全工作角度出發,對內部有價值的核心資產、業務系統安全狀態進行感知,發現各類威脅與內部異常違規,保證業務系統能夠比較平穩、順暢地運行,更偏內部安全的運營型能力的落地。
檢測:提供網路安全持續監控能力,及時發現各種攻擊威脅與異常,特別是針對性攻擊。
分析、響應:建立威脅可視化及分析能力,對威脅的影響範圍、攻擊路徑、目的、手段進行快速研判,目的是有效的安全決策和響應。
預測、預防:建立風險通報和威脅預警機制,全面掌握攻擊者目的、技戰術、攻擊工具等信息。
防禦:利用掌握的攻擊者相關目的、技戰術、攻擊工具等情報,完善防禦體系。
提升分析研判能力:分析研判保障事件正確響應處置、逐步完善防禦架構;依賴外部威脅情報和本地的流量日誌進行有效的分析研判。
信息與情報共享:實現本行業、本領域的網路安全監測預警和信息通報;研判分析和情報共享是預警、預測的基礎。
履行行業監管職責:邊界流量探針、雲監控和外部情報監測等優選檢測手段,實現對行業的監管。