态势感知是目前网络安全领域的热点，然而面对扑面而来的态势感知热潮、混乱的概念和良莠不齐的方案，无论是需求方还是建设方都还有点“消化不良”。以下内容试图拨乱反正，帮助大家更准确的理解和把握态势感知。

态势感知是什么?

    态势感知的概念最早是由美国空军提出，是为提升空战能力，分析空战环境信息、快速判断当前及未来形势，以作出正确反应而进行的研究探索。

    上世纪90年代这个概念被引入了信息安全领域，最知名的2003年开始的美国的爱因斯坦计划(正式名称国家网络空间安全保护系统The National  Cybersecurity Protection  System)，2013年已经开始第三期的建设，美国CERT及后续DHS(国土安全部)对态势感知进行了不断探索。

    美国国家安全系统委员会对态势感知的定义是：“在一定的时间和空间范围内，企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险，并对他们未来的状态进行预测。”态势感知是偏重于检测和响应分析能力的建设，这确实是现实最迫切的安全需要。

为什么需要态势感知?

    面对新的安全形势，传统安全体系遭遇瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

    从美国对爱因斯坦计划的持续不断投入，可以看到网络空间安全的态势感知，对于国家、行业有多么重要的意义。我国的网络安全形势非常严峻，截止2016年底，仅360公司就累计监测到针对中国境内目标发动攻击的APT组织36个，最近仍处于活跃状态的APT组织至少有13个，这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设施的行业/企业。今年爆发的WannaCry勒索蠕虫，更让我们看到了网络武器民用化之后可能造成的巨大灾害。

    从现实中的网络安全建设看，多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，也遇到发展瓶颈。简单通过购买更多的安全设备已经不能使安全能力有提升，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基础上，开始增加在非特征技术检测能力上的投入，以及事件响应分析能力的建设;并通过对事件的深度分析及信息情报共享，建立预测预警并针对性改善安全系统，最终达到有效检测、防御新型攻击威胁之目的。

    正是因为这些现实的问题，习总书记才会在4.19讲话中明确提出建设“全天候全方位感知网络安全态势 ”。

态势感知能干什么?

    网络安全与战争一样，本质是攻防双方的对抗，攻防之战，速度为王，作为防守方的目标是缩短攻击者的自由攻击时间。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势，以作出正确响应。

    “全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位，可以理解为时间维度和检测内容维度。

    在时间维度上，需要利用已有实时或准实时的检测技术，还需要通过更长时间数据来分析发现异常行为特别是失陷情况。

    在内容维度上，也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下5类检测能力，或者说至少4类(参照Gartner：Five Styles of  Advanced Threat Defense )：

    基于流量特征的实时检测(WAF、IPS、NGFW等)

    基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)

    针对内容的静态、动态分析机制(沙箱)

    基于终端行为特征的实时检测(ESP)

    基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)

    “态”指是从全局角度看到的现状，包括组织自身的威胁状态和整体的安全环境，需要基于之前提到的5种检测能力尽可能的发现攻击事件或攻击线索，同时需要对涉及到的报警提供进一步的分析，回答以下的问题：

• 是真实的攻击吗?是否可能误报?是否把扫描识别为真实攻击?

• 是什么性质的攻击?定向或者随机?

• 可能的影响范围和危害

• 缓解或者清除的方法及难度

    无法正确的回答这些问题，只是简单的将报警在地图上呈现就无法体现有现实价值的“态”，无法确定是否可以进入处置流程。

    “势”，即未来的状态。要能预测组织未来的安全状态，需要对现阶段所面临的攻击事件特别是定向攻击事件有深入的了解：

• 是新的攻击团队还是已知团伙

• 攻击者的意图

• 攻击者的技战术水平及特点

• 是否属于一次大型战役的一部分

    了解这些信息，同时通过信息和情报共享，对同行业或相似部门的相关此类信息也有所了解，就能够预测未来可能处于的安全状态以及需要防御的重点，即预测预防能力。

谁能做态势感知?

    要完成态势感知的建设目标，需要具备以下三大核心要素：流量数据采集、威胁情报和安全分析师。

    流量数据采集相对而言实施难度较小，同时还有着不可替代的价值：通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP(战术、技术和过程)。因此流量数据是态势感知中必须考虑的一环。

    威胁情报是随着新型威胁防御快速成长的一个领域，在态势感知建设中有着决定性的作用。最经常被提到的一类是可机读情报(MRTI)，主要是赋能给安全产品，增强或升级其安全能力。

    为了帮助安全分析师完成对事件的分析，威胁情报领域内提供了专业的情报分析工具(情报分析平台/关联分析平台)，分析师通过这样的平台可以方便的完成过去付出极大体力和脑力也难以进行的工作：

• 判定一个攻击是否属于已知攻击

• 查找和攻击相关的网络基础设施(域名、主机)及样本

• 了解这些基础设施和样本的详情

• 判定攻击是否和某个已知团伙相关并了解这个攻击团伙的基本情况

    威胁情报中还有一类TTP类型的情报，属于人读的情报，主要针对已发生的重要安全事件，分析攻击者的攻击范围、攻击目的、具体的技战术手法和攻击过程，并提炼出防御建议。

    流量数据和威胁情报都很重要，但它们能发挥多大作用，最终还是要依赖与人的力量，其中最重要的是安全分析师，是安全运营中的高级人才。安全分析师的成长需要较好的环境(如数据和情报)、以及大量的实战机会，难以大批量培养。安全分析师是态势感知必须倚重的重要部分，是确定态势感知项目成败的又一个关键因素。成功的态势项目必须考虑到如何引入或培养这样的人才，并通过提供好的工具和流程来支撑他们高效的完成任务。

    态势感知是综合性的安全能力建设，流量数据、威胁情报以及安全分析师是影响项目成败的关键因素，另外大数据平台、可视化、资产管理等也很重要。

如何建设态势感知?

    态势感知建设是个复杂的系统工程，分阶段建设是一种必要、稳妥的方法。

以下综合态势感知中涉及的主要方面，给出一些阶段性的划分意见：

1. 基于特定组织，完成内部态势感知基本建设

    这个阶段的建设内容主要包括：数据和报警的收集、威胁情报平台、事件分析研判平台、内部处置管理平台以及呈现、辅助完成这些工作的可视化应用。这样在一个单位内部可以支撑完整的安全运营。其中需要的安全分析师可以通过购买外部服务的方式获得。

2. 建立纵向支撑体系以及情报数据共享体系

    这个阶段的建设包括纵向的恶意代码分析中心、增强的事件分析中心、以及情报分享机制和纵向威胁情报中心。恶意代码分析和重大事件分析是需要高水平的安全分析师的，利用纵向的建设，集中使用这些资源，可以更快的提升整体运营水平，也有利于安全分析师的培养。情报分享机制保障信息在行业内部以及和公安、网信等部门的同步，同时通过纵向威胁情报中心收集、处理、分发内部情报信息，对整个行业或组织面临的威胁有一个更精准、全面的掌控，让关键性情报可以更迅速、有效的使用。

3. 建立整体性自动化防御能力

    到了这个阶段，随着纵向支撑体系和整体情报分析能力的增强，遇到关键事件可以进行整体化防护，如自动化配置相关的NGFW、IPS或邮件网关设备，再如利用内部的DNS系统对特定的DNS解析进行重定向(Sinkhole)等，利用这些手段更快速、高效的进行遏抑攻击事件，为清除攻击争取时间。

    一个安全体系尤其是态势感知这样的复杂体系，在体系建设前，建议先和专业的咨询机构和专业的安全服务商一起进行咨询、规划，作为前期的配合工作。

选择什么合作伙伴?

    态势感知的建设需要明确建设目标、掌控好关键性因素、分阶段开展相关的建设。这个过程中选择适合的伙伴就特别重要。

    和什么样的伙伴合作能够获得最重要的威胁情报、安全分析师资源，得到成熟的流量数据解决方案，是需要仔细考量的问题。但我们可以乐观的看到，早年曾经制约态势感知能力建设的数据平台和威胁情报能力、高级别的安全分析师资源，在近几年都有了快速的发展，有相应的优质资源可以获得。相信通过一段时期的态势感知建设，我国的网络空间安全水平会有一个整体的提升，有足够的能力去更好面对来自网络犯罪团伙、意识形态黑客以及国家级别的攻击威胁。

    在9月13日举行的中国互联网安全大会(ISC  2017)的大数据与威胁分析论坛上，来自全球的网络安全专家的专家将进一步讨论态势感知在新安全运营体系中的价值。

 

                                                            ----文摘