【PConline 雜談】隨著物聯網、移動網際網路、大資料、雲端計算等新興技術的迅速發展及落地,使得如今的網路邊界越來越模糊,與此同時,在巨大利益的驅使下,資料竊取、勒索病毒、DDoS攻擊等安全事件時有發生,資訊保安不再是企業、組織、國家要面對的問題,而是關乎所有人!若要防範攻擊,先要‘感知’威脅,正所謂「知己知彼,百戰不殆」。那麼,我們要如何感知威脅?這與安全圈裏人人都在談論的安全態勢感知有何關係?
若問「態勢感知」為何物?直教人知己知彼百戰不殆
何為態勢感知?
實際上,這個概念最早出現在軍事領域,涵蓋感知、理解和預測三個層次。後來,隨著網路安全重要性的凸顯,態勢感知開始在網路安全領域展露頭角,升級為「網路態勢感知(Cyberspace Situation Awareness,CSA)」,是一種 基於環境、動態、整體地洞悉安全風險的能力 ,並 以安全大資料為基礎,從全域性視角提升對安全威脅的發現識別、理解分析和響應處置 ,旨在大規模網路環境中對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,進而進行安全的相關決策與行動。
正如上圖所示,態勢是一種狀態、一種趨勢,更是整體和全域性的概念,因此任何單一的情況或狀態都不能稱之為態勢。因此, 我們在理解態勢時,要特別強調環境性、動態性和整體性 。這裏,環境性指的是態勢感知的應用環境是在一個較大的範圍內具有一定規模的網路;動態性,指的是態勢隨時間不斷變化,態勢資訊既包括過去和當前的狀態,還包括對未來趨勢的預測;整體性,則是態勢各實體間相互關係的體現,某些網路實體狀態發生變化,會影響到其他網路實體的狀態,而影響整個網路的態勢。
瞭解了態勢感知之後,我們就好理解何為安全態勢感知了。所謂安全態勢感知,就是利用資料融合、挖掘、智慧分析以及視覺化等技術,最直觀的顯示網路中的實時安全狀況,從而為網路提供安全保障。有了視覺化的安全態勢感知,監管人員可以及時當前網路狀況,是否收到攻擊,攻擊來源以及體系內有哪些服務是薄弱環節易遭攻擊,做好對應安全策略,防範於未然。
為何都在談論態勢感知?
你以為只有你在進步嗎?如今我們所面對的攻擊者,已從興趣驅動變成更務實的利益驅動,他們不僅分工明確,所採用的攻擊技術也更先進,手段更高明,花招更多。攻擊的專業化和利益化,引發的直接後果就是,‘不是你會不會被黑,而是何時會被黑’,甚至說被黑了你都不知道。
面對越來越專業的惡意攻擊,我們還要用落後的邊界隔離理念,日漸臃腫的攻擊特徵庫,與對方多變的滲透技術,智慧的HaaS服務,隱蔽的通道相抗衡嗎?態勢感知成破局關鍵。要知道,一次成功的滲透和攻擊,包含了資訊蒐集、攻擊嘗試、移動提權、資訊回傳等多個過程,因此沒有萬無一失的籌謀,再聰明的攻擊者也會留下蛛絲馬跡,而我們要做的就是在「事前」發現它。
不僅如此,在《「十三五」國家資訊化規劃》中,也將安全態勢感知列入了十大任務之中,可見其重要性非同一般。此外,隨著《網路安全法》的出臺,各大安全廠商紛紛投身於網路安全態勢感知相關解決方案的研發當中,例如銳捷網路、360、綠盟、深信服、亞信安全等廠商,都已推出自己相關的態勢感知解決方案。
安全,我要眼見為實
之前我們說,態勢感知以安全大資料為基礎,從全域性視角提升對安全威脅的發現識別、理解分析和響應處置。為此,網路安全態勢感知要在對網路資源進行要素採集的基礎上,對資料預處理、網路安全態勢特徵提取、態勢評估、預測以及態勢展示等環節通力完成。那麼如何將這些重要的資訊以及網路威脅,清晰的呈現給使用者呢?
以銳捷網路安全態勢感知解決方案為例,該解決方案以銳捷RG-BDS大資料安全分析平臺為核心,是一個「裝置+平臺+服務」多維度的方案。作為態勢感知資訊的來源基礎,銳捷將從防火牆、IPS、WAF以及各種伺服器、網路裝置等安全採集層,獲取大量的例如安全攻擊事件、使用者訪問記錄、業務異常資訊等安全資訊。並從攻擊發現、APT深度分析、威脅預測、安全知識庫協助、工單跟蹤閉環等模組構建全流程安全體系,打造出「四大」核心能力。
那麼,有了大量的安全資料後,RG-BDS要如何篩選和精準分析這些資料呢?我們說,安全分析相當於人的大腦,分析模型非常重要,而BDS內建有數百個安全分析模型,並且能夠通過機器學習、威脅情報等自動生成相應分析模型,更支援雲端持續的分析模型升級能力。
就「攻擊行為可發現」而言,針對攻擊威脅日益隱蔽化,例如定製化的APT高階攻擊和「暗網」內銷售的0day漏洞程式碼,都可以讓惡意代碼長期隱藏在企業內網而不被察覺。為此,該方案以「發現」為第一核心能力,通過對基礎網路、中介軟體、業務系統、終端、安全裝置等多維度的資訊採集,結合深度分析、機器學習等關鍵技術,以實時發現和精準定位為目標,實現攻擊溯源、歸併告警等多種方式的視覺化呈現,讓使用者網路中的攻擊行為無處可藏,為使用者帶去「看得見的安全,信得過的網路」。
最後,要如何對未來威脅進行預測呢?答案就是,除了自身資料的深度分析,BDS還將提供雲端安全情報中心聯動,實時獲取最新的安全威脅資料,結合客戶網路風險的分析結果,對未來安全趨勢進行預判及風險預警,提前進行安全加固防範。
如今,我們已從單純的網路安全邁向了涵蓋物聯網、車聯網、雲端計算、大資料、移動互聯等多領域的大安全時代,顯然過去那些傳統的安全防護措施已不能很好的保護我們,正因如此,安全技術才更應與時俱進,利用人工智慧、大資料等新興技術,建立起適合當下安全環境的新型防禦體系,而態勢感知,可以讓使用者看清業務,看到威脅,更看懂風險所在。