360重磅发布十大网络安全“利器”,重塑数字化时代大安全格局
随着全球数字化的推进,网络空间日益成为一个全域连接的复杂巨系统,安全需要以新的战法和框架解决这个巨系统的问题。 近日,在第九届互联网安全大会(ISC 2021)上,三六零(股票代码:601360.SH,下称“360”)创始人、董事长周鸿祎正式提出以360安全大脑为核心,协同安全基础设施体系、安全专家运营应急体系、安全基础服务赋能体系“四位一体”的新一代安全能力框架。
基于此框架,360在ISC 2021上重磅发布十大网络安全“利器”,全面考虑安全防御、检测、响应等威胁应对环节的需求,充分发挥安全战略资源、人的作用,保障框架防御的动态演进和运行。
360下一代威胁情报订阅服务
360下一代威胁情报订阅服务是集成360云端安全大脑所有安全能力的XaaS服务。 云端订阅安全服务,依托于360安全大脑16年来亿万级资产、漏洞、样本、网址、域名等安全大数据的积累,以及对于安全大数据分析形成的安全知识库,精细利用数据直 接从云端赋能,能够缩短安全的价值链,提高实时响应水平,降低设备、运营、人力成本,提高网络安全防护的专业性、灵活性和有效性。 本次ISC 2021中,360发布的360下一代威胁情报订阅服务包含了产品订阅服务和云端订阅服务两大类的十余个订阅应用和多个专业情报分析工具, 可以助力城市、行业、企业通过管理外部攻击面,掌握攻击者的意图、能力和技战术等,从而高效制定出应对策略;并可以专业的分析人员可以精准完成事件定性、攻击溯源、APT狩猎等高级分析工作,全方位护航相关业务的可持续发展。
360安全大脑情报中心
360安全大脑情报中心,是数据运营基础设施的“利器”。负责安全大数据采集、分析的数据运营基础设施下的新品。 360安全大脑情报中心依托于360安全大脑的亿万级安全大数据, 以数据运营和情报生产为核心,通过平台+社区的形式让更多的安全专业人员对威胁进行有效的分析溯源,为他们提供前所未有的情报和平台支撑服务。用户能够在平台上进行情报的检索、生产、 消费、讨论和反馈,并实现情报的再次生产。360各个研究方向的安全团队将根据热点安全事件实时将研究成果在情报社区进行共享,真正实现情报的互联互通。
360态势感知一体机2.0
360态势感知一体机2.0,是专家运营基础设施的“利器”。 在安全基础设施体系中,专家运营基础设施承担日常安全运营和应急响应的工作,负责提高态势感知与自动处置能力。360态势感知一体机2.0通过整合流量侧神经元,以轻松部署、方便运营、快速有效的能力优势广泛服务于中小型客户,充分满足客户对可视化、自动化、智能化态势感知、威胁分析、集中安全运营及合规需求,并通过远程专家运营和安全托管服务,帮助客户解决可持续运营的痛点问题。
360 新一代 网络攻防靶场平台
360新一代网络攻防靶场平台是攻击面防御基础设施下的“利器” ,面对数字化浪潮下不断加剧的安全风险,攻击面防御基础设施可有效负责发现和阻断外部攻击。360新一代网络攻防靶场平台利用虚拟化技术模拟真实业务网络,可为政企机构提供高度仿真、相互隔离、高效部署的虚实结合场景,为训练、对抗、试验、演习等需求提供流程管理、能效评估、数据分析、推演复盘等能力,可以全方位满足应对不断演化的网络攻击威胁、检验攻防能力、迭代防御体系等多样化需求。
360天相-资产威胁与漏洞管理系统
360天相-资产威胁与漏洞管理系统是攻击面防御基础设施下的“利器”, 其从数字资产安全日常管理场景出发,专注帮助用户发现资产,建立和增强资产的管理能力,同时结合全网漏洞情报,进一步弥补传统漏洞扫描信息不及时性,以及爆发新漏洞如何在海量资产中快速定位有漏洞的资产,并进行资产漏洞修复,跟踪管理。
360终端资产管理系统
360终端资产管理系统是数据运营基础设施下的“利器”, 其依托于360安全大脑情报中亿万级设备库信息,从XDR攻防对抗视角出发,以终端自动发现为基础,设备类型自动识别为核心实现内网终端资产的全发现,从而不断提高内网终端安全防护水平,提高攻击门槛,降低被攻击风险。
360零信任解决方案
360零信任解决方案是资源面管控基础设施下的“利器”, 资源面管控基础设施包括身份、密码证书、零信任和SASE基础设施,以身份化管理的方法,实现网络、系统、应用、数据的细粒度动态管控。此次ISC 2021中正式发布360“零信任解决方案”,是基于360积累的安全大数据,结合安全专家运营团队,可提供强大的数据和运营支撑能力。同时,通过整合攻击侧防护和访问侧防护,强调生态联合,构建了安全大数据支持下的零信任生态体系。
面向实战的攻防服务体系
持续的实战检验是“知己知彼”的有效途径。攻防对抗中的对 手、环境、自己都在不断变化,针对性发现问题和解决问题,才是 安全防护保持敏捷的关键,只有充分的利用好实战检验手段,才能 快速的弥补安全对抗中认知、经验、能力的不足。 面向实战的攻防服务体系是专家运营服务的最佳实践, 在360高级攻防实验室攻防对抗、漏洞研究、武器能力、情报分析、攻击溯源等核心研究方向和实战经验的赋能下,面向实战的攻防服务体系推出AD域评估、漏洞利用、攻击连分析、红蓝对抗等一系列攻防服务,打造出面向真实网络战场的安全能力,并实现安全能力的不断进化和成长,进一步保障各类业务安全。
车联网安全解决方案
在360新一代安全能力框架的支撑下,360能够整合各种生态产品,支撑各行各业的数字化场景,形成一张动态的、多视角、全领域覆盖的数字安全网。ISC 2021中,360正式发布了面向车联网的安全解决方案。车联网安全检测平台和车联网安全监测平台是基于对车联网环境的重要组件的数据采集、分析等技术,结合360安全大脑提供的分析预警和威胁情报,为车企、车路协同示范区车联网系统建立安全威胁感知分析体系,实现智能网联 汽车 安全事件的可感、可视、可追踪,为 汽车 行业、车路协同的安全运营赋能。
信创安全解决方案
当前,信创安全面临严峻的能力建设和整体集成方面的挑战。此次发布的信创安全解决方案, 从web应用和浏览器视角切入信创业务应用迁移带来的兼容性问题以及相关威胁和相应解决方案,推出了360扁鹊及支持零信任SDP安全接入体系的360企业安全浏览器。据悉,360扁鹊能针对基于Wintel平台上IE浏览器构建的业务系统的兼容性问题进行自动化排查及修复;同时,360企业安全浏览器可以实现跨平台终端的统一接入管理,并可以作为零信任SDP安全防护体系的终端载体实现基于国密加密通讯的算法的安全接入、基于环境及设备身份、用户身份、用户行为的动态判断和持续的访问控制能力。
随着新型网络威胁持续升级,传统碎片化的防御理念必然要向注重实战能力的安全新战法升级。同时要建设新的安全能力框架,提升纵深检测、纵深防御、纵深分析、纵深响应的整体防御能力。此次在ISC 2021上,360重磅发布的十大新品,无疑是充分调动自身数据、技术、专家等能力原量,将安全能力框架面向全域赋能落地的创新实践。
从认知技能到自动网络安全响应
摘要: 组织应该面对网络安全攻击,这可以强烈影响他们的操作流程,业务形象,和关键信息的安全。建立安全机制有助于减少可能被攻击者利用的弱点;然而,它们并不总是足够的,而且一次攻击可能会成功。因此,组织需要建立计划或过程来处理这些安全事件,甚至构建称为CSIRTs的事件响应团队。由于不同形式的攻击和海量数据的增长,处理网络安全事件需要适应新的安全管理策略。从这个意义上说,将大数据、人工智能和数据分析应用于网络安全,被定义为认知安全,提出了一种可行的替代方案,但有必要考虑,如果没有对网络安全专家进行充分培训,或者如果使用了他们的技术和非技术技能,技术解决方案就会缺乏有效性。在人类技能和技术解决方案之间建立密切的相互关系可以帮助设计一个充分和有效的检测和自动化过程,从而改进安全事件的处理。本研究分析了认知安全技术解决方案与网络安全专家技能之间的相互关系。提出了一个通过建立态势感知来进行决策的自动化事件响应框架。
一、引言
由于技术在不同领域的扩展,如金融服务、医疗服务、公共服务以及水、电、电信等关键基础设施,计算机安全已成为社会的一个基本要素。根据麻省理工学院(MIT)的说法,安全团队将面临的风险主要是针对物联网(IoT)设备、区块链和关键基础设施[1]的攻击;例如,麻省理工学院提到,攻击者在2019年主要使用人工智能和量子技术进行攻击。这种情况涉及有准备充分的组织和有能力面对这些新挑战的安全专业人员;在国际层面上,一些组织已经定义了通过称为计算机事件响应小组(CSIRTs)[2]的专家和研究人员团队快速响应安全风险的策略。CSIRT由来自网络安全、法律、心理学和数据分析师等领域的专家组成。CSIRT根据预先设定的程序和政策,对网络安全事件做出快速有效的反应,并降低网络攻击的风险。
CSIRTs中的安全分析人员需要处理大量的数据,以便i)确定触发可能的攻击警报的模式或异常,ii)更快速和有效地执行检测过程。CSIRTs的成员正在寻求基于技术解决方案的新策略,如大数据、机器学习和数据科学[3]。为了加快数据分析方法[4]的研究进程,美国国家标准与技术研究院(NIST)等国际组织启动了数据科学研究计划(DSRP)。在网络安全领域,认知科学在信息安全过程中的应用推动了认知安全[5]的概念;这允许进行预测性和说明性分析,从而提供安全攻击的可能影响的视图。CSIRTs成功的另一个关键因素是团队协作能力和对不同环境的适应能力。在21世纪的[7]时代,安全专业人员需要团队合作、批判性思维和沟通等技能。2015年9月,一个之间的协作计算机协会(ACM), IEEE计算机协会(IEEE CS),信息系统协会特殊利益集团对信息安全和隐私(AIS SIGSEC),以及国际信息处理联合会技术委员会信息安全教育(11.8联合会WG)提出了一个网络安全教育课程指南提到非技术技能计价的软技能,对于安全专业人员来说至关重要,并专注于:团队合作、沟通、情景感知的生成,以及使用不同组织文化[8]的操作。
在组织中产生网络安全态势感知的能力允许确定积极的策略来面对正在进行的和即将到来的攻击或威胁。情境意识产生于三个认知过程:认知、理解和投射。认知过程是人类行为固有的,它会受到不同因素的影响,例如:压力、疲劳、分心、物理或环境条件。分析任务的绩效以及这些因素的影响是一些研究者感兴趣的。例如,Robert Karasek提出了需求控制模型[9],该模型研究了计算机人员在不同工作领域的认知、情感和身体需求,计算机人员的心理需求水平较高。在此背景下,发展认知策略在信息加工的各个层面都是必要的;此外,还需要分析执行功能如何通过:抑止控制、工作记忆处理[10]优化来整合各级信息处理,从而帮助网络安全专业人员高效工作和充足的响应时间。
在这项研究中,我们提出了一个模型来整合网络安全领域的认知技能、团队合作和数据分析,如图1所示。认知安全可以利用安全分析人员的认知能力的特点,将这种知识和智能转移到计算机系统中;通过这样做,他们可以向安全团队执行一个即时响应动作或通知,以做出针对安全攻击的决策,如图1所示。
研究的其余部分组织如下。第二节介绍了有关自动网络安全响应的相关工作。第三节介绍了心理学在网络安全中的重要性的背景。第四部分提出了一个基于认知过程的自动化网络安全框架的建议。最后,第六部分总结了本文的研究结论,并提出了今后的工作方向。
二、相关工作
根据麻省理工学院评论[11]的分析,在2018年,城市将安装多层传感器来监测空气质量、垃圾水平或交通量;这一预测,加上Gartnert对2020年的预测,[12]将有204亿台联网设备。在新的安全场景中,组织必须面对网络或计算平台的规模和复杂性的急剧变化,这些网络或计算平台是组织支持服务提供和设备连接的基础。在这种新的背景下,传统的安全解决方案的行动能力和人类对安全事件的检测和响应能力受到了限制。为组织和研究人员评估的网络安全的替代方案是使用认知模型作为一种提议,以增强计算环境的安全性和扩大人类的分析能力。
在[13]中,作者提出了一个基于机器学习的检测与基于时间逻辑的分析的组合,允许区分异常和启用动态网络响应。在[14]中,包括对个人设备的认知安全的使用,以允许设备识别所有者和自主安全,以便设备采取自己的安全决策。基于函数和依赖关系[15]的知识,可以实现诊断的自动化。在“数字服务生态系统中的自主计算方法调查”[16]中,提出了应用自主计算概念的25种不同的数字生态系统,在[13]中,提出了认知安全方法如何能够建立“良好异常”来建立正常的操作参数,以及任何变化如何生成网络设备的自动自动重新配置来控制数据流。
三、认知技能和网络安全
a 态势感知
态势感知被定义为,从心理学领域,作为一种能力,产生对他的生活的理解,基于他的经验[17]。这一概念已适用于计算机系统领域;例如,Lewis将计算系统的自我意识定义为基于内部和外部事件[18]获取自身知识的能力。在[19]中,自我意识被定义为为计算机系统生成关于自身和环境的知识,并根据这些知识决定将要执行的行动的能力。
1)网络安全态势感知(CSA):态势感知(SA)的概念描述了组织当前的威胁和攻击情况,可能的攻击的影响,以及攻击者的识别和用户行为[20]。分析人员必须了解安全情况并确定影响的可能性。为了生成态势感知,我们可以使用OODA循环。Breton提出的认知OODA循环是基于感知、理解和投射[21]的认知过程。表一展示了认知阶段、认知过程和根据Brenton的提案产生的产品之间的关系。
2)网络认知态势感知(CCSA):
为了建立组织的网络安全态势意识,我们可以依靠面向决策过程的认知方面的支持。适应了网络空间的感知、理解和投射的认知过程,我们将拥有如表二所示的关系。
b .非技术技能
美国国土安全部(DHS)和国家网络安全联盟(NCSA)等组织都开展了国家网络安全意识月活动,在2018年庆祝了第15届[22],以促进社区了解数字环境中的风险和威胁的相关方面。在这些领域中,安全专业人员必须具有非技术技能,以便能够以清晰和一致的方式向一组没有技术背景的人员传播知识。针对组织内的网络安全,防御策略基于风险管理,如图2所示分为四个级别的网络安全风险管理生命周期。
在网络安全风险管理生命周期内,至少需要以下人员:
•团队领导/协调员;
•负责系统和信息安全;
•沟通团队或公关;
•分类器或分类;
•事件管理团队-二级;
•法律团队。
这强调了在一个由不同学科的专业人员共同协作的环境中发展协作技能的必要性,因此团队合作对于网络安全专家来说是一项非常重要的技能。Newstrom提到,21世纪的组织或公司更加灵活,能够迅速适应变化,横向关系更加有效;因此,今天的组织更加重视灵活的结构和横向沟通。任务和角色以更开放的方式定义,环境更加动态,团队的创建允许实现所描述的方面。莫林认为,复杂性和多学科工作是21世纪的一部分,未来的教育必须以人类状况和人类之间的多样化关系为中心。Morin在《21世纪教育》中提到的另一个重要方面是让学生准备好面对日常生活中不同事件所产生的不确定性。
关于Morin提到的关于关注学生人性方面的第一个方面,开始强调以加强技能为重点的培训可能是很重要的。芒福德将技能分为四类[25]:
1)认知能力;
2)人际交往能力;
3)业务技能;
4)战略技能。
一般来说,在网络安全领域的大学主要关注提高认知、商业和战略技能,但不太关注非技术技能。根据Mumford提出的分类,团队合作、协作、沟通和网络被包括在人际交往技能的类别中。未来的网络安全专业人士正在大学学习;因此,工程教育需要鼓励非技术技能的发展。Kyllonen提出了21世纪需要的技能,其中以下提到[7]:
•批判性思维;
•口头和书面沟通;
•劳动伦理;
•团队合作;
•合作;
•专业;
•故障排除。
良好的网络安全工作人员框架[26]为安全专业人员建立了一套知识、技能和能力与非技术方面相关,如:
•有能力参与计划小组,协调小组和任务小组的工作;
•能够运用合作技巧和策略;
•应用批判性阅读/思考技能的能力;
•与他人有效合作的能力。
关于Morin在计算机科学领域提出的第二个方面,即不确定性,一些作者如[27]和[28]提到,软件开发过程中的不确定性可能与人的参与、并发性和问题领域的不确定性有关。在软件环境中,产品的开发和用户最初提出的需求的变化之间可能会出现不确定性。在网络安全领域,不确定性可能与其他方面有关,如时间、类型和网络攻击的目标。
团队合作也会产生不确定性;在[29]中,作者提到,不确定性可以在人的功能和环境工作中产生,取决于诸如先见者、利他主义智力、收获和意外收获等变量。在[30]中,作者认为,不确定性取决于团队的结构和成员之间的相互作用。
如图3所示,在21世纪的教育背景下,对计算机科学工程专业的学生进行网络安全领域的教育,主要有四个方面是必须要做的。
四、基于认知技能的网络安全自动反应
我们对事件反应自动化的建议是基于建立态势意识的重要性,在理解组织安全的积极和消极方面的基础上做出正确的决策。我们的提议利用了协作的方法来产生自我意识和决策,是基于安全分析师的认知过程的重要性,以能够确定一个安全事件在多个事件之间,它必须被识别出一个异常行为,可以警告攻击。我们的建议中考虑的一个方面是为了加强认知过程。在2017年RSA会议上,IBM[31]展示了安全分析师在调查事件时必须执行的认知任务,在表III中,我们提出了网络安全认知任务和认知过程之间的联系。
对于自动响应安全事件的过程,我们提出了如图4所示的分层架构。我们的建议强调分析层,在分析层中对不同来源(如传感器、日志或安全博客)获得的数据进行理解。此外,在这一层中,安全分析人员的经验和有效的沟通是最基本的,因为它将预测充分评估事件,并将其归类为事件,并建立最适当的决策,以减少攻击的影响。具体地说,在这一层中,我们提出了两个允许建立情境意识的子组件:i)自动学习的子组件和ii)团队合作。这两个子组件共享一种直接交流的方式,目的是生成标签,用于培训基于分析人员通过互动和交换思想生成的知识的监督学习算法。另一方面,无监督学习算法可以检测不容易检测到的模式或异常,并提醒安全分析人员确定它们是否与共同的安全攻击相对应。
设计了一个基于数据管理流程的框架,以确保不同层次数据的完整性和质量;然后,它包括:
•收集;
•准备;
•分析;
•可视化;
•访问。
在下面的图4中,我们将详细描述组成我们所提议的框架的层。
a)网络收集层:涵盖将用于创建网络安全态势感知的信息来源。在资料来源中,可以考虑下列情况:
•网络模拟平台;
•传感器;
•入侵检测系统;
•脆弱性分析;
•安全门户、博客或订阅源;
•netflow;
•服务器和网络设备日志。
b)基础设施层:基础设施层包含以下组件:
•数据收集服务器,在这些服务器中,将对不同来源的信息进行数据摄取处理。至少考虑三个服务器来实现负载平衡和高可用性。
•索引服务器,在这些服务器中执行数据索引的过程,并在此基础上定义属性,在此基础上对数据进行调试和处理,生成可视化层的信息。至少考虑两台服务器用于负载平衡和高可用性进程。
•队列管理服务器,该服务器建立流程管理大数据解决方案的处理资源在多个请求信息同时执行报告服务器和数据可视化,这个服务器处理数据可视化工具,允许与分析师能够执行的交互信息的查询。
•入侵检测服务器,在此服务器中定义了检测与安全攻击相关的模式的规则,服务器可以访问安全传感器。
•警报管理服务器,在此服务器中,警报管理被定义为在检测到异常模式时通知分析师,在此服务器中包含了一个事件管理系统,允许在检测到安全事件前对升级进行流控制。
c)索引层:用于定义搜索字典。
d)态势感知层:这一层是我们的核心建议。在这一层的目标是建立一个基线安全状态的一个组织,为此我们考虑两个部分,第一个组成的机器学习算法,允许识别模式或异常基于预处理来自不同数据源的数据服务器日志,第二部分称为团队合作产生自我意识的建立基于CSIRT安全分析人士的合作。基于团队产生的知识,你可以训练学习算法来提高它们的准确性。
e)分类层:它定义了针对安全分析师、CsIRT或事件管理过程中的其他参与者生成的警报。根据良好做法,明智的做法是定义警报级别的分类。
f)自动响应层:它定义了可以自动的响应动作,因为这对于建立安全事件管理计划是必要的。
五、讨论
在心理学研究中,工作绩效是一个寻求提高工作绩效的话题,考虑到个人和环境变量。我们在这项研究中分析的变量是在网络安全领域执行事件管理的专业人员的认知技能。我们认为,与执行功能相关的认知过程越高,安全分析人员所解决的任务的性能就越好,这是由于对减少攻击影响的快速响应要求越高。出于这个原因,加强认知灵活性是至关重要的,以便i)扩大事件数据的分析,ii)能够可视化更多的可能性,以面对网络攻击,ii)发展抑制控制,以提高其决策的精确度和有效性。另一方面,工作记忆对于经验的储存和随后对这些信息的使用起着至关重要的作用,所以这种认知过程也有助于对组织所面临的风险和威胁的情况形成意识。另一个关键变量与事件管理专业人员工作中的压力管理有关,以制定策略,使他们能够抵消劳动力需求。
在基于态势感知的网络安全管理模型中,分析执行功能是否集成感知、理解和投射过程,以提高任务绩效,可以增强决策过程。非技术技能在许多方面起着至关重要的作用,因为如果没有足够的沟通和建立共享知识的能力,网络安全团队将无法达到应对安全攻击所需的效率。例如,在面对出现的事件或问题时,处理复杂性不应该由安全分析人员进行简单的推理,而是要能够生成表示复杂性的心理模型,并作为一个团队进行工作。这种理解可能很复杂,因此,管理共享的心理地图等建议可能具有重要意义。另一个事实是多学科工作,来自不同领域的专家必须一起参与,但是由于对这对搭档的知识有限、不同的技术词汇和异质的工作方法,存在交互问题。最后,处理活动或与其他团队成员交互的结果的不确定性。
提出的大数据模型涵盖了网络安全状态(网络安全态势感知)知识生成必须考虑的不同组成部分。仅仅实现一个大数据架构是不足以解决处理海量数据处理的问题的,我们应该致力于寻找可靠的信息源,建立数据质量控制流程,生成安全承诺指标,并定义更新数据时间。
为了从安全分析师可以处理的信息中建立态势感知,我们提出了一个由4个模块组成的框架,如图5所示:来源、认知过程、协作安全任务和软技能。团队合作支持四个模块。在[23]中,作者提到团队的目标是鼓励成员分析他们一起工作的方式,识别他们的弱点,并开发新的协作形式。要做到这一点,学习过程必须把重点放在任务上。按照装备建设[23]的Newstrom模型,我们在网络安全领域提出以下建议:
•经过培训的专家识别问题;
•数据收集;
•反馈行动计划的制定;
•生成态势感知;
•解决方案经验;
•持续改进。
六、结论和未来工作
技术和社会的变化产生了动态和复杂的环境,产生了大量的数据。这一事实给安全分析人员带来了新的挑战,他们必须处理数据以确定允许识别威胁或安全攻击的模式或异常情况。认知安全的使用提供了在短时间内处理大量不同格式数据的能力,从而提高了安全操作的有效性。在网络安全领域,大数据主要用于监控行动和异常检测,这些行动集中在反应性安全策略上,但其他安全活动可以通过大数据分析增强,用于主动战略,如威胁搜索或网络欺骗。
事件管理的网络安全任务包括识别有关事件的数据,以确定攻击场景的振幅。从有关威胁和攻击的数据中发展经验,可以建立对网络安全状况的意识。建立网络安全态势意识需要认知和情感技能,其中认知过程的能力至关重要;感知和注意是允许安全分析人员从外部环境收集信息的第一个过滤器。与工作记忆、认知灵活性和抑制性控制相关的高级认知过程参与决策和事件管理任务中外部化的行为。
通过以下两种技能,可以实现安全分析师认知过程的持续改进:
1)过程控制。过程控制是团队成员的一项重要技能,因为它帮助成员有建设性地感知、理解和反应。
2)反馈让你有数据支撑你的决定,根据他们对团队其他成员的看法自我修正。
关于大数据和机器学习在安全领域的应用,在商业和学术领域有不同的建议;然而,它们并没有得到广泛实施。我们认为,今后一项可能的工作是分析造成这种情况的原因,一般来说,可能是预算、人员经验、技术支持不足。此外,通过焦点小组进行的综述可能是补充本研究的重要贡献。
什么是网络安全可视化
网络态势可视化技术作为一项新技术,是网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对网络异常行为的分析和检测。这种方式充分结合了计算机和人脑在图像处理方面的处理能力的优势,提高了对数据的综合分析能力,能够有效的降低误报率和漏报率,提高系统检测效率,减少反应时间。并且这种可视化方法对于有些显示有明显特征的异常行为,还具有一定的预测能力。安全态势可视化系统的目的是生成网络安全综合态势图,以多视图、多角度、多尺度的方式与用户进行交互。
网络安全可视化有什么好处
网络安全可视化之所以重要,可以从现实生活中的安全可视化进行类比。现实世界中,平安城市、雪亮工程等治安防控工程中,关于视频监控系统的可视化方面建设都十分突出,其意义体现在以下方面:
预警
通过对全局地区的可视化监控,可以进行针对性的人流量分析、人脸识别、信息采集等早期管理手段,通过这些手段能够进行早期预警,将安全问题控制在萌芽状态,做到防患于未然。
调度
在可视化平台的支撑下,一旦发生了安全隐患,可以通过多个区域的同时观测,及时地完成指挥调度和资源调配,对于问题严重的区域进行重点布防。
回放
在安全相关案件调查取证过程中,监控录像回放起到重要的作用,即使犯罪过程没有被发现或目标对象离开了布防区域,还是可以通过多个监控录像回放的配合准确定位作案事实和目标移动的路径,为抓捕和侦破提供了第一手材料。
提高犯罪难度和成本
使用以上全方位的可视化手段,结合经验丰富的分析人员,将犯罪的难度和成本变得极高,降低了治安事件发生的风险,即使问题发生也有完善的应对方法。
上述道理在网络安全领域也同样适用,随着攻击行为越来越复杂,APT(高级持续性威胁)、勒索病毒等事件频繁发生,这些攻击不是单点短时间攻击,而是持续时间长达十几个小时甚至几天,有多个复杂的环节组成,对付这些恶意行为,同样需要网络安全领域的可视化技术。
通过对安全路径、流量分析、数据安全、主机安全等多个层面的可视化展现,打造一张网络安全作战地图,同样可以起到以下作用:
攻击预测
通过设定正常访问情况下的路径和流量基线,对发生的异常状况进行及时发现和告警,并通过多个层面的关联分析迅速在攻击的早期解决问题。
路径和流量调度
发现攻击现象后,需要尽快通过可视化手段找出导致攻击的错误路径,并尽快配合流量调度系统将流量通过其它路径转发,再及时关闭错误路径,将攻击者打开的后门尽快关闭。
回溯
对于已经发生了安全事件,就像调取监控录像一样,需要调取事发当时的全部数据报文,通过精细化地分析取证,确保100%还原事件现场。通过多个流量采集器的配合,可以分析出攻击者的轨迹和路径,为追踪攻击者提供了事实依据。
通过网络安全可视化系统的部署,可以缩小攻击面、延长攻击时间、提高攻击者成本和防御成功率,起到震慑、预测、防御、处置、追溯的全方位作用。
态势感知,懂的人不用解释,现在对于态势感知更多的是信息网络的安全态势感知,
大数据时代,除在信息网络的安全方面外,在无人机、无人驾驶、气象分析、军事、交通轨道等等方面,态势感知的应用研究日益广泛和必要!
一般来说,态势感知在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。联合作战、网络中心战的提出,推动了态势感知的产生和不断发展,作为实现态势感知的重要平台和物质基础,态势图对数据和信息复杂的需求和特性构成了突出的大数据问题.从大数据的高度思考,解决态势感知面临的信息处理难题,是研究联合作战态势感知的重要方法.通过分析联合作战态势感知的数据类型、结构和特点,得出态势感知面临着大数据挑战的结论.初步探讨了可能需要解决的问题和前沿信息技术的应用需求,最后对关键数据和信息处理技术进行了研究.该研究对于“大数据”在军事信息处理和数据化决策等领域的研究具有重要探索价值。
相关参考(摘录网上):
1 引言
随着计算机和通信技术的迅速发展, 计算机网络的应用越来越广泛, 其规模越来越庞大, 多层面的网络安全威胁和安全风险也在不断增加, 网络病毒、 Dos/DDos攻击等构成的威胁和损失越来越大, 网络攻击行为向着分布化、 规模化、 复杂化等趋势发展, 仅仅依靠防火墙、 入侵检测、 防病毒、 访问控制等单一的网络安全防护技术, 已不能满足网络安全的需求, 迫切需要新的技术, 及时发现网络中的异常事件, 实时掌握网络安全状况, 将之前很多时候亡羊补牢的事中、 事后处理,转向事前自动评估预测, 降低网络安全风险, 提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素, 从整体上动态反映网络安全状况, 并对网络安全的发展趋势进行预测和预警。 大数据技术特有的海量存储、 并行计算、 高效查询等特点, 为大规模网络安全态势感知技术的突破创造了机遇, 借助大数据分析, 对成千上万的网络日志等信息进行自动分析处理与深度挖掘, 对网络的安全状态进行分析评价, 感知网络中的异常事件与整体安全态势。
2 网络安全态势相关概念
2.1 网络态势感知
态势感知(Situation Awareness, SA) 的概念是1988年Endsley提出的, 态势感知是在一定时间和空间内对环境因素的获取, 理解和对未来短期的预测。 整个态势感知过程可由图1所示的三级模型直观地表示出来。
所谓网络态势是指由各种网络设备运行状况、 网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络态势感知(Cyberspace Situation Awareness,CSA) 是1999年Tim Bass首次提出的, 网络态势感知是在大规模网络环境中, 对能够引起网络态势发生变化的安全要素进行获取、 理解、 显示以及预测最近的发展趋势。
态势是一种状态、 一种趋势, 是整体和全局的概念, 任何单一的情况或状态都不能称之为态势。 因此对态势的理解特别强调环境性、 动态性和整体性, 环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络; 动态性是态势随时间不断变化, 态势信息不仅包括过去和当前的状态, 还要对未来的趋势做出预测; 整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化, 会影响到其他网络实体的状态, 进而影响整个网络的态势。
2.2 网络安全态势感知
网络安全态势感知就是利用数据融合、 数据挖掘、智能分析和可视化等技术, 直观显示网络环境的实时安全状况, 为网络安全提供保障。 借助网络安全态势感知, 网络监管人员可以及时了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等情况, 对发起攻击的网络采取措施; 网络用户可以清楚地掌握所在网络的安全状态和趋势, 做好相应的防范准备, 避免和减少网络中病毒和恶意攻击带来的损失; 应急响应组织也可以从网 络安全态势中了解所服务网 络的安全状况和发展趋势, 为 制定有预见性的应急预案提供基础。
3 网络安全态势感知相关技术
对于大规模网络而言, 一方面网络节点众多、 分支复杂、 数据流量大, 存在多种异构网络环境和应用平台; 另一方面网络攻击技术和手段呈平台化、 集成化和自 动化的发展趋势, 网络攻击具有更强的隐蔽性和更长的潜伏时间, 网络威胁不断增多且造成的损失不断增大。 为了实时、 准确地显示整个网络安全态势状况, 检测出潜在、 恶意的攻击行为, 网络安全态势感知要在对网络资源进行要素采集的基础上, 通过数据预处理、 网络安全态势特征提取、 态势评估、 态势预测和态势展示等过程来完成, 这其中涉及许多相关的技术问题, 主要包括数据融合技术、 数据挖掘技术、 特征提取技术、 态势预测技术和可视化技术等。
3.1 数据融合技术
由于网络空间态势感知的数据来自众多的网络设备, 其数据格式、 数据内容、 数据质量千差万别, 存储形式各异, 表达的语义也不尽相同。 如果能够将这些使用不同途径、 来源于不同网络位置、 具有不同格式的数据进行预处理, 并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供更为全面、 精准的数据源, 从而得到更为准确的网络态势。 数据融合技术是一个多级、 多层面的数据处理过程, 主要完成对来自网络中具有相似或不同特征模式的多源信息进行互补集成, 完成对数据的自动监测、 关联、 相关、 估计及组合等处理, 从而得到更为准确、 可靠的结论。 数据融合按信息抽象程度可分为从低到高的三个层次: 数据级融合、 特征级融合和决策级融合, 其中特征级融合和决策级融合在态势感知中具有较为广泛的应用。
3.2 数据挖掘技术
网络安全态势感知将采集的大量网络设备的数据经过数据融合处理后, 转化为格式统一的数据单元。这些数据单元数量庞大, 携带的信息众多, 有用信息与无用信息鱼龙混杂, 难以辨识。 要掌握相对准确、 实时的网络安全态势, 必须剔除干扰信息。 数据挖掘就是指从大量的数据中挖掘出有用的信息, 即从大量的、 不完全的、 有噪声的、 模糊的、 随机的实际应用数据中发现隐含的、 规律的、 事先未知的, 但又有潜在用处的并且最终可理解的信息和知识的非平凡过程( NontrivialProcess) [1 ]。 数据挖掘可分为描述性挖掘和预测性挖掘, 描述性挖掘用于刻画数据库中数据的一般特性; 预测性挖掘在当前数据上进行推断, 并加以预测。 数据挖掘方法主要有: 关联分析法、 序列模式分析法、 分类分析法和聚类分析法。 关联分析法用于挖掘数据之间的联系; 序列模式分析法侧重于分析数据间的因果关系;分类分析法通过对预先定义好的类建立分析模型, 对数据进行分类, 常用的模型有决策树模型、 贝叶斯分类模型、 神经网络模型等; 聚类分析不依赖预先定义好的类, 它的划分是未知的, 常用的方法有模糊聚类法、 动态聚类法、 基于密度的方法等。
3.3 特征提取技术
网络安全态势特征提取技术是通过一系列数学方法处理, 将大规模网络安全信息归并融合成一组或者几组在一定值域范围内的数值, 这些数值具有表现网络实时运行状况的一系列特征, 用以反映网络安全状况和受威胁程度等情况。 网络安全态势特征提取是网络安全态势评估和预测的基础, 对整个态势评估和预测有着重要的影响, 网络安全态势特征提取方法主要有层次分析法、 模糊层次分析法、 德尔菲法和综合分析法。
3.4 态势预测技术
网络安全态势预测就是根据网络运行状况发展变化的实际数据和历史资料, 运用科学的理论、 方法和各种经验、 判断、 知识去推测、 估计、 分析其在未来一定时期内可能的变化情况, 是网络安全态势感知的一个重要组成部分。 网络在不同时刻的安全态势彼此相关, 安全态势的变化有一定的内部规律, 这种规律可以预测网络在将来时刻的安全态势, 从而可以有预见性地进行安全策略的配置, 实现动态的网络安全管理, 预防大规模网络安全事件的发生。 网络安全态势预测方法主要有神经网络预测法、 时间序列预测法、 基于灰色理论预测法。
3.5 可视化技术
网络安全态势生成是依据大量数据的分析结果来显示当前状态和未来趋势, 而通过传统的文本或简单图形表示, 使得寻找有用、 关键的信息非常困难。 可视化技术是利用计算机图形学和图像处理技术, 将数据转换成图形或图像在屏幕上显示出来, 并进行交互处理的理论、 方法和技术。 它涉及计算机图形学、 图像处理、 计算机视觉、 计算机辅助设计等多个领域。 目前已有很多研究将可视化技术和可视化工具应用于态势感知领域, 在网络安全态势感知的每一个阶段都充分利用可视化方法, 将网络安全态势合并为连贯的网络安全态势图, 快速发现网络安全威胁, 直观把握网络安全状况。
4 基于多源日志的网络安全态势感知
随着网 络规模的 扩大以及网 络攻击复杂度的增加, 入侵检测、 防火墙、 防病毒、 安全审计等众多的安全设备在网络中得到广泛的应用, 虽然这些安全设备对网络安全发挥了一定的作用, 但存在着很大的局限,主要表现在: 一是各安全设备的海量报警和日志, 语义级别低, 冗余度高, 占用存储空间大, 且存在大量的误报, 导致真实报警信息被淹没。 二是各安全设备大多功能单一, 产生的报警信息格式各不相同, 难以进行综合分析整理, 无法实现信息共享和数据交互, 致使各安全设备的总体防护效能无法得以充分的发挥。 三是各安全设备的处理结果仅能单一体现网络某方面的运行状况, 难以提供全面直观的网络整体安全状况和趋势信息。 为了有效克服这些网络安全管理的局限, 我们提出了基于多源日志的网络安全态势感知。
4.1 基于多源日志的网络安全态势感知要素获取
基于多源日志的网络安全态势感知是对部署在网络中的多种安全设备提供的日志信息进行提取、 分析和处理, 实现对网络态势状况进行实时监控, 对潜在的、恶意的网络攻击行为进行识别和预警, 充分发挥各安全设备的整体效能, 提高网络安全管理能力。
基于多源日志的网络安全态势感知主要采集网络入口处防火墙日志、 入侵检测日志, 网络中关键主机日志以及主机漏洞信息, 通过融合分析这些来自不同设备的日志信息, 全面深刻地挖掘出真实有效的网络安全态势相关信息, 与仅基于单一日志源分析网络的安全态
势相比, 可以提高网络安全态势的全面性和准确性。
4.2 利用大数据进行多源日志分析处理
基于多源日志的网络安全态势感知采集了多种安全设备上以多样的检测方式和事件报告机制生成的海量数据, 而这些原始的日 志信息存在海量、 冗余和错误等缺陷, 不能作为态势感知的直接信息来源, 必须进行关联分析和数据融合等处理。 采用什么样的技术才能快速分析处理这些海量且格式多样的数据?
大数据的出现, 扩展了计算和存储资源, 大数据自身拥有的Variety支持多类型数据格式、 Volume大数据量存储、Velocity快速处理三大特征, 恰巧是基于多源日志的网络安全态势感知分析处理所需要的。 大数据的多类型数据格式, 可以使网络安全态势感知获取更多类型的日志数据, 包括网络与安全设备的日志、 网络运行情况信息、 业务与应用的日志记录等; 大数据的大数据量存储正是海量日志存储与处理所需要的; 大数据的快速处理为高速网络流量的深度安全分析提供了技术支持, 为高智能模型算法提供计算资源。 因此, 我们利用大数据所提供的基础平台和大数据量处理的技术支撑, 进行网络安全态势的分析处理。
关联分析。 网络中的防火墙日志和入侵检测日志都是对进入网络的安全事件的流量的刻画, 针对某一个可能的攻击事件, 会产生大量的日志和相关报警记录,这些记录存在着很多的冗余和关联, 因此首先要对得到的原始日志进行单源上的关联分析, 把海量的原始日志转换为直观的、 能够为人所理解的、 可能对网络造成危害的安全事件。 基于多源日志的网络安全态势感知采用基于相似度的报警关联, 可以较好地控制关联后的报警数量, 有利于减少复杂度。 其处理过程是: 首先提取报警日志中的主要属性, 形成原始报警; 再通过重复报警聚合, 生成聚合报警; 对聚合报警的各个属性定义相似度的计算方法, 并分配权重; 计算两个聚合报警的相似度, 通过与相似度阀值的比较, 来决定是否对聚合报警进行超报警; 最终输出属于同一类报警的地址范围和报警信息, 生成安全事件。
融合分析。 多源日志存在冗余性、 互补性等特点,态势感知借助数据融合技术, 能够使得多个数据源之间取长补短, 从而为感知过程提供保障, 以便更准确地生成安全态势。 经过单源日志报警关联过程, 分别得到各自的安全事件。 而对于来自防火墙和入侵检测日志的的多源安全事件, 采用D-S证据理论(由Dempster于1967年提出, 后由Shafer于1976年加以推广和发展而得名) 方法进行融合判别, 对安全事件的可信度进行评估, 进一步提高准确率, 减少误报。 D-S证据理论应用到安全事件融合的基本思路: 首先研究一种切实可行的初始信任分配方法, 对防火墙和入侵检测分配信息度函数; 然后通过D-S的合成规则, 得到融合之后的安全事件的可信度。
态势要素分析。 通过对网络入口处安全设备日 志的安全分析, 得到的只是进入目 标网络的可能的攻击信息, 而真正对网络安全状况产生决定性影响的安全事件, 则需要通过综合分析攻击知识库和具体的网络环境进行最终确认。 主要分为三个步骤: 一是通过对大量网络攻击实例的研究, 得到可用的攻击知识库, 主要包括各种网络攻击的原理、 特点, 以及它们的作用环境等; 二是分析关键主机上存在的系统漏洞和承载的服务的可能漏洞, 建立当前网络环境的漏洞知识库, 分析当前网络环境的拓扑结构、 性能指标等, 得到网络环境知识库; 三是通过漏洞知识库来确认安全事件的有效性, 也即对当前网络产生影响的网络攻击事件。 在网络安全事件生成和攻击事件确认的过程中, 提取出用于对整个网络安全态势进行评估的态势要素, 主要包括整个网络面临的安全威胁、 分支网络面临的安全威胁、 主机受到的安全威胁以及这些威胁的程度等。
5 结语
为了解决日益严重的网络安全威胁和挑战, 将态势感知技术应用于网络安全中, 不仅能够全面掌握当前网络安全状态, 还可以预测未来网络安全趋势。 本文在介绍网络安全态势相关概念和技术的基础上, 对基于多源日志的网络安全态势感知进行了探讨, 着重对基于多源日志的网络安全态势感知要素获取, 以及利用大数据进行多源日志的关联分析、 融合分析和态势要素分析等内容进行了研究, 对于态势评估、 态势预测和态势展示等相关内容, 还有待于进一步探讨和研究。
知识普及-安全态势
随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。
单凭一种或几种安全技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态及其变化趋势。
网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,是对网络安全性定量分析的一种手段,是对网络安全性的精细度量,态势感知成已经为网络安全2.0时代安全技术的焦点,对保障网络安全起着非常重要的作用。
一、态势感知基本概念
1.1 态势感知通用定义
随着网络安全态势感知研究领域的不同,人们对于态势感知的定义和理解也有很大的不同,其中认同度较高的是Endsley博士所给出的动态环境中态势感知的通用定义:
态势感知是感知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态。
在这个定义中,我们可以提炼出态势感知的三个要素:感知、理解和预测,也就是说态势感知可以分成感知、理解和预测三个层次的信息处理,即:
感知:感知和获取环境中的重要线索或元素;
理解:整合感知到的数据和信息,分析其相关性;
预测:基于对环境信息的感知和理解,预测相关知识的未来的发展趋势。
1.2 网络安全态势感知概念
目前,对网络安全态势感知并未有一个统一而全面的定义,我们可以结合态势感知通用定义来对对网络安全态势感知给出一个基本描述,即:
网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。
根据上述概念模型,网络安全态势感知过程可以分为一下四个过程:
1)数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提;
2)态势理解:对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出影响网络的整体安全状况,这一步是态势感知基础;
3)态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心;
4)态势预测:通过对态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的目标。
网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表和安全报表的形式展现给用户。
二、态势感知常用分析模型
在网络安全态势感知的分析过程中,会应用到很多成熟的分析模型,这些模型的分析方法虽各不相同,但多数都包含了感知、理解和预测的三个要素。
2.1 始于感知:Endsley模型
Endsley模型中,态势感知始于感知。
感知包含对网络环境中重要组成要素的状态、属性及动态等信息,以及将其归类整理的过程。
理解则是对这些重要组成要素的信息的融合与解读,不仅是对单个分析对象的判断分析,还包括对多个关联对象的整合梳理。同时,理解是随着态势的变化而不断更新演变的,不断将新的信息融合进来形成新的理解。
在了解态势要素的状态和变化的基础上,对态势中各要素即将呈现的状态和变化进行预测。
2.2 循环对抗:OODA模型
OODA是指观察(Oberve)、调整(Orient)、决策(Decide)以及行动(Act),它是信息战领域的一个概念。OODA是一个不断收集信息、评估决策和采取行动的过程。
将OODA循环应用在网络安全态势感知中,攻击者与分析者都面临这样的循环过程:在观察中感知攻击与被攻击,在理解中调整并决策攻击与防御方法,预测对手下一个动作并发起行动,同时进入下一轮的观察。
如果分析者的OODA循环比攻击者快,那么分析者有可能“进入”对方的循环中,从而占据优势。例如通过关注对方正在进行或者可能进行的事情,即分析对手的OODA环,来判断对手下一步将采取的动作,而先于对方采取行动。
2.3 数据融合:JDL模型
JDL(Joint Directors of Laboratories)模型是信息融合系统中的一种信息处理方式,由美国国防部成立的数据融合联合指挥实验室提出。
JDL模型将来自不同数据源的数据和信息进行综合分析,根据它们之间的相互关系,进行目标识别、身份估计、态势评估和威胁评估,融合过程会通过不断的精炼评估结果来提高评估的准确性。
在网络安全态势感知中,面对来自内外部大量的安全数据,通过JDL模型进行数据的融合分析,能够实现对分析目标的感知、理解与影响评估,为后续的预测提供重要的分析基础和支撑。
2.4 假设与推理:RPD模型
RPD(Recognition Primed Decision)模型中定义态势感知分为两个阶段:感知和评估。
感知阶段通过特征匹配的方式,将现有态势与过去态势进行对比,选取相似度高的过去态势,找出当时采取的哪些行动方案是有效的。评估阶段分析过去相似态势有效的行动方案,推测当前态势可能的演化过程,并调整行动方案。
以上方式若遇到匹配结果不理想的情况,则采取构造故事的方式,即根据经验探索潜在的假设,再评估每个假设与实际发生情况的相符度。在RPD模型中对感知、理解和预测三要素的主要体现为:基于假设进行相关信息的收集(感知),特征匹配和故事构造(理解),假设驱动思维模拟与推测(预测)。
三、态势感知应用关键点
当前,单维度的网络安全防御技术手段,已经难以应对复杂的网络环境和大量存在的安全问题,对网络安全态势感知具体模型和技术的研究,已经成为2.0时代网络安全技术的焦点,同时很多机构也已经推出了网络安全态势感知产品和解决方案。
但是,目前市场上的的相关产品和解决方案,都相对偏重于网络安全态势的某一个或某几个方面的感知,网络安全态势感知的数据分析的深度和广度还需要进一步加强,同时网络安全态势感知与其它系统平台的联动不足,无法将态势感知与安全运营深入融合。
为此,太极信安认为网络安全态势感知平台的建设,应着重考虑以下几个方面的内容:
1、在数据采集方面,网络安全数据来源要尽可能的丰富,应该包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等,只有这样态势评估结果才能准确。
2、在态势评估方面,态势感评估要对多个层次、多个角度进行评估,能够评估网络的业务安全、数据安全、基础设施安全和整体安全状况,并且应该针对不同的应用背景和不同的网络规模选择不同的评估方法。
3、在态势感知流程方面,态势感知流程要规范,所采用的算法要简单,应该选择规范化的、易操作的评估模型和预测模型,能够做到实时准确的评估网络安全态势。
4、在态势预测方面,态势感知要能支持对不同的评估结果预测其发展趋势,预防大规模安全事件的发生。
5、在态势感知结果显示方面,态势感知能支持多种形式的可视化显示,支持与用户的交互,能根据不同的应用需求生成态势评测报表,并提供相应的改进措施。
四、总结
上述几种模型和应用关键点对网络安全态势感知来讲至关重要,将这些基本概念和关键点进行深入理解并付诸于实践,才能真正帮助决策者获得网络安全态势感知能力。
太极信安认为,建设网络安全态势感知平台,应以“业务+数据定义安全”战略为核心驱动,基于更广、更深的数据来源分析,以用户实际需求为出发点,从综合安全、业务安全、数据安全、信息基础设施安全等多个维度为用户提供全面的安全态势感知,在认知、理解、预测的基础上,真正帮助用户实现看见业务、看懂威胁、看透风险、辅助决策。
摘自 CSDN 道法一自然
0条大神的评论