網(wǎng)絡(luò)安全態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢，并不拘泥于單一的安全要素。態(tài)勢感知體系包括四個部分：態(tài)勢察覺、態(tài)勢理解和評估、態(tài)勢預(yù)測和安全決策。它們分別如何實現(xiàn)并互相協(xié)作呢?

隨著金融科技的發(fā)展，商業(yè)銀行電子渠道業(yè)務(wù)的迅速擴(kuò)張，如網(wǎng)上銀行、手機銀行、直銷銀行等一系列的電子銀行業(yè)務(wù)，由于其全天候、不分地域、開放程度高等特點，成為了網(wǎng)絡(luò)攻擊的重點，帶來了更多的信息安全風(fēng)險。各種網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露事件層出不窮，要確保金融科技的平穩(wěn)健康發(fā)展，必須妥善解決好網(wǎng)絡(luò)安全的問題。

在網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)研究中，由于已有防御手段無法有效應(yīng)對各種復(fù)雜的網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境，目前網(wǎng)絡(luò)安全態(tài)勢感知的研究成為新一代網(wǎng)絡(luò)安全技術(shù)的焦點。

本文結(jié)合目前網(wǎng)絡(luò)安全態(tài)勢感知的發(fā)展現(xiàn)狀針對商業(yè)銀行網(wǎng)絡(luò)安全態(tài)勢感知體系的建設(shè)思路做了簡單地梳理。

一、什么是態(tài)勢感知

態(tài)勢感知(Situation Awareness，SA)就是在一定的時間和空間條件下，對環(huán)境因素的感知、理解以及對其未來發(fā)展趨勢的預(yù)測，態(tài)勢感知的思想起源于戰(zhàn)爭中敵我雙方攻防態(tài)勢的估計，早在《孫子兵法》中就有“知己知彼，百戰(zhàn)不殆”的描述。

1988年，Endsley把態(tài)勢感知分成感知、理解和預(yù)測三個層次的信息處理。即：

• 感知(Perception)：感知和獲取環(huán)境中的重要線索或元素;
• 理解(Comprehension)：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性;
• 預(yù)測(Projection)：基于對環(huán)境信息的感知和理解，預(yù)測相關(guān)知識的未來的發(fā)趨勢。

二、網(wǎng)絡(luò)安全態(tài)勢感知體系

網(wǎng)絡(luò)安全態(tài)勢是指整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網(wǎng)絡(luò)安全態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進(jìn)行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢，并不拘泥于單一的安全要素。態(tài)勢感知技術(shù)首先對各種影響系統(tǒng)安全性的要素進(jìn)行檢測獲取，然后對安全信息采用分類、歸并、建立數(shù)據(jù)模型、分析等手段進(jìn)行融合，接著對融合的信息進(jìn)行綜合分析，得到網(wǎng)絡(luò)的整體安全狀況及其應(yīng)對措施，并對網(wǎng)絡(luò)安全狀況的發(fā)展趨勢進(jìn)行預(yù)測，最后為商業(yè)銀行信息安全管理提供可靠的數(shù)據(jù)參考和決策支持。

本文提出的商業(yè)銀行網(wǎng)絡(luò)安全態(tài)勢感知體系，包括如下四個部分：

• 態(tài)勢察覺：主動探測+被動監(jiān)聽采集實現(xiàn)多維度多層次數(shù)據(jù)源收集;
• 態(tài)勢理解和評估：對數(shù)據(jù)源進(jìn)行預(yù)處理、數(shù)據(jù)融合并進(jìn)行多層次多維度的態(tài)勢評估;
• 態(tài)勢預(yù)測：運用數(shù)據(jù)分析模型實現(xiàn)態(tài)勢預(yù)測，并通過可視化技術(shù)集中呈現(xiàn)，提供決策數(shù)據(jù)，指導(dǎo)進(jìn)行安全防御體系的敏捷調(diào)整和持續(xù)運營;
• 安全決策：高層領(lǐng)導(dǎo)、部門領(lǐng)導(dǎo)、安全經(jīng)理和運維人員在內(nèi)的四層網(wǎng)絡(luò)安全態(tài)勢管理模式。

1. 態(tài)勢察覺

任何單一的情況或狀態(tài)都不能稱之為態(tài)勢，網(wǎng)絡(luò)安全態(tài)勢感知體系需實現(xiàn)多層次多維度的態(tài)勢要素采集，包括對以下六種類型的數(shù)據(jù)的接入：

• 來自網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的數(shù)據(jù)：例如防火墻、IDS/IPS、WAF、網(wǎng)絡(luò)安全審計系統(tǒng)等設(shè)備的日志或告警數(shù)據(jù);
• 來自重要服務(wù)器與主機的數(shù)據(jù)：例如服務(wù)器安全日志、進(jìn)程調(diào)用和文件訪問等信息，基于網(wǎng)絡(luò)與基于主機的協(xié)同能夠大大提升網(wǎng)絡(luò)威脅感知能力;
• 網(wǎng)絡(luò)骨干節(jié)點的數(shù)據(jù)：例如核心交換的原始網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)節(jié)點數(shù)據(jù)采集的越多，追蹤、確認(rèn)網(wǎng)絡(luò)攻擊路徑的可能性就越大;
• 漏洞數(shù)據(jù)：基于主動的漏洞評估、滲透測試發(fā)現(xiàn)的漏洞數(shù)據(jù);
• 直接的威脅感知數(shù)據(jù)：例如Honeynet(蜜網(wǎng))誘捕的網(wǎng)絡(luò)攻擊數(shù)據(jù)，對網(wǎng)絡(luò)攻擊源及攻擊路徑的追蹤探測數(shù)據(jù);
• 協(xié)同合作數(shù)據(jù)：包括權(quán)威部門發(fā)布的病毒蠕蟲爆發(fā)的預(yù)警數(shù)據(jù)，網(wǎng)絡(luò)安全公司或研究機構(gòu)提供的威脅情報等。

2. 態(tài)勢理解

為保障態(tài)勢感知結(jié)果準(zhǔn)確和全面，應(yīng)最大限度地確保獲取數(shù)據(jù)的完整，因此需對所有檢測設(shè)備獲得的原始數(shù)據(jù)進(jìn)行分析。因處理的數(shù)據(jù)量大，如采取較為復(fù)雜的關(guān)聯(lián)技術(shù)，則處理時間會較長，系統(tǒng)的實時性較差。為滿足系統(tǒng)實時性的要求，網(wǎng)絡(luò)安全態(tài)勢感知體系的態(tài)勢理解過程首先可采用簡單的數(shù)據(jù)級融合，然后分析融合后數(shù)據(jù)的相關(guān)性，具體處理過程分為如下幾步：

• 分析原始安全數(shù)據(jù)，將安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)，不考慮數(shù)據(jù)類之間的關(guān)系;
• 去除重復(fù)冗余信息，合并同類信息，修正錯誤信息，得到規(guī)范化的資產(chǎn)數(shù)據(jù)集、威脅數(shù)據(jù)集、脆弱性數(shù)據(jù)集;
• 將資產(chǎn)、威脅和脆弱性相關(guān)聯(lián)，綜合分析得到安全事件數(shù)據(jù)集。

3. 態(tài)勢評估

態(tài)勢評估是網(wǎng)絡(luò)安全態(tài)勢感知的核心，是對網(wǎng)絡(luò)安全狀況的定性定量描述?？刹捎枚鄬哟味嗑S度多粒度的態(tài)勢評估框架。由專題評估、要素評估和整體評估三個層次構(gòu)成，每個層次分別從不同的維度，每個維度分別從不同的粒度對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估。

4. 態(tài)勢預(yù)測

網(wǎng)絡(luò)安全態(tài)勢感知體系中的態(tài)勢預(yù)測指根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況，找出網(wǎng)絡(luò)安全隱患進(jìn)行分析，對未來一定時間內(nèi)的安全趨勢進(jìn)行判斷，并提供相應(yīng)的解決方法。

在全面獲取網(wǎng)絡(luò)威脅相關(guān)狀態(tài)數(shù)據(jù)的前提下，設(shè)定不同的場景和條件，根據(jù)網(wǎng)絡(luò)安全的歷史和當(dāng)前狀態(tài)信息，建立符合網(wǎng)絡(luò)及業(yè)務(wù)場景的分析模型，并基于網(wǎng)絡(luò)威脅結(jié)合資產(chǎn)脆弱性來進(jìn)行態(tài)勢預(yù)測，能夠更好地反映網(wǎng)絡(luò)安全在未來一段時間內(nèi)的發(fā)展趨勢。

安全態(tài)勢預(yù)測的目標(biāo)不是產(chǎn)生準(zhǔn)確的預(yù)警信息，而是要將預(yù)測結(jié)果用于決策分析與支持，特別是對網(wǎng)絡(luò)攻防對抗的支持。

5. 安全決策

網(wǎng)絡(luò)態(tài)勢感知體系為商業(yè)銀行提供不同層級的安全決策支撐，推動安全決策的地執(zhí)行實現(xiàn)感知-響應(yīng)的閉環(huán)：

• 管理層的高層領(lǐng)導(dǎo)，可掌握全網(wǎng)的整體安全態(tài)勢，評估全網(wǎng)和為安全態(tài)勢感知提供必要的決策支撐。
• 管理層的各部門領(lǐng)導(dǎo)，可掌握部門所屬業(yè)務(wù)信息系統(tǒng)的安全態(tài)勢，查閱所屬業(yè)務(wù)系統(tǒng)的運行報告和安全報告，并協(xié)調(diào)部門間運維流程和安全事件的處理。
• 執(zhí)行層的安全經(jīng)理，可將管理層的工作目標(biāo)落實分解，形成系統(tǒng)可執(zhí)行的策略、指標(biāo)、規(guī)則、計劃和任務(wù);可以查看網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全資產(chǎn)運行狀況、安全風(fēng)險走勢、重要的安全事件處理情況，安全分析報表報告;可以隨時掌握計劃和任務(wù)的進(jìn)展情況，實現(xiàn)對一線運維人員的考核。安全經(jīng)理最終可以通過系統(tǒng)生成提交給管理層的各類安全報表報告。
• 執(zhí)行層的運維人員，可持續(xù)對網(wǎng)絡(luò)資產(chǎn)及信息系統(tǒng)進(jìn)行運行監(jiān)測、安全審計、任務(wù)處理與應(yīng)急響應(yīng)。

三、結(jié)束語

未來網(wǎng)絡(luò)安全態(tài)勢感知體系的建設(shè)還將有很多新的升級，包括引入威脅自動化處置機制以大幅降低威脅檢測及響應(yīng)處置時間;但同時，安全運營離不開安全人員的參與。在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知體系，尤其是威脅自動化處置機制建設(shè)時，還需進(jìn)一步提高安全運維人員的技能及安全團(tuán)隊建設(shè)，為未來網(wǎng)絡(luò)安全態(tài)勢感知體系安全能力的落地提供保障。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文