昨天，我們通過??態(tài)勢感知之安德斯雷理論簡介??，簡單介紹了態(tài)勢感知以及中西方對這個詞匯的不同定義，同時簡單了解了一下安德斯雷理論模型，這也是我不斷跟蹤相關(guān)知識后，開始著手整理相關(guān)知識資料，今天我們將根據(jù)卡內(nèi)基梅隆大學對態(tài)勢感知的介紹，進一步學習了解態(tài)勢感知方面的知識。

態(tài)勢感知 (SA)可幫助整個組織的決策者獲得可用于在工作過程中做出正確決策的信息和理解。可以專注于幫助個人和組織保護他們在網(wǎng)絡(luò)領(lǐng)域的資產(chǎn)，也可以更深遠。SA 可以從整個組織中獲取相關(guān)信息、整合這些信息并進行傳播，以幫助人們做出更好的決策。

保護組織資產(chǎn)

即使是最小的組織也有許多資產(chǎn)，也必須保護其免受網(wǎng)絡(luò)威脅。在人手不足、資金不足和過度危險的環(huán)境中，優(yōu)先保護某些資產(chǎn)是必要的。

優(yōu)先級必須發(fā)生在：

• 單個設(shè)備和特定網(wǎng)段或業(yè)務(wù)單元的安全加固
• 對風險的回應(yīng)
• 招聘特定職位

組織資產(chǎn)的存在是為了使組織能夠開展其日?；顒印１Ｗo這些資產(chǎn)的優(yōu)先級應(yīng)與資產(chǎn)支持的業(yè)務(wù)功能的重要性和法律后果相對應(yīng)。為了讓這些信息影響優(yōu)先級的設(shè)置，安全從業(yè)人員必須能夠?qū)①Y產(chǎn)映射到他們支持的業(yè)務(wù)功能，并了解這些功能的重要性。

如果不首先了解要保護的內(nèi)容、原因、內(nèi)容以及資產(chǎn)已經(jīng)受到或未受到保護的方式，那么無論是優(yōu)先級還是有效保護都不會發(fā)生。此信息的“內(nèi)容”部分需要構(gòu)建和維護詳細的資產(chǎn)清單。其余信息是通過組織環(huán)境獲得的。

政策和治理

資產(chǎn)保護的支柱提供了良好的政策和治理。組織的期望和業(yè)務(wù)需求決定了哪些活動是安全問題。規(guī)則越嚴格，就越容易發(fā)現(xiàn)違規(guī)行為，也就越容易從一開始就防止違規(guī)行為。但是，必須使安全從業(yè)人員可以訪問策略和需求，以實現(xiàn)檢測和預防。

訪問和理解信息是準確確定信息所必需的：

• 如何預防安全事件和漏洞
• 當事件或違規(guī)發(fā)生時
• 如何回應(yīng)他們

對如何使用個人資產(chǎn)、由誰以及何時使用個人資產(chǎn)的了解越多，就越有可能完全防止違規(guī)行為，并且在安全違規(guī)事件發(fā)生時越快被發(fā)現(xiàn)。

安全功能

安全功能代表組織用來保護其資產(chǎn)的方法。安全功能包括技術(shù)組件、結(jié)構(gòu)化流程和有機實踐。它們涵蓋資產(chǎn)、保護和事件的整個生命周期。這些功能通常分布在多個團隊中，但它們每個生成的信息對于通知其他功能是必要的。安全功能的活動會主動改變環(huán)境，因此會影響其他功能(包括安全和業(yè)務(wù))的優(yōu)先級和有效性。

關(guān)于態(tài)勢感知

對 SA 的描述有很多，從Mica Endsley首次定義的模型中的感知、理解、投射和解決四個功能，到“觀察、定向、決定和行動”的OODA 循環(huán)。這些模型有助于理解態(tài)勢感知的概念，但在網(wǎng)絡(luò)安全中的實際應(yīng)用并不總是顯而易見的。

實際上可以從四個方面來考慮態(tài)勢感知：

• 知道應(yīng)該是什么。
• 跟蹤是什么。
• 推斷什么時候應(yīng)該和什么時候不匹配。
• 對差異做一些事情。

知道應(yīng)該是什么

在我們了解企業(yè)的網(wǎng)絡(luò)安全狀態(tài)之前，需要很好地了解該企業(yè)應(yīng)該發(fā)生的事情。

特別是需要知道：

• 內(nèi)部和面向公眾的系統(tǒng)和設(shè)備的合法用戶
• 授權(quán)設(shè)備及其用途
• 批準的流程和應(yīng)用程序，在哪里被允許，以及它們?nèi)绾螢榻M織服務(wù)

安全人員可獲得的信息越準確，就越容易推斷何時存在安全問題并對其采取措施。準確的信息意味著擁有明確定義的安全策略、有效的訪問控制、最新的清單和詳細的網(wǎng)絡(luò)圖。挑戰(zhàn)在于組織信息通常記錄不充分、不完整或過時。這種情況導致分析師通過例如基線推斷信息，這充其量只能提供組織環(huán)境的半準確圖。

追蹤什么是

知道應(yīng)該是什么和知道什么是不同的。第一個是關(guān)于收集有關(guān)組織意圖的信息(組織允許實現(xiàn)其目標的含義)。第二個是關(guān)于檢查企業(yè)的真實情況。安全團隊無法直接監(jiān)控所有網(wǎng)絡(luò)空間;他們必須使用他們可用的各種工具來創(chuàng)建對地理分散且基本上不可見的網(wǎng)絡(luò)空間舞臺的可見性。

總體思路是跟蹤：

• 觀察到的設(shè)備、進程/應(yīng)用程序和用戶
• 觀察到的設(shè)備、進程和應(yīng)用程序存在哪些已知漏洞
• 各種系統(tǒng)和設(shè)備的使用方式正在發(fā)生怎樣的變化
• 系統(tǒng)、設(shè)備和用戶存在哪些使用模式和周期

此處的方法使用來自傳感點的信息，并以某種方式整合該信息，以便支持安全功能的分析師推斷何時應(yīng)該匹配和不匹配。然而，跟蹤活動所需的傳感架構(gòu)成本高昂且資源密集。允許流程和分析人員有效地訪問和組合信息需要構(gòu)建一個強大的聯(lián)合或分布式系統(tǒng)以實現(xiàn)態(tài)勢感知。

推斷何時應(yīng)該和何時不匹配

當某些不應(yīng)該發(fā)生的事情發(fā)生時，就會出現(xiàn)安全問題，例如，未經(jīng)授權(quán)的個人訪問設(shè)備、設(shè)置記錄設(shè)備以竊聽網(wǎng)絡(luò)、在 Web 服務(wù)器上運行加密礦工等。其中一些事件是很容易檢測它們是否可見。例如，如果在設(shè)備上啟用了安全日志記錄，您可以通過查看安全日志來發(fā)現(xiàn)未經(jīng)授權(quán)的用戶 ID 何時嘗試訪問設(shè)備?；蛘撸绻卸它c設(shè)備都應(yīng)該使用內(nèi)部域名系統(tǒng)解析器，則可以通過記錄和查看離開企業(yè)的網(wǎng)絡(luò)流量來找到任何不可用的設(shè)備。

不幸的是，我們感興趣的許多安全問題都需要推理。例如，雖然安全日志可以跟蹤用戶 ID 成功登錄系統(tǒng)的時間，無法確定登錄是由分配給該用戶 ID 的個人還是該用戶 ID 是否被盜。這種確定需要推理，這更難。

一些推理方法是：

• 直接違反政策
• 與歷史數(shù)據(jù)的偏差(什么是顯著變化)
• 異常值檢測分析中出現(xiàn)異常異常值
• 新品鑒定
• 戰(zhàn)術(shù)、技術(shù)和程序 (TTP)匹配

應(yīng)該解決的可操作差異不僅限于安全問題;它們還包括業(yè)務(wù)和效率問題。這里的挑戰(zhàn)是，根據(jù)“知道應(yīng)該是什么”的所有相關(guān)信息分析來自“跟蹤什么”的所有信息在技術(shù)上是不可能的或?qū)嶋H上是不可行的。決定如何選擇應(yīng)該將哪個觀察子集與哪個上下文子集進行比較是優(yōu)先級和資源的問題。因此，可用的上下文、可見性和資源準確反映業(yè)務(wù)優(yōu)先級非常重要。

對差異做點什么

如果企業(yè)不打算根據(jù)其獲得的知識采取行動，那么了解應(yīng)該是什么、跟蹤是什么或推斷應(yīng)該是什么都沒有任何好處。組織通常會對他們認為明顯的安全漏洞采取措施。他們清理惡意軟件感染，調(diào)查潛在的數(shù)據(jù)泄露，并報告被盜資源和個人識別信息。如果組織認為這些差異不代表安全事件，則組織不太可能對應(yīng)該是什么與應(yīng)該是什么之間的差異采取行動。這樣的疏忽可能使推斷未來的安全事件變得更加困難。與應(yīng)有的內(nèi)容不匹配的項目越多(即批準的用戶、設(shè)備和使用情況)，干擾和干擾推理的噪音就越多。

組織必須確保有關(guān)調(diào)查結(jié)果的信息由負責所涉及資產(chǎn)的組織部分傳遞和解決，并確保他們確定在未來防止此類問題的方法。他們可以通過在整個組織內(nèi)保持良好的溝通渠道并快速傳達調(diào)查結(jié)果和上下文信息以及可操作的情報來做到這一點，以便責任方在出現(xiàn)問題時解決問題。然而，成功需要組織責任、管理關(guān)系和明確定義的責任范圍。組織政治、地盤之爭以及不清楚的產(chǎn)品和流程所有者經(jīng)常會干擾。

態(tài)勢感知過程

態(tài)勢感知是從整個組織中獲取相關(guān)信息、將其整合到可用情報中并重新傳播出去以幫助整個組織中的人們做出更好決策的過程。

有效的態(tài)勢感知需要：

• 人員提供跨業(yè)務(wù)部門的有效溝通，以及分析不同信息并理解信息的能力，
• 支持收集、分析和存儲大量數(shù)據(jù)的技術(shù)，以及
• 以匹配優(yōu)先級并充分利用資源的方式將觀察子集與相應(yīng)的上下文子集映射的能力。

即使在資金最充足、最成熟的組織中，在了解當前狀態(tài)和應(yīng)該是什么方面也存在信息差距。因此，有效的態(tài)勢感知需要了解哪些增強數(shù)據(jù)將使從業(yè)者能夠利用他們擁有的信息做出有能力的推斷，并了解他們能夠做出的推斷的局限性。