首页 > 态势感知三要素缺一不可

态势感知三要素缺一不可

发布时间：2023-01-25 20:06:56 来源：文档文库

小中大

字号：

手机查看

龙源期刊网 http://www.qikan.com.cn 态势感知三要素缺一不可
作者：
来源：《中国信息化周报》2017年第13期
据悉360安全态势感知系统已经在全国多地监管部门、金融等重要行业和大型企业落地实施。360企业安全集团副总裁韩永刚在接受媒体采访时表示，态势感知是一种基于环境的、动态的、整体的洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。态势感知必备三大核心
韩永刚介绍，目前态势感知主要有三大应用方向：一类是监管机构，更多从国家层面，或者是省市大地域层面，关注跟国计民生相关的关键信息基础设施，对它们的安全态势进行整体的监测与关注。还有一类是大型行业，如政府、金融、大型企业，他们从自己的体系内部去做态势感知，首先是其内部系统的安全运营，发现重要威胁，解决问题，把安全能力，通过态势感知这样的体系和平台去落地。这些大型机构也会有很多分支或二级单位，也需要通过态势感知对这些单位进行外部监管，以提升整体的安全状态的掌握能力。同时与监管机构进行在事件应急处置及威胁情报方面的合作。最后一类是机构或企业内部的态势感知，对自己内部有价值的核心资产、业务系统，从日常的安全工作角度出发，发现各类威胁与内部异常违规，保证业务系统能够比较平稳、顺畅的运行，更偏向内部安全的运营型能力的落地。
“态势感知系统是个体系，需要结合新技术、数据、系统平台和人的能力”，韩永刚认为一个完整的态势感知系统需要包含以下几大核心部分：首先是对整个周边安全态势要素的完整获取，也就是对数据的理解和获取、采集的能力。比如流量数据的还原与监控、云端数据的理解、扫描类的数据、各类日志数据等。把来自不同的源头、不同类型的数据融合在一起、产生关联，通过进一步分析去发现问题。这也就要求一个大数据平台能把海量数据高效地存储与计算处理，在此基础上做深度的安全检测、事件捕猎、调查分析，发现、定位、溯源安全事件。尤其在安全数据分析上，是着重应该加强的地方。具备多维度的安全分析工具平台与能力，才能够真正捕获威胁与攻击，甚至溯源攻击背后的情况。这时深度的多维度数据关联分析、基于语义分析的检测引擎、可进行人机交互式的调查研判平台、可视化分析、威胁情报技术、特定问题的机器学习都成为有力的武器。态势感知先行者
“360之所以成为态势感知领域的先行者，安全大数据能力最为重要，”韩永刚称，在为客户建设态势感知系统过程中，在数据层面，360企业安全会分成两个层面进行。在客户机构内部，帮客户建立轻量级的安全大数据平台，进行基础数据的采集、处理，从流量、系统、应用各个层面尽量细致地把这些数据汇集。

龙源期刊网 http://www.qikan.com.cn 同样的，在这个系统平台之上，360企业安全也帮助客户建立安全持续监测 — 通报预警— 分析研判—快速处置—态势感知—追踪溯源的业务流程闭环。
另一个层面，在态势感知中，外部数据产生的作用也非常大。这里的“外部的数据”，是指从互联网层面上的看的数据。企业看到内部的一些单点事件，在外部可能曾经发生过，并有各种关联。一些技术比较高超的攻击者，甚至是APT攻击组织，在进行攻击的时候，其实很多利用的资源，或者是用过的手法，在外部的互联网上都会有一些痕迹。通过不同的数据维度，时间维度，把这些线索串联起来，就能形成威胁情报体系。360在生产、研究这些情报的时候，会用到很多基础数据，比如样本数据、DNS数据，都是上百亿的数据量。把这些不同维度的安全数据汇集，再去做挖掘、分析，在更广的互联网领域里去做拓展和溯源。这个过程中会用到外部的大数据的体系，把这两个体系结合，能够对态势感知实现更好的落地效果。韩永刚认为，建立态势感知系统首先要明确目标、范围和目的，梳理清晰要监测与防护的最关键业务资产或机构，然后应用合理的技术从微观层面获取完整的安全要素数据，这些数据拿到的越全，对威胁发生的过程、攻击链条看得就更全。再结合态势感知的系统平台、来自外部安全大数据的情报能力，从中观层面来分析数据、发现威胁与异常，做到结合安全服务来落地安全能力。而这些也是360天然独特的优势。所以态势感知不只是宏观层面的大屏展示或“地图炮”，更应该是结合微观与中观层面的安全数据、平台、安全能力。

本文来源：https://www.2haoxitong.net/k/doc/01764c9e88eb172ded630b1c59eef8c75fbf95e7.html