态势感知的来源
“态势感知”最早出现于军事领域,目的是为提高作战能力,分析战斗环境信息,快速判断当前以及未来形势,以做出正确决策而进行的研究探索。后来随着网络的兴起升级为网络态势感知。顾名思义,是针对网络环境下的攻防领域。
美国对于态势感知的定义为:在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测。
目前,国内主流的态势感知是一种安全设备,类似于防火墙,WAF,设置于网络接口处进行安全监控。
态势感知的作用
在国内未引入态势感知设备时,国内安全环境较差,通常表现为:
1.购买大量安全设备但还是攻击事件还是频繁发生(有限的防御规则,不能应对新型攻击手段)
2.大量的安全数据作为支撑,安全环境仍不能明确。(缺乏全局意识,不能有效整合所有资源)
3.一旦发生严重安全事件,不能及时防御。(排查繁琐,难度大)
针对这些问题,态势感知应运而生,主要用来统一管理安全设备,安全数据与流量日志。对当前安全环境有一个清晰的认知。而且能够查看横向攻击链,易于排查安全问题。
主要作用有:安全评分(根据态势感知的威胁检测能力,评估整体资产安全健康得分)、安全监控(展示待处理报警,待修复漏洞,合规检查问题的安全数据)
补充:监管类态势感知是国家负责的,监控国家某个领域以及某个行业的。
态势感知的部署
目前主流的态势感知设备品牌有:锐捷,H3C,华为,360数字安全,启明星辰,奇安信,深信服。
部署在安全管理区,在互联网出口处,互联网入口处设置流量探针与日志探针,去收集关键节点上的镜像流量。探针存储原始数据之后,从中筛选关键数据送入管理平台统一分析。
态势感知功能实现
1.收集数据:由系统日志,安全设备,网络流量探针收集而来的业务日志,安全告警,网络流量,资产信息送入态势感知平台。
2.分析数据:由态势感知安全分析引擎进行分析,主要分为智能分析(UEBA,AI,沙箱,威胁情报)和深度挖掘(攻击链分析,交叉/上下文验证,攻击路径,攻击序列,安全事件报警)
3.安全环境态势感知以及可视化系统呈现: 将安全环境展示为安全的大屏,风险检测预警。
核心功能:
1.资产中心:资产风险评估,资产管理,脆弱性管理
2.威胁检测与分析:关联分析,基线分析,告警管理,实体分析,攻击者分析,场景分析,事件调查。
3.响应处置:威胁报警,联动处置,工单管理
4.检测与报表:自定义视图,安全仪表板,统计报表。