初识安全态势感知

态势感知的来源

“态势感知”最早出现于军事领域，目的是为提高作战能力，分析战斗环境信息，快速判断当前以及未来形势，以做出正确决策而进行的研究探索。后来随着网络的兴起升级为网络态势感知。顾名思义，是针对网络环境下的攻防领域。

美国对于态势感知的定义为：在一定的时间和空间范围内，企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险，并对他们未来的状态进行预测。

目前，国内主流的态势感知是一种安全设备，类似于防火墙，WAF，设置于网络接口处进行安全监控。

态势感知的作用

在国内未引入态势感知设备时，国内安全环境较差，通常表现为：

1.购买大量安全设备但还是攻击事件还是频繁发生（有限的防御规则，不能应对新型攻击手段）

2.大量的安全数据作为支撑，安全环境仍不能明确。（缺乏全局意识，不能有效整合所有资源）

3.一旦发生严重安全事件，不能及时防御。（排查繁琐，难度大）

针对这些问题，态势感知应运而生，主要用来统一管理安全设备，安全数据与流量日志。对当前安全环境有一个清晰的认知。而且能够查看横向攻击链，易于排查安全问题。

主要作用有：安全评分（根据态势感知的威胁检测能力，评估整体资产安全健康得分）、安全监控（展示待处理报警，待修复漏洞，合规检查问题的安全数据）

补充：监管类态势感知是国家负责的，监控国家某个领域以及某个行业的。

态势感知的部署

目前主流的态势感知设备品牌有：锐捷，H3C，华为，360数字安全，启明星辰，奇安信，深信服。

部署在安全管理区，在互联网出口处，互联网入口处设置流量探针与日志探针，去收集关键节点上的镜像流量。探针存储原始数据之后，从中筛选关键数据送入管理平台统一分析。

态势感知功能实现

1.收集数据：由系统日志，安全设备，网络流量探针收集而来的业务日志，安全告警，网络流量，资产信息送入态势感知平台。

2.分析数据：由态势感知安全分析引擎进行分析，主要分为智能分析（UEBA，AI，沙箱，威胁情报）和深度挖掘（攻击链分析，交叉/上下文验证，攻击路径，攻击序列，安全事件报警）

3.安全环境态势感知以及可视化系统呈现： 将安全环境展示为安全的大屏，风险检测预警。

核心功能：

1.资产中心：资产风险评估，资产管理，脆弱性管理

2.威胁检测与分析：关联分析，基线分析，告警管理，实体分析，攻击者分析，场景分析，事件调查。

3.响应处置：威胁报警，联动处置，工单管理

4.检测与报表：自定义视图，安全仪表板，统计报表。