態勢感知的基礎是對報警和元資料的收集,為達到「全方位全天候」的目標,需要在流量、內容、終端三個方面,利用實時資料和歷史資料進行檢測。但單純報警的視覺化展示並不是真正的「態」。要呈現當前的「態」,需要針對報警或者異常,進行誤報甄別、定性分析(識別定向型攻擊或是隨機性攻擊)、了解攻擊的影響範圍和危害、確定緩解或清除的方法及難度等等。在這個前提下,再對組織面臨安全事件全面呈現才能夠稱為「態」。而「勢」則是未來可能的安全事件或狀態,這種**可以基於對已知攻擊者的意圖、技戰術特點以及killchain分析得出,如果能夠獲得相關行業或者組織的情報共享,無疑可以更全面的掌握「勢」。
#1 全天候全方位,可以理解為時間維度和檢測內容維度。
1.)在時間維度上,需要利用已有實時或準實時的檢測技術,還需要通過更長時間資料來分析發現異常行為特別是失陷情況。
2.)在內容維度上,也需要覆蓋網路流量、終端行為、內容載荷三個方面。要完整提供以下5類檢測能力,或者說至少4類(參照gartner:five styles of advanced threat defense ):
#2 「態」
是真實的攻擊嗎?是否可能誤報?是否把掃瞄識別為真實攻擊?
是什麼性質的攻擊?定向或者隨機?
可能的影響範圍和危害
緩解或者清除的方法及難度
#3 「勢」
是新的攻擊團隊還是已知團夥
攻擊者的意圖
攻擊者的技戰術水平及特點
是否屬於一次大型戰役的一部分
誰能做態勢感知?
要完成態勢感知的建設目標,需要具備以下三大核心要素:流量資料採集、威脅情報和安全分析師。
1.)流量資料採集 相對而言實施難度較小,同時還有著不可替代的價值:通過流量日誌進行安全狩獵或者異常檢測、分析攻擊事件的影響範圍、回溯完整的攻擊鏈和ttp(戰術、技術和過程)。因此流量資料是態勢感知中必須考慮的一環。
2.)威脅情報 是隨著新型威脅防禦快速成長的乙個領域,在態勢感知建設中有著決定性的作用。最經常被提到的一類是可機讀情報(mrti),主要是賦能給安全產品,增強或公升級其安全能力。
3.)安全分析師,是安全運營中的高階人才。安全分析師的成長需要較好的環境(如資料和情報)、以及大量的實戰機會,難以大批量培養。安全分析師是態勢感知必須倚重的重要部分,是確定態勢感知專案成敗的又乙個關鍵因素。成功的態勢專案必須考慮到如何引入或培養這樣的人才,並通過提供好的工具和流程來支撐他們高效的完成任務。
cis 華為態勢感知 安全態勢感知
什麼是態勢感知 定義 ssa securitysituation awareness 即安全態勢感知,可以幫助使用者理解並分析其安全態勢,其通過使用者安全態勢 攻擊者態勢兩個維度,增強使用者從海量的資訊中發現有用資料的能力,幫助使用者準確理解過去一周發生的每一件安全事件,並為使用者進行安全態勢 提供...
美國推出網路安全態勢感知計畫
美國國家標準及技術研究所 nist 提出了乙個名為 態勢感知 的計畫,旨在保護能源公司免受黑客針對其電網開展的攻擊。該計畫到4月17日前將廣泛收集相關建議。按照該計畫,能源公司需要對其正在執行的技術進行實時跟蹤,還需要對與實物資產管理相關的資訊科技加以保護,以便能夠盡早檢測到異常事件或安全漏洞,並生...
雲態勢感知需要部署嗎 開發安全的雲感知應用程式
存檔日期 2019年5月14日 首次發布 2015年5月20日 隨著開發人員和組織認識到其不斷增長的價值,可感知雲的應用程式體系結構和設計正變得越來越普遍。支援雲的應用程式往往具有很高的彈性,易於擴充套件,開發速度更快,也更便宜。然而,儘管了解雲的應用程式具有許多好處,但它們的體系結構可以為無意識的...