话说!全方位态势感知在政企侧如何落地运用?

发布时间 2018-03-30

网络安全态势感知(SituationalAwareness)被系统化引入到信息技术安全领域里,相对成熟的应用当属美国爱因斯坦计划了。早在2003年,爱因斯坦计划中态势感知被提出的目的是让“计算机系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁。”其设计初衷是能够对网络威胁形成感知和预判,这就为以后网络安全态势感知系统的整体化运作定了基调。
 
随着时间的推移,我国在信息领域各个方面取得飞速的进步,在相继出台的《网络安全法》和《国家网络空间安全战略》等相关法律法规之后,尤其是国家领导人在“4·19讲话中”提到的“全天候全方位感知网络安全态势。知己知彼,才能百战不殆”,政企侧对网络安全的深层次防护也提出了相应的需求,态势感知被各政企侧用户正式提上了议事日程。
 
看着政企侧态势感知建设上的热情,不免引发我们想到“怎么样的态势感知系统才是好的系统”、“如何才能运营好态势感知系统”“如何在收集上的安全数据形成对全网的安全形势研判”等一系列思考。事实上,只有建设好态势感知系统,才能帮助我们的决策者们,依托这个平台形成威胁闭环管理和决策链管理。因此,作为国内唯一一家进入GartnerSIEM魔力象限的信息安全产品提供商,我们有必要从体系化建设态势感知的角度,为这些战略客户、各大行业、大型企业的态势感知项目建设提供一些建议和帮助。
 
全天候全方位的态势感知平台建设,不是一蹴而就的。一个态势感知系统,从项目立项到前期调研,到方案落地,再到部署实施,最后到运营维护,是需要跨越一个比较长的周期的。在我们看来,要做到真正的全方位态势感知的落地,至少需要从以下几个方面入手。
 
首先,整个平台要尽可能全面的采集所有安全要素信息。
 
人类分析问题通常会基于线索展开,因此,态势感知平台在进行态势的理解和分析时,也是基于这样的原理。一套态势感知平台需要大量的安全要素原始信息(线索)支撑,仅仅只采集安全设备产生的各种日志事件是不够的,为了能够做到追踪溯源,我们还需要采集更多的有效信息。为了把握资产态势,需要采集资产要素信息如资产类型、系统版本、资产归属等。为了把握业务运行态势,需要采集设备运行日志、网络运行日志、业务系统性能日志等;为了补全攻击链条,更准确的做到攻击链还原,我们还需要采集流量信息来进行流量行为分析。

当然,无论什么样的态势感知平台,如果能够凭借多年来的技术积累,能够形成一个开放性的信息采集平台是最好不过的。只有基于开放性,平台能够收集网络内各种业务系统和安全设备的日志、运行信息、资产信息才具备决策的权威性,结合系统本身强大的范式化能力,可以灵活扩展新的采集源能力,就能够为安全要素的全面收集奠定扎实的基础。
 
如下图所示,其平台的开放性包括的对资产发现的各类信息接入、运行数据采集的数据接入、漏洞情报、威胁情报、攻击数据等信息接入,有这些技术数据源的支撑,态势感知平台才有足够的分析威胁的能力,才具备对威胁的有效确认与定位的能力。

 


态势感知平台的全要素采集布局

 

其次,整个平台要从攻防视角来进行威胁检测和发现。


正所谓“知己知彼、百战不殆”,当我们能够提前获知攻击者的攻击手段、攻击目标、攻击工具、利用的漏洞信息等情报,就能够对攻击者进行画像,更好的帮助我们进行威胁分析。因此,态势感知平台必须具备灵活运用威胁情报的能力,这个威胁情报不仅从内部能够产生并且形成情报转化,同时,又能够消费外部第三方威胁情报,由此形成一套比较成熟的威胁情报运用链条,从而可以为用户提供精准快受的威胁判别和自适应防御。
 
根据我们多年的经验发现,威胁情报的数据积累往往离不开沉淀和导入两部分组成,沉淀是指在网络攻防研究中所积累的攻防经验和攻防数据,在过去的二十年里,我们通过积极防御实验室(ADLab)积攒了大量的原始攻防数据、0-day漏洞数据等基础信息,仅2017年,ADLab发现原创漏洞多达400余个,全亚洲排名第一,漏洞覆盖Windows、Linux、Unix等操作系统。
 

再次,整个平台要能提供有效的响应处置手段。
 
我们认为,通过态势感知平台建设可以为客户创造价值的亮点非常多,其中针对网络中检测到威胁后,进行威胁闭环,就是非常值得用户关注的核心价值之一。我们坚定认为,一套完整的态势感知交付平台,应该具备配套事件的响应和处置流程,只有通过处置,才是真正意义上的威胁闭环。因此,从态势感知平台设计之初,我们就在平台中,内嵌了威胁的预警、告警和响应处置模块,来帮助用户完善线上处置的效率,理顺威胁闭环的工作流,为安全业务的稳定运营提供保障。
 

最后,整个平台必须结合安全服务,才能实现用户网络的安全保障。
 
我们认为,在建设态势感知平台时,应该充分考虑安全服务的能力准备,只有帮助用户建立成体系的安全服务,才能有效地响应安全事件,才能真正让态势感知平台发挥出应有的效果。根据经验,安全服务能力只是包括:事件分析能力、攻防渗透能力、脆弱性检测能力、风险评估能力等,为此,我们也能够提供多种安全服务和安全培训,帮助用户构建自身的安全保障人员体系,让用户能够真正用好态势感知平台,帮助用户做到态势感知平台的真正落地。
 

泰合服务团队能力



 终上所述,我们希望通过网络全方位态势感知在政企侧落地运用的思考,能够为广大用户在建设安全态势感知平台之初提供一些帮助,希望大家的态势感知平台建设能与党的方针政策所指引的方向交相呼应,能顺应安全数据大时代的潮流,能为构建一个更加坚固政企侧安全壁垒添砖加瓦。