態勢感知是目前網絡安全領域的熱點，然而面對撲面而來的態勢感知熱潮、混亂的概念和良莠不齊的方案，無論是需求方還是建設方都還有點“消化不良”。以下內容試圖撥亂反正，幫助大家更準確的理解和把握態勢感知。

[[201058]]

態勢感知是什么?

態勢感知的概念最早是由美國空軍提出，是為提升空戰能力，分析空戰環境信息、快速判斷當前及未來形勢，以作出正確反應而進行的研究探索。

上世紀90年代這個概念被引入了信息安全領域，最知名的2003年開始的美國的愛因斯坦計劃(正式名稱國家網絡空間安全保護系統The National Cybersecurity Protection System)，2013年已經開始第三期的建設，美國CERT及后續DHS(國土安全部)對態勢感知進行了不斷探索。

美國國家安全系統委員會對態勢感知的定義是：“在一定的時間和空間范圍內，企業的安全態勢及其威脅環境的感知。理解這兩者的含義以及意味的風險，并對他們未來的狀態進行預測。”態勢感知是偏重于檢測和響應分析能力的建設，這確實是現實最迫切的安全需要。

為什么需要態勢感知?

面對新的安全形勢，傳統安全體系遭遇瓶頸，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。

從美國對愛因斯坦計劃的持續不斷投入，可以看到網絡空間安全的態勢感知，對于國家、行業有多么重要的意義。我國的網絡安全形勢非常嚴峻，截止2016年底，僅360公司就累計監測到針對中國境內目標發動攻擊的APT組織36個，最近仍處于活躍狀態的APT組織至少有13個，這些組織的攻擊目標涵蓋了政府機關、高校、科研機構以及關鍵基礎設施的行業/企業。今年爆發的WannaCry勒索蠕蟲，更讓我們看到了網絡武器民用化之后可能造成的巨大災害。

從現實中的網絡安全建設看，多年來我們一直偏重于架構安全(漏洞管理、系統加固、安全域劃分等)和被動防御能力(IPS、WAF、AV等)的建設，雖取得了一定的成果，也遇到發展瓶頸。簡單通過購買更多的安全設備已經不能使安全能力有提升，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。在之前建立了一定自動化防御能力的基礎上，開始增加在非特征技術檢測能力上的投入，以及事件響應分析能力的建設;并通過對事件的深度分析及信息情報共享，建立預測預警并針對性改善安全系統，最終達到有效檢測、防御新型攻擊威脅之目的。

正是因為這些現實的問題，習總書記才會在4.19講話中明確提出建設“全天候全方位感知網絡安全態勢 ”。

態勢感知能干什么?

網絡安全與戰爭一樣，本質是攻防雙方的對抗，攻防之戰，速度為王，作為防守方的目標是縮短攻擊者的自由攻擊時間。態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。

“全天候全方位感知網絡安全態勢”對態勢感知的建設目標做出了準確描述。全天候全方位，可以理解為時間維度和檢測內容維度。

在時間維度上，需要利用已有實時或準實時的檢測技術，還需要通過更長時間數據來分析發現異常行為特別是失陷情況。

在內容維度上，也需要覆蓋網絡流量、終端行為、內容載荷三個方面。要完整提供以下5類檢測能力，或者說至少4類(參照Gartner：Five Styles of Advanced Threat Defense )：

基于流量特征的實時檢測(WAF、IPS、NGFW等)

基于流量日志的異常分析機制(流量傳感器、Hunting、UEBA)

針對內容的靜態、動態分析機制(沙箱)

基于終端行為特征的實時檢測(ESP)

基于終端行為日志的異常分析機制(EDR、Hunting、UEBA)

“態”指是從全局角度看到的現狀，包括組織自身的威脅狀態和整體的安全環境，需要基于之前提到的5種檢測能力盡可能的發現攻擊事件或攻擊線索，同時需要對涉及到的報警提供進一步的分析，回答以下的問題：

• 是真實的攻擊嗎?是否可能誤報?是否把掃描識別為真實攻擊?
• 是什么性質的攻擊?定向或者隨機?
• 可能的影響范圍和危害
• 緩解或者清除的方法及難度

無法正確的回答這些問題，只是簡單的將報警在地圖上呈現就無法體現有現實價值的“態”，無法確定是否可以進入處置流程。

“勢”，即未來的狀態。要能預測組織未來的安全狀態，需要對現階段所面臨的攻擊事件特別是定向攻擊事件有深入的了解：

• 是新的攻擊團隊還是已知團伙
• 攻擊者的意圖
• 攻擊者的技戰術水平及特點
• 是否屬于一次大型戰役的一部分

了解這些信息，同時通過信息和情報共享，對同行業或相似部門的相關此類信息也有所了解，就能夠預測未來可能處于的安全狀態以及需要防御的重點，即預測預防能力。

誰能做態勢感知?

要完成態勢感知的建設目標，需要具備以下三大核心要素：流量數據采集、威脅情報和安全分析師。

流量數據采集相對而言實施難度較小，同時還有著不可替代的價值：通過流量日志進行安全狩獵或者異常檢測、分析攻擊事件的影響范圍、回溯完整的攻擊鏈和TTP(戰術、技術和過程)。因此流量數據是態勢感知中必須考慮的一環。

威脅情報是隨著新型威脅防御快速成長的一個領域，在態勢感知建設中有著決定性的作用。最經常被提到的一類是可機讀情報(MRTI)，主要是賦能給安全產品，增強或升級其安全能力。

為了幫助安全分析師完成對事件的分析，威脅情報領域內提供了專業的情報分析工具(情報分析平臺/關聯分析平臺)，分析師通過這樣的平臺可以方便的完成過去付出極大體力和腦力也難以進行的工作：

• 判定一個攻擊是否屬于已知攻擊
• 查找和攻擊相關的網絡基礎設施(域名、主機)及樣本
• 了解這些基礎設施和樣本的詳情
• 判定攻擊是否和某個已知團伙相關并了解這個攻擊團伙的基本情況

威脅情報中還有一類TTP類型的情報，屬于人讀的情報，主要針對已發生的重要安全事件，分析攻擊者的攻擊范圍、攻擊目的、具體的技戰術手法和攻擊過程，并提煉出防御建議。

流量數據和威脅情報都很重要，但它們能發揮多大作用，最終還是要依賴與人的力量，其中最重要的是安全分析師，是安全運營中的高級人才。安全分析師的成長需要較好的環境(如數據和情報)、以及大量的實戰機會，難以大批量培養。安全分析師是態勢感知必須倚重的重要部分，是確定態勢感知項目成敗的又一個關鍵因素。成功的態勢項目必須考慮到如何引入或培養這樣的人才，并通過提供好的工具和流程來支撐他們高效的完成任務。

態勢感知是綜合性的安全能力建設，流量數據、威脅情報以及安全分析師是影響項目成敗的關鍵因素，另外大數據平臺、可視化、資產管理等也很重要。

如何建設態勢感知?

態勢感知建設是個復雜的系統工程，分階段建設是一種必要、穩妥的方法。

以下綜合態勢感知中涉及的主要方面，給出一些階段性的劃分意見：

1. 基于特定組織，完成內部態勢感知基本建設

這個階段的建設內容主要包括：數據和報警的收集、威脅情報平臺、事件分析研判平臺、內部處置管理平臺以及呈現、輔助完成這些工作的可視化應用。這樣在一個單位內部可以支撐完整的安全運營。其中需要的安全分析師可以通過購買外部服務的方式獲得。

2. 建立縱向支撐體系以及情報數據共享體系

這個階段的建設包括縱向的惡意代碼分析中心、增強的事件分析中心、以及情報分享機制和縱向威脅情報中心。惡意代碼分析和重大事件分析是需要高水平的安全分析師的，利用縱向的建設，集中使用這些資源，可以更快的提升整體運營水平，也有利于安全分析師的培養。情報分享機制保障信息在行業內部以及和公安、網信等部門的同步，同時通過縱向威脅情報中心收集、處理、分發內部情報信息，對整個行業或組織面臨的威脅有一個更精準、全面的掌控，讓關鍵性情報可以更迅速、有效的使用。

3. 建立整體性自動化防御能力

到了這個階段，隨著縱向支撐體系和整體情報分析能力的增強，遇到關鍵事件可以進行整體化防護，如自動化配置相關的NGFW、IPS或郵件網關設備，再如利用內部的DNS系統對特定的DNS解析進行重定向(Sinkhole)等，利用這些手段更快速、高效的進行遏抑攻擊事件，為清除攻擊爭取時間。

一個安全體系尤其是態勢感知這樣的復雜體系，在體系建設前，建議先和專業的咨詢機構和專業的安全服務商一起進行咨詢、規劃，作為前期的配合工作。

選擇什么合作伙伴?

態勢感知的建設需要明確建設目標、掌控好關鍵性因素、分階段開展相關的建設。這個過程中選擇適合的伙伴就特別重要。

和什么樣的伙伴合作能夠獲得最重要的威脅情報、安全分析師資源，得到成熟的流量數據解決方案，是需要仔細考量的問題。但我們可以樂觀的看到，早年曾經制約態勢感知能力建設的數據平臺和威脅情報能力、高級別的安全分析師資源，在近幾年都有了快速的發展，有相應的優質資源可以獲得。相信通過一段時期的態勢感知建設，我國的網絡空間安全水平會有一個整體的提升，有足夠的能力去更好面對來自網絡犯罪團伙、意識形態黑客以及國家級別的攻擊威脅。

在9月13日舉行的中國互聯網安全大會(ISC 2017)的大數據與威脅分析論壇上，來自全球的網絡安全專家的專家將進一步討論態勢感知在新安全運營體系中的價值。