安全牛高端沙龙:让我们来谈谈态势感知吧
作者: 日期:2017年04月19日 阅:8,002

要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

——2016年4月19日,习近平总书记在网络安全与信息化工作座谈会上的讲话

从2016年习总书记4·19讲话以来,态势感知已经成为国家安全和重点行业的关注重点,各地区各行业都在大力推动和支持相关项目的建设和应用。

但目前态势感知的概念非常宽泛,不同行业不同机构不同专家对其的理解并不统一,具备各种技术特点的安全厂商也争相声明都在做态势感知,在业内形成一定程度上的概念炒作风气。

安全牛近日组织了一场态势感知的讨论沙龙,列席人员包括了安全厂商、第三方机构和需求方三方面的资深专家,大家就目前态势感知的技术、落地、特点与问题进行了深入探讨。安全牛将各位专家的主要观点编辑如下:

一、以360企业安全为代表的厂商:

态势感知的定义

态势感知起源于军事领域,是指在一个比较快速的,动态变化的环境下,了解环境态势,并且快速地做出判断和处置的决策。

从微观到宏观上来讲,就是从很直接的微观层面获取信息,再到中观层面去理解信息,再基于知识储备和预测模型做出预测,以辅助决策和行动,如通报预警和安全处置。同时在宏观层面,呈现出对整体安全态势的掌握。

态势感知系统的三大基础支撑,数据、技术平台和不同角色的人员能力。

态势感知与传统SOC(安全运营中心)的一大区别就是,在获取数据的手段上更加丰富,突破了原来的技术限制,不管是传统的日志,还是各种安全设备、流量设备,甚至包括业务系统的行为日志,以及外部的威胁情报。

态势感知的两大类形态

一类从政府、部委、重点行业,主要从监管角度看待重点关键信息基础设施和重点行业。全面了解和掌握安全态势的情况,以便对与社会民生相关的问题快速做出反应,并形成处置决策。

另一种是帮助企业本身做好自动化响应,通过态势感知系统发现问题,解决问题,推动业务发展,形成企业内部的闭环。

态势感知建设目标

建立态势感知系统首先要明确目标、范围和目的,梳理清晰要监测与防护的最关键业务资产或机构,然后应用合理的技术从微观层面获取完整的安全要素数据,再结合态势感知的系统平台、来自外部安全大数据的情报能力,从中观层面来分析数据、发现威胁与异常,做到结合安全服务来落地安全能力。所以态势感知不只是宏观层面的大屏展示或“地图炮”,更应该是结合微观与中观层面的安全数据、平台、安全能力。

好的态势感知系统的建设和运营也确实帮助客户解决了面临的安全问题,360协助某地建设的态势感知系统,对这个地区的几百家重点单位的信息系统进行安全态势感知,系统运行后很快就发现了其中几个单位遭遇了严重的高级威胁,通过细致的过程分析,定位到了其中某些服务器和主机被控制,把这些单位的安全威胁找出来,避免了潜在的安全风险。

态势感知的难点

态势感知建设安全能力落地很重要,而数据和人是难点 。

数据的融合。如何把不同来源的数据汇总,并发生关联,产生作用,从而发现问题。既能从宏观上把握监控范围内的整体状况,又能够在需要的时候,在微观上定位到很细致、具体的威胁点,发现高级威胁,并进行追踪溯源。

二、以谷安天下为代表的第三方咨询专家:

早期的SOC(安全运营中心)之所以基本上都是失败的,是因为无法解决以下三个难点:

一是需求方的人员问题,系统建好之后,却缺乏胜任的团队来使用。

二是各个行业的特点不同,对于厂商而言,很难形成标准化的产品,而单个厂商又只能对自己长期服务的某个行业理解较深,不可能满足所有的行业需求。

第三是数据共享的问题。虽然大厂商都有着以自己为核心的生态圈,但生态圈之间却很难打通。包括数据共享的机制,相关标准等。

各方面需要形成共识,各行业由主管机构牵头,各厂商做好自身定位,咨询机构配合引导,至少先推动形成本行业内的共享机制。

三、以国家信息中心为代表的需求方:

态势感知的本质

态势感知不能停留在表面,所有安全系统要从安全的本源考虑问题,如何在现在的对抗环境下,快速发现攻击,快速地定位,去阻击,这是态势感知要做的最终目标。

所以,态势感知建设必须从安全防御出发,实现从边界安全、终端安全、系统防护、应用安全、数据安全的完整的态势感知,以资产为核心,利用本地安全数据,结合相应的病毒库、案例库、知识库以及相应的安全厂商的情报共享,以防御为目标实现安全态势的感知。

真实数据的获取

不管是SOC还是态势感知,安全系统想要充分发挥作用必须从真实的数据做起。虽然态势感知在行业的展现形式可能不一样,但底层特征都是一样的,因此要把最真实的底层数据获取过来。

有两种数据来源缺乏厂商的关注一是DNS数据,很少有厂商有能力做DNS的数据分析,但是通过DNS发现的问题是最多的。二是邮件的源数据。

此外,现在所有的流量监测都是旁路检测,但现实情况镜像过来的数据是有丢失的。

目前安全设备提供的日志能不能做态势感知,这个问题还是不得而知,我们需要一个结论。

理念的转变

安全市场不是销售多少设备,获取多少利润的问题,而是能为用户提供多大的安全价值的问题。许多厂商的态势感知图很好看,但对解决安全问题却没什么实际作用。国内的安全厂商,大多数都是属于市场驱动,而不能提供真正解决安全问题的产品,这就是我们跟美国的差距。

安全公司将在未来三年重新洗牌,安全厂商必须实现从“卖盒子”到“卖服务”的理念转变,如果没有办法跨越这个转折点,难免会被淘汰。

资产的庞大,业务的复杂,决定了IT系统的复杂性,安全和业务今后一定是深度融合的。在做好一个庞大复杂的系统之前,从简单开始做起,先解决基本问题,让用户看到效果,然后再逐渐深入。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章