网络安全态势感知

　　随着网络信息技术的发展，不论是企业还是个人对网络的依赖越来越大，传统的网络安全技术显得力不从心，网络入侵不可避免，网络安全问题越发严峻，单凭一种或几种安全技术很难应对复杂的安全问题，这时网络安全态势感知应运而生。

　　如果您是为了日常防护，可以使用安全狗的服务器安全软件，可以防病毒、防攻击、防篡改、修复服务器漏洞等等，这是免费使用的产品，足以支持日常的服务器安全防御。

　　下载地址：http://free.safedog.cn/server_safedog.html

　　如果需要态势感知系统，可以了解下安全狗的啸天大数据态势感知系统

　　产品地址：http://www.safedog.cn/index/situationIndex.html

　　什么是网络安全态势感知

　　态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

　　随着网络安全重要性的凸显，态势感知开始在网络安全领域斩露头角，现阶段面对传统安全防御体系失效的风险，态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施。

　　网络安全态势感知概念

　　目前，对网络安全态势感知并未有一个统一而全面的定义，我们可以结合态势感知通用定义来对对网络安全态势感知给出一个基本描述，即：

　　网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户，并给出相应的报表和应对措施。

　　根据上述概念模型，网络安全态势感知过程可以分为一下四个过程：

　　1)数据采集：通过各种检测工具，对各种影响系统安全性的要素进行检测采集获取，这一步是态势感知的前提;

　　2)态势理解：对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出影响网络的整体安全状况，这一步是态势感知基础;

　　3)态势评估：定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的核心;

　　4)态势预测：通过对态势评估输出的数据，预测网络安全状况的发展趋势，这一步是态势感知的目标。

　　网络安全态势感知要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施，以图、表和安全报表的形式展现给用户。

　　为什么需要态势感知

　　一方面，如今我们面对的攻击者，已形成专业的黑色产业链，他们不仅分工明确，其所采用的攻击手段也更加先进，甚至利用上当下热门的人工智能，以便发动更具针对性的恶意攻击。攻击的专业化和利益化，引发的直接后果就是，不是你会不会被黑，而是何时会被黑，甚至说被黑了你都不知道。

　　另一方面，从网络安全建设来看，多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，却也遇到发展瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

　　显然，面对越来越专业的恶意攻击，我们已无法再用传统的边界隔离理念，日渐臃肿的攻击特征库，与对方多变的渗透技术，智能的HaaS服务，隐蔽的信道相抗衡了。因此，态势感知成为未来网络安全的关键。我们说，一次成功的渗透和攻击，包含了信息搜集、攻击尝试、移动提权、信息回传等多个过程，因此没有万无一失的筹谋，再聪明的攻击者也会留下蛛丝马迹，而我们要做的就是在“事前”发现它。

　　态势感知能做什么

　　本质上讲，网络安全就是发生在虚拟世界的攻防战，速度为王，而态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势，以作出正确响应。用“全天候全方位感知网络安全态势”来表述建设态势感知的目标十分准确，这包括了时间和检测内容两个维度。

　　时间维度上，既需要利用已有实时或准实时的检测技术，同时还需要通过更长时间数据来分析发现异常行为，特别是失陷情况;而内容维度上，则需要覆盖网络流量、终端行为、内容载荷三个方面，并完整提供以下5类检测能力(或者说至少4类)，它们是基于流量特征的实时检测(WAF、IPS、NGFW等)、基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)、针对内容的静态、动态分析机制(沙箱)、基于终端行为特征的实时检测(ESP)、基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)。

　　态势感知应用关键点

　　当前，单维度的网络安全防御技术手段，已经难以应对复杂的网络环境和大量存在的安全问题，对网络安全态势感知具体模型和技术的研究，已经成为2.0时代网络安全技术的焦点，同时很多机构也已经推出了网络安全态势感知产品和解决方案。

　　但是，目前市场上的的相关产品和解决方案，都相对偏重于网络安全态势的某一个或某几个方面的感知，网络安全态势感知的数据分析的深度和广度还需要进一步加强，同时网络安全态势感知与其它系统平台的联动不足，无法将态势感知与安全运营深入融合。

　　为此，太极信安认为网络安全态势感知平台的建设，应着重考虑以下几个方面的内容：

　　1、在数据采集方面，网络安全数据来源要尽可能的丰富，应该包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等，只有这样态势评估结果才能准确。

　　2、在态势评估方面，态势感评估要对多个层次、多个角度进行评估，能够评估网络的业务安全、数据安全、基础设施安全和整体安全状况，并且应该针对不同的应用背景和不同的网络规模选择不同的评估方法。

　　3、在态势感知流程方面，态势感知流程要规范，所采用的算法要简单，应该选择规范化的、易操作的评估模型和预测模型，能够做到实时准确的评估网络安全态势。

　　4、在态势预测方面，态势感知要能支持对不同的评估结果预测其发展趋势，预防大规模安全事件的发生。

　　5、在态势感知结果显示方面，态势感知能支持多种形式的可视化显示，支持与用户的交互，能根据不同的应用需求生成态势评测报表，并提供相应的改进措施。

　　要想真正实现主动防御的思想，网络安全态势感知是防御的首选武器，由于复合式攻击已成为当前行为中的主流方式，并且网络安全态势感知恰恰是目前应对复合式攻击的最有力的防御手段，因此对于复杂的网络业务规模，态势感知必不可少。