态势感知是一种基于环境的、动态的、整体的洞悉安全风险的能力,它以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析及响应处置能力的一种方式,旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行安全的相关决策与行动。我们在理解态势时,强调的是环境性、动态性和整体性。这里,环境性指的是态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性,则指的是态势随时间不断变化,态势信息既包括过去和当前的状态,还包括对未来趋势的预测;整体性,指的是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,而影响整个网络的态势。
态势感知为什么重要?一方面,如今我们面对的攻击者,已形成专业的黑色产业链,他们不仅分工明确,其所采用的攻击手段也更加先进,甚至利用上当下热门的人工智能,以便发动更具针对性的恶意攻击。攻击的专业化和利益化,引发的直接后果就是,不是你会不会被黑,而是何时会被黑,甚至说被黑了你都不知道。 另一方面,从网络安全建设来看,多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,虽取得了一定的成果,却也遇到发展瓶颈,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。
态势感知能做什么? 本质上讲,网络安全就是发生在虚拟世界的攻防战,速度为王,而态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。用“全天候全方位感知网络安全态势”来表述建设态势感知的目标十分准确,这包括了时间和检测内容两个维度。时间维度上,既需要利用已有实时或准实时的检测技术,同时还需要通过更长时间数据来分析发现异常行为,特别是失陷情况;而内容维度上,则需要覆盖网络流量、终端行为、内容载荷三个方面,并完整提供以下5类检测能力(或者说至少4类),它们是基于流量特征的实时检测(WAF、IPS、NGFW等)、基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)、针对内容的静态、动态分析机制(沙箱)、基于终端行为特征的实时检测(ESP)、基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)。