態(tài)勢感知三要素缺一不可

據(jù)悉360安全態(tài)勢感知系統(tǒng)已經(jīng)在全國多地監(jiān)管部門、金融等重要行業(yè)和大型企業(yè)落地實施。360企業(yè)安全集團副總裁韓永剛在接受媒體采訪時表示，態(tài)勢感知是一種基于環(huán)境的、動態(tài)的、整體的洞悉安全風險的能力，是以安全大數(shù)據(jù)為基礎，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

態(tài)勢感知必備三大核心

韓永剛介紹，目前態(tài)勢感知主要有三大應用方向：一類是監(jiān)管機構，更多從國家層面，或者是省市大地域層面，關注跟國計民生相關的關鍵信息基礎設施，對它們的安全態(tài)勢進行整體的監(jiān)測與關注。還有一類是大型行業(yè)，如政府、金融、大型企業(yè)，他們從自己的體系內部去做態(tài)勢感知，首先是其內部系統(tǒng)的安全運營，發(fā)現(xiàn)重要威脅，解決問題，把安全能力，通過態(tài)勢感知這樣的體系和平臺去落地。這些大型機構也會有很多分支或二級單位，也需要通過態(tài)勢感知對這些單位進行外部監(jiān)管，以提升整體的安全狀態(tài)的掌握能力。同時與監(jiān)管機構進行在事件應急處置及威脅情報方面的合作。最后一類是機構或企業(yè)內部的態(tài)勢感知，對自己內部有價值的核心資產(chǎn)、業(yè)務系統(tǒng)，從日常的安全工作角度出發(fā)，發(fā)現(xiàn)各類威脅與內部異常違規(guī)，保證業(yè)務系統(tǒng)能夠比較平穩(wěn)、順暢的運行，更偏向內部安全的運營型能力的落地。

“態(tài)勢感知系統(tǒng)是個體系，需要結合新技術、數(shù)據(jù)、系統(tǒng)平臺和人的能力”，韓永剛認為一個完整的態(tài)勢感知系統(tǒng)需要包含以下幾大核心部分：首先是對整個周邊安全態(tài)勢要素的完整獲取，也就是對數(shù)據(jù)的理解和獲取、采集的能力。比如流量數(shù)據(jù)的還原與監(jiān)控、云端數(shù)據(jù)的理解、掃描類的數(shù)據(jù)、各類日志數(shù)據(jù)等。把來自不同的源頭、不同類型的數(shù)據(jù)融合在一起、產(chǎn)生關聯(lián)，通過進一步分析去發(fā)現(xiàn)問題。這也就要求一個大數(shù)據(jù)平臺能把海量數(shù)據(jù)高效地存儲與計算處理，在此基礎上做深度的安全檢測、事件捕獵、調查分析，發(fā)現(xiàn)、定位、溯源安全事件。尤其在安全數(shù)據(jù)分析上，是著重應該加強的地方。具備多維度的安全分析工具平臺與能力，才能夠真正捕獲威脅與攻擊，甚至溯源攻擊背后的情況。這時深度的多維度數(shù)據(jù)關聯(lián)分析、基于語義分析的檢測引擎、可進行人機交互式的調查研判平臺、可視化分析、威脅情報技術、特定問題的機器學習都成為有力的武器。

態(tài)勢感知先行者

“360之所以成為態(tài)勢感知領域的先行者，安全大數(shù)據(jù)能力最為重要，”韓永剛稱，在為客戶建設態(tài)勢感知系統(tǒng)過程中，在數(shù)據(jù)層面，360企業(yè)安全會分成兩個層面進行。在客戶機構內部，幫客戶建立輕量級的安全大數(shù)據(jù)平臺，進行基礎數(shù)據(jù)的采集、處理，從流量、系統(tǒng)、應用各個層面盡量細致地把這些數(shù)據(jù)匯集。

同樣的，在這個系統(tǒng)平臺之上，360企業(yè)安全也幫助客戶建立安全持續(xù)監(jiān)測 — 通報預警— 分析研判—快速處置—態(tài)勢感知—追蹤溯源的業(yè)務流程閉環(huán)。

另一個層面，在態(tài)勢感知中，外部數(shù)據(jù)產(chǎn)生的作用也非常大。這里的“外部的數(shù)據(jù)”，是指從互聯(lián)網(wǎng)層面上的看的數(shù)據(jù)。企業(yè)看到內部的一些單點事件，在外部可能曾經(jīng)發(fā)生過，并有各種關聯(lián)。一些技術比較高超的攻擊者，甚至是APT攻擊組織，在進行攻擊的時候，其實很多利用的資源，或者是用過的手法，在外部的互聯(lián)網(wǎng)上都會有一些痕跡。通過不同的數(shù)據(jù)維度，時間維度，把這些線索串聯(lián)起來，就能形成威脅情報體系。360在生產(chǎn)、研究這些情報的時候，會用到很多基礎數(shù)據(jù)，比如樣本數(shù)據(jù)、DNS數(shù)據(jù)，都是上百億的數(shù)據(jù)量。把這些不同維度的安全數(shù)據(jù)匯集，再去做挖掘、分析，在更廣的互聯(lián)網(wǎng)領域里去做拓展和溯源。這個過程中會用到外部的大數(shù)據(jù)的體系，把這兩個體系結合，能夠對態(tài)勢感知實現(xiàn)更好的落地效果。

韓永剛認為，建立態(tài)勢感知系統(tǒng)首先要明確目標、范圍和目的，梳理清晰要監(jiān)測與防護的最關鍵業(yè)務資產(chǎn)或機構，然后應用合理的技術從微觀層面獲取完整的安全要素數(shù)據(jù)，這些數(shù)據(jù)拿到的越全，對威脅發(fā)生的過程、攻擊鏈條看得就更全。再結合態(tài)勢感知的系統(tǒng)平臺、來自外部安全大數(shù)據(jù)的情報能力，從中觀層面來分析數(shù)據(jù)、發(fā)現(xiàn)威脅與異常，做到結合安全服務來落地安全能力。而這些也是360天然獨特的優(yōu)勢。所以態(tài)勢感知不只是宏觀層面的大屏展示或“地圖炮”，更應該是結合微觀與中觀層面的安全數(shù)據(jù)、平臺、安全能力。