态勢感知，讓網絡安全更可控

近年來(lái)，網絡安全受到(dào)了(le／liǎo)越來(lái)越多的(de)關注和(hé / huò)重視。随着雲計算、大(dà)數據、物聯網等新型基礎設施建設加速推進，網絡的(de)規模逐漸擴大(dà)，網絡的(de)結構、應用變得更加複雜，網絡安全問題更加值得關注。“網絡安全态勢感知”作爲(wéi / wèi)網絡安全主動防禦的(de)新技術，越來(lái)越受到(dào)業界的(de)關注和(hé / huò)認可。态勢感知在(zài)許多國(guó)家被提升到(dào)了(le／liǎo)戰略高度，政府、監管機構、企業等相繼開始建設和(hé / huò)積極應用态勢感知系統。2016年，我國(guó)提出(chū)了(le／liǎo)“全天候全方位感知網絡安全态勢”的(de)基本要(yào / yāo)求。今年，人(rén)民銀行發文要(yào / yāo)求地(dì / de)方性銀行業機構和(hé / huò)非銀行支付機構接入“金融行業态勢感知與信息共享平台”，通過統一(yī / yì ／yí)監管及安全賦能，提升金融機構應對威脅風險的(de)能力。


态勢感知，新一(yī / yì ／yí)代防禦體系的(de)核心

随着IT基礎架構大(dà)量引入雲計算、移動計算等新興技術，内外網絡物理邊界日趨模糊。從金融行業來(lái)看，開放銀行的(de)發展模式會推動這(zhè)種趨勢加速發展，傳統邊界防禦措施面臨失效挑戰。爲(wéi / wèi)解決這(zhè)些問題，“零信任”架構應運而(ér)生，首創者John Kindervag指出(chū)，以(yǐ)往可信的(de)内部網絡現在(zài)充滿威脅，提倡從網絡中心走向身份中心，在(zài)零信任網絡中，通過實現對人(rén)、設備、系統、應用的(de)自适應訪問控制構建安全系統。零信任要(yào / yāo)求通過“态勢感知”和(hé / huò)強大(dà)的(de)漏洞事件管理能力，将安全性構建到(dào)IT架構中，因此态勢感知成爲(wéi / wèi)新一(yī / yì ／yí)代防禦體系的(de)技術核心。

态勢感知是(shì)以(yǐ)安全大(dà)數據爲(wéi / wèi)基礎，從全局視角提升對安全威脅的(de)發現識别、理解分析、響應處置能力的(de)一(yī / yì ／yí)種方式，最終是(shì)爲(wéi / wèi)了(le／liǎo)決策與行動，是(shì)安全能力的(de)落地(dì / de)。安全态勢感知系統是(shì)安全防護的(de)大(dà)腦，可以(yǐ)更好地(dì / de)加強縱深防禦，通過建設主動防禦、持續監測、應急響應、溯源取證、風險預警等安全能力，最終實現安全運營等閉環管理。

态勢感知的(de)核心技術分爲(wéi / wèi)“态勢”和(hé / huò)“感知”兩部分。态勢是(shì)指，首先要(yào / yāo)了(le／liǎo)解所有的(de)情況，這(zhè)樣才能幫助決策。網絡安全态勢感知過程可以(yǐ)分爲(wéi / wèi)以(yǐ)下四個(gè)過程。

數據采集：通過各種檢測工具，對各種影響系統安全性的(de)要(yào / yāo)素進行檢測采集獲取，這(zhè)一(yī / yì ／yí)步是(shì)态勢感知的(de)前提。

态勢理解：對各種網絡安全要(yào / yāo)素進行分類、歸并、關聯分析并進行處理融合，對融合的(de)信息進行綜合分析，得出(chū)網絡的(de)整體安全狀況，這(zhè)一(yī / yì ／yí)步是(shì)态勢感知基礎。

态勢評估：定性、定量分析當前網絡的(de)安全狀态和(hé / huò)薄弱環節，并給出(chū)相應的(de)應對措施，這(zhè)一(yī / yì ／yí)步是(shì)态勢感知的(de)核心。

态勢預測：通過态勢評估輸出(chū)的(de)數據，預測網絡安全狀況的(de)發展趨勢，這(zhè)一(yī / yì ／yí)步是(shì)态勢感知的(de)目标。

最後，根據評估結果聯動或人(rén)工進行威脅處置，形成安全閉環，此過程也(yě)稱爲(wéi / wèi)态勢感知1.0。以(yǐ)安全大(dà)數據爲(wéi / wèi)基礎，從全局視角提升對安全威脅的(de)發現識别、理解分析和(hé / huò)響應處置，有了(le／liǎo)可視化的(de)安全态勢感知，各種威脅及風險可以(yǐ)變得一(yī / yì ／yí)目了(le／liǎo)然，通過提前預警，做到(dào)防患于(yú)未然。

态勢感知2.0，更好感知安全态勢

目前在(zài)國(guó)内，傳統安全廠商以(yǐ)日志、流量、沙箱爲(wéi / wèi)主構建态勢感知，特點是(shì)組件較全面，缺點是(shì)沒有優勢組件；大(dà)數據平台廠商是(shì)以(yǐ)日志收集和(hé / huò)分析爲(wéi / wèi)主，其他(tā)組件較弱或沒有；小部分廠商以(yǐ)沙箱或者威脅情報爲(wéi / wèi)主，在(zài)态勢感知領域中有明顯短闆。深信服的(de)安全感知平台組件比較全面，以(yǐ)流量分析爲(wéi / wèi)主，再加上(shàng)元數據、日志、沙箱、威脅情報等功能組件，采用機器學習模式，針對APT全攻擊鏈中的(de)每個(gè)步驟，滲透、駐點、提權、偵查、外發等各個(gè)階段進行檢測，建立文件異常、Mail異常、C&C異常檢測、流量異常、日志關聯、Web異常檢測、隐蔽通道(dào)等檢測模型并關聯檢測出(chū)高級威脅。

近兩年，深信服在(zài)态勢感知上(shàng)紮紮實實做了(le／liǎo)幾件事：第一(yī / yì ／yí)，采用傳統規則和(hé / huò)機器學習互相融合的(de)方式，通過DPI和(hé / huò)DFI相互結合的(de)核心技術，把流量檢測能力做到(dào)了(le／liǎo)業界先進水平。用AI來(lái)提高檢測算法的(de)精度和(hé / huò)應變能力，構建了(le／liǎo)包含攻防專家、數據科學家和(hé / huò)安全分析師在(zài)内的(de)三位一(yī / yì ／yí)體架構，攻防專家負責安全問題的(de)定義，數據科學家負責把問題轉換成AI模型，安全分析師負責訓練AI模型進行優化，三者互相配合，使得AI能夠不(bù)停地(dì / de)叠代進化，保持對最新威脅和(hé / huò)黑客常見攻擊手法的(de)檢測能力。比如在(zài)僵屍網絡檢測任務的(de)對比訓練裏，深信服的(de)AI已經把檢測的(de)準确度提升到(dào)99.7%，内網穿透檢測水平也(yě)相當精準。第二，結合入侵分析的(de)鑽石模型，通過保護對象來(lái)進行态勢感知。鑽石模型最簡表述：對手借助基礎設施針對受害者部署能力。除了(le／liǎo)攻擊鏈覆蓋手法以(yǐ)外，以(yǐ)資産和(hé / huò)保護對象爲(wéi / wèi)中心，進行防守和(hé / huò)态勢感知，即圍繞資産展開，将整個(gè)被保護系統中所需保護的(de)資産和(hé / huò)對象進行體系化的(de)識别和(hé / huò)科學建模，圍繞資産行爲(wéi / wèi)進行異常檢測。第三，深信服本身擁有全方位的(de)安全産品體系，态勢感知不(bù)隻是(shì)産品更是(shì)解決方案，與其他(tā)産品相互結合，以(yǐ)點帶面進行突破，發揮更大(dà)作用。

憑借多年金融行業實踐經驗，深信服發布的(de)态勢感知2.0，從概念上(shàng)更爲(wéi / wèi)清晰，吸收PPDR5安全模型，借鑒Gartner自适應安全防禦理念，在(zài)獲取、理解、評估和(hé / huò)預測的(de)基礎上(shàng)，增加了(le／liǎo)行動環節，使整個(gè)态勢感知2.0更爲(wéi / wèi)完整，更好地(dì / de)支撐安全運營領域的(de)應用。

态勢感知2.0通過在(zài)網絡、中間件、主機等設備上(shàng)部署探針