云安全：浅谈态势感知

"态势感知"于美国空军提出，包括“感知、理解、预测”三个层次。在目前的一些安全系统中，实际仅做到了“感知”。借用客户一句话，安全的核心技术实际还在国外，今天从我们自己做起，来点滴学习安全知识。

一、态势感知的三个层面的递进关系

1、感知，实际是获取一些安全事件的重要线索。在网络环境中，IDS、IPS实际上是这个层面的工作。

2、理解，分析安全事件之间的相关性。

3、预测，能够基本模型预测安全事件未来的一些发展趋势

二、态势感知的建设推进

1、明确建设的目标、需要保护的业务资产范围

2、平台五大目标“安全集成、智能分析、态势感知、协同处置、运营可视”

三、态势感知的发展趋势

1、中国的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台

2、态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币，占安全市场的5%。

3、国外一般不谈态势感知系统，而称为威胁管理、威胁发现产品，并把网络安全态势感知作为由多个系统、工具整合实现的状态效果。

4、在国内态势感知被寄予了很高的期望，希望能够知道过去、预测未来。

5、国内的厂商平台一般含有的功能：资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。

5、态势感知在不同的行业有不同的核心技术需求。a、金融行业有着更多的业务场景，注重关联分析能力、威胁告警精确度、用户行为分析能力。b、运营商的SOC（Security Operation Center）除了关注自身的安全，也会注重利用本身的数据资源优势，拓宽行业市场。c、能源行业的IT种类繁多，非常注意安全生产，因此看重产品的兼容性、可连续性。d、政府机构关注对外部攻击防范、高级威胁检测。

6、目前，态势感知更多是提供数据分析结果。在大数据分析技术应用于预测方面，仍然做得不够。

四、态势感知的1.0

1、传统安全体系中，各类安全产品各自作战，不利于企业了解、应用整体安全风险，形成了安全孤岛。1.0打破了日志、告警孤岛，将各类安全设备的log采集到统一的日志存储平台，实现了集中存储。

2、1.0阶段以资产为核心，通过互联网已公开的漏信息信息、恶意域名、代理攻击IP等信息与资产进行匹配，呈现组织的安全风险状况。

3、1.0阶段呈现有限，多以汇总数据和静态呈现为主，采用定期刷新统计数据为主，智能分析技术较少应用。

4、1.0阶段主要是定位于事件分析、风险可视、告警管理等。

5、1.0在系统上增加了产生合规性报告的功能，以满足内控、审计方面的要求。

五、态势感知的2.0

1、 2.0将在1.0基础上，扩展大数据技术、人工智能技术、威胁情报等。

2、数据采集阶段，2.0要求安全厂商以API接口和SDN网络对接，突破Vxlan技术限制，使用可以采集东西向的流量。在云环境时代，东西流量占据了业务流量的大部分。

3、态势感知与大数据、人工智能联合，将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理，可以满足近实时的风险发现。

4、用机器学习更好实现风险预警、响应处理，提高对未来的预测、实时处置能力。系统可以从采集的数据中学习，形成一个具有自身相关特性的分析模型。

六、体会

1、1.0往往注重安全设施的建设，疏于安体运营体系的建设，造成感知能力差、使用功能有限，通常用来作日志查询和事件调查事后追查使用。

2、2.0时代融合了更多自动化、智能技术，将安全运营进行了体系化的运行，服务于实时生产过程中。