|
|
网络安全态势感知(提取、理解和预测)读书笔记
第一部分 基础知识
第一章 开启网络安全态势感知的旅程
1.1引言
IT基础设施的变化 、虚拟化技术、软件定义网络、移动互联网技术、云计算技术、大数据技术等技术的发展,改变了传统的数据中心和人们的工作方式,传统的网络边界变得模糊甚至消失,给传统的、以安全边界为核心的防护思想和安全产品带来了巨大的挑战。网络 空间威胁已经呈现出集团化、工具化、流程化的趋势,这给传统的以检测为核心的防御手段带来了巨大挑战。
网络安全态势感知本质上就是获取并理解大量网络安全数据,判断当前整体安全状态并预测短期未来趋势。总体而言,可分为三个阶段:态势提取、态势理解、态势预测。
1.2网络安全简史
● 计算机网络的发展
● 恶意代码:病毒、僵尸网络、木马、蠕虫
● 漏洞利用
● 高级持续性威胁(APT)
● 网络安全设施:防火墙、入侵检测系统、反病毒软件、统一威胁管理平台、下一代防火墙等
1.3网络安全态势感知
● 为什么需要态势感知?
大部分组织部署了各类流量监测系统、IDS、防火墙、终端监控系统、UTM等网络监控和防护设备,这些设备在运行过程中虽然也产生了大量含有有用信息的数据,如包数据、会话数据、日志、告警等,并在一定程度上反映了网络安全状态。但由于彼此间缺乏有效协作,无法进行组合式深度分析,也缺少多角度全景呈现,因此难以实现对网络整体安全态势的全面、准确、细粒度的展现。
● 网络安全态势感知的定义
网络安全态势感知是一种基于环境的动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为决策和行动服务,是安全能力的落地。
● 网络安全态势感知参考模型
Endsley的概念模型
JDL的数据整合模型
Bass的功能模型
本书将研究内容归结为3个方面:网络安全态势要素的提取、网络安全态势的理解 (也称为评估)、网络安全态势的预测
掌握”我方“(内部)安全状态更多地依靠态势感知,掌握”敌方“(外部)状态更多地依靠威胁情报。
● 美国建设经验
爱因斯坦1:DFI
爱因斯坦2:DPI
爱因斯坦3:IPS
1.4网络安全态势感知建设意见
要完成网络安全态势感知的建设目标,既需要采集多源异构的安全数据,也需要通过数据/事件检测分析平台进行检测分析,同时也离不开安全分析师的人工专业分析。
鉴于目前的技术水平,网络安全分析师是态势感知的最重要部分,是确定网络安全态势感知项目成败的关键因素。成功的网络安全态势感知系统必须考虑到人工分析的因素,引入专业的安全分析师来进行辅助分析,并通过提供好的平台工具和流程来支撑他们高效完成工作。
网络安全态势感知是综合性安全能力建设,涉及数据源、大数据平台、多类型检测分析引擎、可视化、资产管理、安全分析师团队建设等,列出一些阶段性建设意见。
第一阶段:搭建网络安全态势感知所需的基础工具和平台。
第二阶段:建立纵向支撑体系和情报数据共享体系。
第三阶段:建立自动化、体系化的主动动态防御能力。
态势感知必须与响应处置结合,这样才能有效提升网络安全防护效能,从而实现安全落地。 |
|
发表于 2023-1-17 16:11:23