官網熱線:400-100-0298
態勢感知是一種基于環境的、動態的、整體的洞悉安全風險的能力,它以安全大數據為基礎,從全局視角提升對安全威脅的發現識別、理解分析及響應處置能力的一種方式,旨在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,進而進行安全的相關決策與行動。我們在理解態勢時,強調的是環境性、動態性和整體性。這里,環境性指的是態勢感知的應用環境是在一個較大的范圍內具有一定規模的網絡;動態性,則指的是態勢隨時間不斷變化,態勢信息既包括過去和當前的狀態,還包括對未來趨勢的預測;整體性,指的是態勢各實體間相互關系的體現,某些網絡實體狀態發生變化,會影響到其他網絡實體的狀態,而影響整個網絡的態勢。
態勢感知為什么重要?一方面,如今我們面對的攻擊者,已形成專業的黑色產業鏈,他們不僅分工明確,其所采用的攻擊手段也更加先進,甚至利用上當下熱門的人工智能,以便發動更具針對性的惡意攻擊。攻擊的專業化和利益化,引發的直接后果就是,不是你會不會被黑,而是何時會被黑,甚至說被黑了你都不知道。 另一方面,從網絡安全建設來看,多年來我們一直偏重于架構安全(漏洞管理、系統加固、安全域劃分等)和被動防御能力(IPS、WAF、AV等)的建設,雖取得了一定的成果,卻也遇到發展瓶頸,需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。
態勢感知能做什么? 本質上講,網絡安全就是發生在虛擬世界的攻防戰,速度為王,而態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢,以作出正確響應。用“全天候全方位感知網絡安全態勢”來表述建設態勢感知的目標十分準確,這包括了時間和檢測內容兩個維度。時間維度上,既需要利用已有實時或準實時的檢測技術,同時還需要通過更長時間數據來分析發現異常行為,特別是失陷情況;而內容維度上,則需要覆蓋網絡流量、終端行為、內容載荷三個方面,并完整提供以下5類檢測能力(或者說至少4類),它們是基于流量特征的實時檢測(WAF、IPS、NGFW等)、基于流量日志的異常分析機制(流量傳感器、Hunting、UEBA)、針對內容的靜態、動態分析機制(沙箱)、基于終端行為特征的實時檢測(ESP)、基于終端行為日志的異常分析機制(EDR、Hunting、UEBA)。
