What is SITUATIONAL AWARENESS?
 |
| 瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」 |
来源:移动支付网 作者:汪德嘉
在智慧時代安全防護下,除多種身份認證外,我們還需【狀態意識】輔助身份辨識。態勢感知系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確反應。
「全天候、全方位感知網路安全態勢」,對狀態意識的建設目標,做出了準確描述。本文節選汪德嘉博士《身份危機》一書中的態勢感知章節,與大家分享狀態意識,是如何保護身份認證安全!
「全天候、全方位感知網路安全態勢」,對狀態意識的建設目標,做出了準確描述。本文節選汪德嘉博士《身份危機》一書中的態勢感知章節,與大家分享狀態意識,是如何保護身份認證安全!
【狀態意識】的概念,最早是由美國空軍提出,是為提升空戰能力,分析空戰環境資訊、快速判斷當前及未來形勢,以作出正確反應而進行的研究探索。
上世紀90年代這個概念,被引入了資訊安全領域,最知名的2003年開始的美國的愛因斯坦計劃(正式名稱國家網路空間安全保護系統The National Cybersecurity Protection System),2013年已經開始第三期的建設,美國CERT及後續DHS(國土安全部),對【狀態意識】進行了不斷探索。
 |
| cyber security and impact on national security (3) |
【狀態意識】是偏重於檢測,和響應分析能力的建設,這確實是現實最迫切的安全需要。
【狀態意識】需求
面對新的安全形勢,傳統安全體系遭遇瓶頸,需要進一步提升安全營運水平的同時,積極的展開主動防禦能力的建設。
從美國對愛因斯坦計劃的持續不斷投入,可以看到網路空間安全的【狀態意識】,對於國家、行業有多麼重要的意義。
從美國對愛因斯坦計劃的持續不斷投入,可以看到網路空間安全的【狀態意識】,對於國家、行業有多麼重要的意義。
從現實中的網路安全建設看,多年來我們一直偏重於架構安全(漏洞管理、系統加固、安全域劃分等)和被動防禦能力(IPS、WAF、AV等)的建設,雖取得了一定的成果,也遇到發展瓶頸。
簡單通過購買更多的安全設備,已經不能使安全能力有提升,需要進一步提升安全營運水準的同時,積極的展開主動防禦能力的建設。
在之前建立了一定自動化防禦能力的基礎上,開始增加在非特徵技術檢測能力上的投入,以及事件響應分析能力的建設;並透過對事件的深度分析,及資訊情報共享,建立預測預警,並針對性改善安全系統,最終達到有效檢測、防禦新型攻擊威脅之目的。
簡單通過購買更多的安全設備,已經不能使安全能力有提升,需要進一步提升安全營運水準的同時,積極的展開主動防禦能力的建設。
在之前建立了一定自動化防禦能力的基礎上,開始增加在非特徵技術檢測能力上的投入,以及事件響應分析能力的建設;並透過對事件的深度分析,及資訊情報共享,建立預測預警,並針對性改善安全系統,最終達到有效檢測、防禦新型攻擊威脅之目的。
態勢感知保護身份認證安全
網路安全與戰爭一樣,本質是攻防雙方的對抗,攻防之戰,速度為王,作為防守方的目標,是縮短攻擊者的自由攻擊時間。【狀態意識】系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。
「全天候全方位感知網路安全態勢」,對【狀態意識】的建設目標,做出了準確描述。全天候全方位,可以理解為時間維度和檢測內容維度。
「全天候全方位感知網路安全態勢」,對【狀態意識】的建設目標,做出了準確描述。全天候全方位,可以理解為時間維度和檢測內容維度。
在時間維度上,需要利用已有即時或準即時的檢測技術,還需要透過更長時間數據,來分析發現異常行為,特別是失陷情況。
在內容維度上,也需要覆蓋網路流量、終端行為、內容載荷三個方面。要完整提供以下 5 類檢測能力,或者說至少 4類(參照Gartner:Five Stylesof Advanced Threat Defense):
(1)基於流量特徵的即時檢測(WAF、IPS、NGFW等)
(2)基於流量日誌的異常分析機制(流量傳感器、Hunting、UEBA)
(3)針對內容的靜態、動態分析機制(沙箱)
(4)基於終端行為特徵的即時檢測(ESP)
(5)基於終端行為日誌的異常分析機制(EDR、Hunting、UEBA)
狀態意識又稱態勢感知,「態」指是從全局角度看到的現狀,包括組織自身的威脅狀態,和整體的安全環境,需要基於之前提到的5種檢測能力,盡可能的發現攻擊事件或攻擊線索,同時需要對涉及到的警報提供進一步的分析,回答以下的問題:
是真實的攻擊嗎?是否可能誤報?是否把掃描辨識為真實攻擊?是什麼性質的攻擊?定向或者隨機?可能的影響範圍和危害,緩解或者清除的方法及難度。
是真實的攻擊嗎?是否可能誤報?是否把掃描辨識為真實攻擊?是什麼性質的攻擊?定向或者隨機?可能的影響範圍和危害,緩解或者清除的方法及難度。
無法正確的回答這些問題,只是簡單的將警報在地圖上呈現,就無法體現有現實價值的「態」,無法確定是否可以進入處置流程。
「勢」,即未來的狀態。要能預測組織未來的安全狀態,需要對現階段所面臨的攻擊事件,特別是定向攻擊事件有深入的瞭解:是新的攻擊團隊還是已知團伙,攻擊者的意圖,攻擊者的技戰術水平及特點,是否屬於一次大型戰役的一部分。
瞭解這些資訊,同時透過資訊和情報共享,對同行業或相似部門的相關此類資訊也有所瞭解,就能夠預測未來可能處於的安全狀態,以及需要防禦的重點,即預測預防能力。
瞭解這些資訊,同時透過資訊和情報共享,對同行業或相似部門的相關此類資訊也有所瞭解,就能夠預測未來可能處於的安全狀態,以及需要防禦的重點,即預測預防能力。
要完成態勢感知的建設目標,需要具備以下三大核心要素:流量數據採集、威脅情報和安全分析師。
流量數據採集相對而言,實施難度較小,同時還有著不可替代的價值:透過流量日誌進行安全狩獵,或者異常檢測、分析攻擊事件的影響範圍、回溯完整的攻擊鏈,和TTP(戰術、技術和過程)。因此流量數據是態勢感知中,必須考慮的一環。
威脅情報是隨著新型威脅防禦,快速成長的一個領域,在態勢感知建設中,有著決定性的作用。最經常被提到的一類是可機讀情報(MRTI),主要是賦能給安全產品,增強或升級其安全能力。
為了幫助安全分析師,完成對事件的分析,威脅情報領域內提供了專業的情報分析工具(情報分析平台/關聯分析平台),分析師透過這樣的平台,可以方便的完成過去付出極大體力和腦力,也難以進行的工作:判定一個攻擊是否屬於已知攻擊,查找和攻擊相關的網路基礎設施(域名、主機)及樣本,瞭解這些基礎設施和樣本的詳情,判定攻擊是否和某個已知團伙相關,並瞭解這個攻擊團伙的基本情況。
 |
| Fatigue and Situational Awareness |
流量數據和威脅情報都很重要,但它們能發揮多大作用,最終還是要依賴與人的力量,其中最重要的是安全分析師,是安全營運中的高級人才。
安全分析師的成長,需要較好的環境(如數據和情報)、以及大量的實戰機會,難以大批量培養。
安全分析師是 【狀態意識】必須倚重的重要部分,是確定 【狀態意識】項目成敗的,又一個關鍵因素。成功的態勢項目,必須考慮到如何引入或培養這樣的人才,並透過提供好的工具和流程,來支撐他們高效的完成任務。
安全分析師的成長,需要較好的環境(如數據和情報)、以及大量的實戰機會,難以大批量培養。
安全分析師是 【狀態意識】必須倚重的重要部分,是確定 【狀態意識】項目成敗的,又一個關鍵因素。成功的態勢項目,必須考慮到如何引入或培養這樣的人才,並透過提供好的工具和流程,來支撐他們高效的完成任務。
【狀態意識】是綜合性的安全能力建設,流量數據、威脅情報,以及安全分析師,是影響項目成敗的關鍵因素,另外大數據平台、可視化、資產管理等也很重要。
如何建設【狀態意識】
針對嚴峻的行動應用安全和行動終端安全問題,提出了終端威脅感知的解決方案,可為政府、金融、電信商、電商等獨立運營APP的企業客戶,提供行動威脅的即時監測和預警防控功能。
 |
終端威脅感知平台,透過對行動終端環境威脅、終端應用威脅、終端程序運行數據,進行採集、儲存、計算、深入挖掘和關聯分析,向用戶提供即時的威脅資訊和威脅預警,同時可對已知威脅進行溯源追蹤,精準定位威脅源頭,對潛在威脅進行有效防禦威。
對攻擊手段擊手段、攻擊目標等進行威脅分析,對攻擊應用攻擊應用、版本設備等資訊,進行威脅管控,對攻擊地域、攻擊系統、攻擊時間分布等,進行威脅統計,同時採用可視化技術手段,形成終端威脅的綜合態綜合態勢圖,借助威脅可視化,為安全管理人員提供輔助決策資訊。
對攻擊手段擊手段、攻擊目標等進行威脅分析,對攻擊應用攻擊應用、版本設備等資訊,進行威脅管控,對攻擊地域、攻擊系統、攻擊時間分布等,進行威脅統計,同時採用可視化技術手段,形成終端威脅的綜合態綜合態勢圖,借助威脅可視化,為安全管理人員提供輔助決策資訊。
結語
面對新的安全形勢,傳統安全體系遭遇瓶頸,行動終端的安全也成為身份認證安全的隱憂之一,需要進一步提升安全營運水準的同時,積極的展開主動防禦能力的建設。
【狀態意識】系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。從而充分做到身份認證,在事前、事中、事後都可以得到充分保障。
【狀態意識】系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。從而充分做到身份認證,在事前、事中、事後都可以得到充分保障。
目前網路銀行的安全認證方式,呈現多樣化發展,從之前更多依賴簡單的帳號密碼,逐漸新增了數位證書、動態密碼、一次性密碼等新的認證方式。
0 comments:
張貼留言