原文链接:https://mp.weixin.qq.com/s/xp7Ngg_WTTBMyi-0L4Ykrw
态势感知的定义
态势感知的基础是对报警和元数据的收集,为达到“全方位全天候”的目标,需要在流量、内容、终端三个方面,利用实时数据和历史数据进行检测。但单纯报警的可视化展示并不是真正的“态”。要呈现当前的“态”,需要针对报警或者异常,进行误报甄别、定性分析(识别定向型攻击或是随机性攻击)、了解攻击的影响范围和危害、确定缓解或清除的方法及难度等等。在这个前提下,再对组织面临安全事件全面呈现才能够称为“态”。而“势”则是未来可能的安全事件或状态,这种预测可以基于对已知攻击者的意图、技战术特点以及Killchain分析得出,如果能够获得相关行业或者组织的情报共享,无疑可以更全面的掌握“势”。
重要概念
#1 全天候全方位,可以理解为时间维度和检测内容维度。
1.)在时间维度上,需要利用已有实时或准实时的检测技术,还需要通过更长时间数据来分析发现异常行为特别是失陷情况。
2.)在内容维度上,也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下5类检测能力,或者说至少4类(参照Gartner:Five Styles of Advanced Threat Defense ):
- 基于流量特征的实时检测(WAF、IPS、NGFW等)
- 基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)
- 针对内容的静态、动态分析机制(沙箱)
- 基于终端行为特征的实时检测(ESP)
- 基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)
#2 “态”
- 是真实的攻击吗?是否可能误报?是否把扫描识别为真实攻击?
- 是什么性质的攻击?定向或者随机?
- 可能的影响范围和危害
- 缓解或者清除的方法及难度
#3 “势”
- 是新的攻击团队还是已知团伙
- 攻击者的意图
- 攻击者的技战术水平及特点
- 是否属于一次大型战役的一部分
谁能做态势感知?
要完成态势感知的建设目标,需要具备以下三大核心要素:流量数据采集、威胁情报和安全分析师。
1.)流量数据采集 相对而言实施难度较小,同时还有着不可替代的价值:通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP(战术、技术和过程)。因此流量数据是态势感知中必须考虑的一环。
2.)威胁情报 是随着新型威胁防御快速成长的一个领域,在态势感知建设中有着决定性的作用。最经常被提到的一类是可机读情报(MRTI),主要是赋能给安全产品,增强或升级其安全能力。
3.)安全分析师,是安全运营中的高级人才。安全分析师的成长需要较好的环境(如数据和情报)、以及大量的实战机会,难以大批量培养。安全分析师是态势感知必须倚重的重要部分,是确定态势感知项目成败的又一个关键因素。成功的态势项目必须考虑到如何引入或培养这样的人才,并通过提供好的工具和流程来支撑他们高效的完成任务。