态势感知读后总结

2020-11-24 18:09:12 浏览数 (1)

网络安全态势感知所涉及的数据范围主要包括以下几个方面:

●完整内容数据

●提取内容数据

●会话数据

●统计数据

●元数据

●日志数据

●告警数据

进行数据包分析时,常用到以下三种基本技术:

●包过滤:通过各个协议的元数据或者载荷中的字段或者字段的值来分离数据包。

●模式匹配:通过对数据包的内容进行快速搜索,搜索到那些感兴趣的关键词、字符串、名称或协议模式。可以将关键词组合成正则表达式,采用辅助工具进行模式匹配。

●协议字段分析:从所捕获到的数据包中提取出协议字段中的数据。

态势提取就是对网络服务关键节点和网络检测设备的安全特征数据进行分析发现,看看能不能采取到更多的数据,并从这些海量网络数据中抽取出影响安全态势的关键信息,是网络安全态势感知的基础。网络安全数据采集通过软硬件技术的结合来产生和收集网络安全数据,其目的是为态势提取提供素材,为态势理解和预测打下数据基础。“巧妇难为无米之炊”,我们必须对数据的采集做到心中有数,知道哪些数据是必要且可用的、它们来自于哪里、通过什么方式获取以及如何采集的,同时也应当在采集这些数据时尽量不影响终端和网络的可用性。网络安全态势感知就是“数据驱动安全”领域最好的应用,这也迫使我们(尤其是安全分析师)必须成为数据的高手,不仅仅知道如何分析数据,更应该清楚如何采集所需的数据。

1 定制数据采集计划

定义威胁==》量化风险==》识别数据源==》提取有价值元素

●定义威胁:这里的威胁并非来自竞争对手或者是行业竞争等,而是导致组织或个人数据的保密性、完整性和可用性[插图]受到负面影响的因素。例如,某组织在内部网络通信过程中遭到了窃听,导致重要涉密信息被泄露,这就是保密性威胁;一家商业银行保存着大量客户的个人信息和账户信息,如果这家银行数据库里保存的信息遭到了非法篡改,就会造成客户的资金损失,这就是完整性威胁;一个主营电力生产的工业控制系统必须7×24小时连续运转,如果系统突然中断,就会造成组织受到重大经济损失,这就是可用性威胁。除了通过以问卷调查或人工提问的方式主观地判断组织所要保护的东西是什么(如资产)以及面临的威胁是什么,还可以采用一些高级的威胁建模方法和模型(比如STRIDE[插图]方法、攻击树、攻击库等)来识别和发现威胁。

●量化风险:也常被称为风险评估,即对组织信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性进行量化。在明确定义威胁之后,需要分析组织中哪些弱点可能会被威胁所利用,推测威胁事件的发生会对组织造成怎样的损失。对风险进行定性评估固然有必要,但在数据采集计划制定过程中,需要尽可能地量化风险,最常用的方法就是用“影响”和“概率”的乘积来求得风险值。其中,“影响”表示威胁对组织造成的影响,可以分级度量;“概率”表示威胁发生的可能性,也可分级度量,二者的乘积即可简单地量化度量组织面临的风险值。除此之外,量化风险的方法还有许多,其内容丰富到足够写一本书,如果读者感兴趣,可以参考这方面的书籍资料。

●识别数据源:在确定了威胁和风险的基础上,接下来就是识别现实网络运行中主要的数据来源,为后续的态势提取提供数据基础。在第3章中,我们对网络安全数据源有了一个整体的介绍和类型划分,是为了方便读者从全局的角度来认识网络安全数据。但在制定数据采集计划时,需要根据具体情况和实际应用,针对性地选取容易造成入侵威胁、引起负面影响的位置所产生的数据。我们应当从风险值最高的威胁开始,分析这些威胁最可能出现在哪里并定位到该处,再依次逐级查找。

●提炼有价值元素:在识别出众多数据源后,我们需要单独检查每个数据源和认真分析数据源,提炼出真正有价值的元素,因为并非每种数据源都有采集的必要和意义。如果有些数据采集难度大、耗费资源多、所占存储空间大、管理起来复杂,且对我们进行安全分析不会造成太大的影响,那么就可以果断忽略。这一阶段应当从实际业务应用场景出发对每种数据源进行详细的分析,明确采集的位置点,核算其存储空间和保存周期,从而制定出合理的数据采集计划。

数据采集方式为主动式采集以及被动式采集 具体采集方式看百度

0 人点赞