叶蓬:全方位态势感知才是真正的态势感知
发布时间:2017-09-12   作者:启明星辰

作为一名从事安全管理平台领域十几年的业内人士,启明星辰泰合产线副总经理叶蓬在2017年初就系统性的解析过全方位态势感知的概念,在近日举办的企业战略说明会上,他更加详细地阐述了启明星辰对态势感知的理解、布局和落地情况。


如何理解态势感知


随着在2016年419讲话中提到要“全天候全方位感知网络安全态势”,在安全业界,“态势感知”骤然变成了热词。到现在,几乎所有的国内安全厂商都推出了各自的态势感知产品或者解决方案。

 

叶蓬表示,作为一名从事安全管理平台领域十几年的业内人士,早就开始接触态势感知这个词了。其实,态势感知的理论早在80年代就基本成形了,到90年代末,态势感知被引入了网络与信息安全领域。在2007年,启明星辰的安管平台就推出了态势感知功能模块。

 

那么,我们现在提态势感知,跟以前提态势感知有何不同呢?叶蓬认为,现在的态势感知是为了应对新形势下网络空间安全挑战提出来的。它不仅仅是一套技术,更是一个全新的安全建设思路、安全运作体系,体现了一系列安全防护体系构建思路的转变。这些转变包括:在建设目标上,从注重合规向注重对抗的转变;在威胁检测上,从知所已知向知所未知的转变;在响应处置上,从看见看清到快速闭环的转变。在此基础上,叶蓬认为可以从以下三个方面来理解态势感知:

 

1)态势感知形形色色、不尽相同,但最重要的是“全天候全方位态势感知”

 

这里,“全天候”是指7×24持续不间断地对受保护网络进行监测和感知;“全方位”是指要从资产感知、运行感知、漏洞感知、威胁感知、攻击感知和风险感知6个维度去全面感知网络态势。

 


 


资产感知是态势感知的基础,它首先界定了受保护网络的范围和内容,同时也为其它几个维度的感知提供了依据。在419讲话中提到了要“摸清家底”,其中就包括要感知资产信息。譬如要知道受保护网络中都有哪些设备,责任人是谁,用了什么操作系统,安装了哪些软件和应用,什么版本,用到了哪些组件,打了哪些补丁,等等。

 

运行感知是指全面掌握受保护网络的运行状况,包括机房的运行状况、网络的运行状况、主机和设备的运行状况、应用和业务的运行状况、数据的存储和流转状况。这里的运行状况不仅包括可用性和性能、业务连续性,还包括运行的规律,譬如某个业务系统被访问的时间分布、协议分布、访问来源分布、访问量分布,等等。

 

漏洞感知顾名思义就是要掌握当受保护网络的漏洞情况,并维护所有资产漏洞的生命周期信息。通过漏洞感知,评估当前网络的暴露面,并结合现有防护措施,分析可能的攻击面和攻击路径,协助管理者提前进行安全布防,及时堵住安全漏洞,从而控制安全风险。

 

威胁感知是从攻击者的视角来分析当前受保护网络可能遭受的潜在危害,譬如:可能有哪些组织、利用什么僵尸网络和肉机,对我们的哪些资产,利用什么安全漏洞或者攻击手段,进行什么样的攻击和入侵,可能会留下什么痕迹,造成多么严重的后果。

 

攻击感知则是持续不断地收集当前网络中的攻防对抗数据,一方面实时展现当前网络中的攻防对抗实况,另一方面借助历史攻击信息分析潜藏的高危攻击行为和威胁信息,并协助安全分析师抽取高价值的威胁情报。

 

风险感知其实层次在前面五种感知之上。风险感知要综合前面五种感知的信息,进一步进行数据融合,从抽象的高度来评估当前网络的整体安全风险,譬如建立全网的安全风险指标体系。

 

态势感知讲究的是“知己知彼,百战不殆”。而资产感知、运行感知、漏洞感知就是为了知己;威胁感知就是为了知彼。如果说知己是为了掌握我情,知彼是为了掌握敌情,那么攻击感知就是为了掌握战情。

 

“上述6个维度的态势感知是相互依托,互为补充的”,叶蓬说到,“只有将这6个维度统一起来才能构建真正的全方位态势感知。”

 

2)一个完整的态势感知系统实现必须是“平台+传感器+团队”三位一体

 

态势感知系统不仅仅是一个技术实现,也不仅仅是软件和硬件,他是一个系统工程,体现了各类安全设备和系统之间的机机协同,还包括人机协同。在这里,态势感知平台是整个系统运转的大脑,是数据融合中心、数据分析中心、决策指挥中心;态势感知传感器是获取全面安全要素信息的抓手和神经节点;态势感知支撑团队则是系统发挥实效的指挥官、决策者和关键保障;三者相互支撑、缺一不可。在当前条件下,安全的核心是对抗,对抗过程具有很大的不确定性,而对抗的背后本质上还是人与人之间的对抗。所以,人的参与必不可少。

 

3)态势感知是一个生态体系

 

叶蓬表示,“网络安全的生存理论告诉我们,面对网络安全,没有人可以独善其身,也没有人可以单独为之,构建态势感知系统也不例外。它是一个复杂的系统工程,需要将各种安全技术、产品和能力连接到一起,形成一个生态系统”。

 

态势感知系统必须是一个开放的系统:传感器要开放,要能支持各种类型、各种厂商的传感器;平台要开放,对下要能接入各种传感器信息,对上能够面向所有厂商提供各种分析和展示的接口,能够集成各种第三方的分析算法和展示界面;支撑团队要开放,通过SOP和规范化的交互式分析流程,使得各种符合标准规约的分析与运维团队都能参与到态势感知系统的运营中来。

 


如何布局态势感知


接下来,叶蓬对启明星辰在态势感知领域的布局进行了简要叙述。

 

首先,从态势感知的维度和资产范围来说,启明星辰主打的是全方位态势感知,强调将态势感知6个维度整合起来,面向完整的资产和业务,为用户提供全面融合的态势宏观感知、中观感知和微观感知。

 

其次,从态势感知的使用者角度,启明星辰主打的是面向运营侧的态势感知,强调对网络运营者提供态势感知解决方案。同时,积极投身到政府监管部门牵头的的监管侧态势感知的建设中去,输出优秀的态势感知能力。

 

最后,从态势感知目标网络的角度,启明星辰主打政企网络的态势感知,包括政务内/外网络的态势感知、涉密网络的态势感知、工控网络的态势感知和云环境下的态势感知。


如何实践态势感知


针对启明星辰在态势感知领域的落地实践,叶蓬分享了几个典型的政企客户案例。每个案例都充分体现了启明星辰对态势感知的理解和布局。

 

“每个客户的态势感知系统都是独一无二的”,叶蓬表示,“真正的态势感知建设是安全保护体系升级优化的体现,是安全观念的转变。它是一个开放的平台,要与各种已有和未来的安全机制进行集成。它又不仅仅是一个平台,要充分发挥管理者、运维者、专业安全分析师的人类智慧和相互协作的精神”。

 

可以说,新形势下的态势感知建设才刚刚开始,伴随着大智物移云的加持,态势感知的新需求将不断涌现,而态势感知的市场前景将十分可观。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号