关于交通领域态势感知建设的三点思考
发布时间:2017-12-28   作者:启明星辰

总书记说,没有网络安全,就没有国家安全。近些年来,我国各大行业领域频繁发生高级持续性安全事件,威胁态势十分严峻,网络安全进入新常态。尤其是在《网络安全法》颁布执行后,其第三十一条明确规定了“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”这使得交通领域的网络安全建设思路,由过去的“安全防护、纵深防御”为核心的思路,转向以“自适应安全”为理念的态势感知能力建设上来。

 

 

交通领域的网络安全建设在过去几年里,取得了长足的进步,但在适应新形势下的安全态势感知能力建设方面依然存在短板,譬如,安全设备配置等情况不同,针对安全的防控能力也不同,无法实时掌握如路由器、核心交换机、防火墙、入侵检测系统、脆弱性检测系统、安全审计系统、安全认证系统等关键设备的运行状态,辅以全网安全形势研判,无法实时对全量数据进行数据挖掘与关联分析等。再譬如,大量的软硬件设备,当威胁真正来临时,对具体业务系统的影响范围、影响程度到底是多少,缺乏细化的关键指标的分析和判别。为此,如何才能建设好态势感知平台,并且帮助我们的决策者们,依托这个平台形成威胁闭环管理决策链,避免他们被无效信息淹没是态势感知建设十分重要的立足点。因此,我们建议不妨可以从三个基础角度思考态势感知的能力建设:

 

 

■ 态势感知平台是否具备全网数据的全要素采集能力

 

 

俗话说,只有信息足够充分,决策判断才不会出错,态势感知平台建设也是一样的道理。尤其当应急响应决策、处置决策都被赋予到这个平台上的时候,这部分基础的工作变得尤为必要。经过多年的实践经验发现,有了全要素数据采集的能力,是可以帮助用户溯源并做出正确的决策的。在经过多个交通领域客户的磨练过程中,全要素采集能力所产生的效果十分显著。

 

 

 

 

另外,在实践环境中我们也发现一个好的态势感知平台是可以接入多种类采集(传感)器,包括但不限于:流量采集器、漏洞采集器、日志采集器、资产采集器、业务数据采集器等,如果将这些采集器的基础信息汇入到平台系统中来,帮助用户实现全流量、全要素以及高级别安全威胁信息的实时捕获和精确检测,那么,我们认为这样的系统平台就是比较出色的。在项目实践中,我的确发现了,启明星辰态势感知解决方案具备这样的能力,其采集信息包括元数据、资产数据、运行状态、脆弱性数据、安全事件、审计日志、威胁情报、蜜罐信息等全要素信息采集的能力。具备了全要素、全流量、全信息的采集能力也是态势感知平台后续对APT攻击识别、失陷主机发现、攻击杀伤链还原、定向攻击分析、安全威胁溯源定位,提供强大的数据支撑。

 

 

 

■ 态势感知平台是否具备安全风险的指标体系的建设能力

 

 

在交通行业实践过程中我们认为,通过态势感知平台构建贴合行业的安全风险多维度指标体系十分必要,对交通行业用户而言即简单又实用,事实上,交通行业很多部局及各直属局,在线部署运行着几百个业务系统,这些大量的软硬件设备,当威胁爆发时,对具体业务系统的影响范围、影响程度到底是多少,需要有细化的分析和判别,有利于形成工作闭环。启明星辰态势感知解决方案具备这样的能力,它在面临安全威胁时,可以从资产、脆弱性、攻击威胁事件等多个维度,进行全网的一体化数据展示,从定性分析到定量分析,通过指标化的数值为网络面临的风险打分,帮助用户识别业务健康程度,甚至业务的性能与可用性、业务的脆弱性和业务的威胁。

 

 

在实践环境里,启明星辰态势感知解决方案,可以帮助用户建立了一套动态的多维威胁指标体系,譬如通过帕累托分析法,协助管理员对当前的威胁成因进行辨别,实现对关键威胁因素从宏观到中观,再到微观的层层下钻,直至定位到导致威胁态势异常的关键安全事件。尤其是威胁的态势分析,平台通过对一组关键威胁指标的计算得到一个威胁指数,并以此随时间描述出一条威胁指数曲线,从而表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋势,这对于用户而言是极具实用价值。

 

 

 

■ 态势感知平台是否具备围绕资产的态势和分析建模能力

 

 

众所周知,交通行业的IT资产量大,并且分布广泛,如果态势感知平台能够以资产为原点,从资产类型角度、安全域角度和业务系统角度来审视资产的整体安全防护状态,从每个视角维度都可以提供资产受危害概览、资产弱点情况、资产受攻击情况以及资产风险的相关态势信息,这无疑对用户快速定位威胁和定位安全态势将带来很大便利。

 

 

在实践环境里,启明星辰态势感知解决方案可以帮助用户完成资产感知的基础建设工作,通过主动发现、导入或创建的方式来识别和梳理目标网络中要被防护的资产及业务对象。所获得并维护的被防护对象信息将在整个态势分析呈现过程中,被其他维度的感知所利用,成为面向安全对象安全态势分析的基础。在资产发现及安全对象信息维护的基础上,资产感知也会融合平台所收集的各类攻击威胁信息和脆弱性信息,形成被保护资产及业务对象视角的安全态势。值得注意的是,平台可以帮助用户做资产信息的细化,包括自定义资产类型,可以针对每个资产类型自定义资产扩展属性,包括属性名称和类型(例如字符串、数字、枚举、时间、BLOB等)。

 

 

值得一提的是,分析建模的能力前提是完善的数据治理,启明星辰态势感知解决方案具备非常成熟的数据治理能力,在此基础上,围绕资产的行为分析建模就具备很强的实战性。譬如,通过分析建模,发现异常行为的分析能力,平台能对指定资产IP的事件行为特征(如错误比例、拒绝比例、频度、出现次数等)进行周期性建模,然后将实测值与建模值进行比较,判定异常,平台也能根据指定IP的事件行为特征(如错误比例、拒绝比例、频度、出现次数等)的历史值,通过预测算法预测出未来时间的取值区间,然后将实测值与预测值进行比较,判定异常等。

 

 

 

综上所述,交通领域的态势感知能力建设需要考虑的技术点很多覆盖面广,从机器学习到人工智能、从自动建模到协同联动,几乎都需要平台去承载,因此,我们认为,平台从建成到维护不会一蹴而就,更不是通过上述几个问题的解决便能大功告成。本篇仅从实践角度,提出几点思考建议,希望能为用户的态势感知平台建设规划的带来一些帮助。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2018 版权所有 京ICP备05032414号 京公网安备11010802024551号