在我们刚才探讨宏观上趋势之外,具体微观领域,如果安全有一个工作,对于运营商来说我们安全工作中面临哪些挑战。第一,如何来及时准确全面掌握整体网络安全状况。其实,确实是非常严峻的问题,尤其对我们运营商而言,网络很复杂,网络系统非常复杂,包括系统之间关系。如果在这么多里头获取整体安全状况,其实这是一个非常严峻的问题,往往我们获得的信息都是点,某些安全设备,或者某些安全事件,某个点上,某个系统上,很难串联到一起去来看整体安全情况是如何的,这是一个最大的挑战。
第二个挑战,针对整体状况,如何及时准确进行评估,预警,或者进行应对。有的时候,我可能获取到一个什么样状况,我们如何对这个状况进行评估,如何做一个预警,如果你提前知道整个安全态势走向是什么,我在合适的时候应该采取什么样的措施去应对,这是第二大挑战。
第三大挑战针对危机事件如何应对,包括及时性,有效性,还有协同,对哪些要素进行关注。这三大挑战在运维过程当中,都不可避免会面临。接下来这三大挑战如何去解决,在这引入一个安全态势感知,一个是危机百科被业界广泛认可,有一定权威性,在一定的时空条件下对环境因素进行获取理解,以及对企业未来状态进行预测,关键我在下面进行标注,对各种因素进行获取理解,预测。我只有了解了要发生的事情才能做好准备,所以这也是其很重要一点,如果进行预测,我在下一步将会采取什么样的措施。另外,还有始终掌握周边的环境,复杂动态环境变化这是非常关键,这就是态势感知。
我们来看什么是网络安全态势感知?所谓态势是一个整体上概念,不是一个单一点,因为现在很多安全都集中在某些点上研究,或者某些点上攻防对抗,但是整个态势,其实这是一个全局概念,一种状态,还有一个整体。那么网络态势就是和网络相关的各个要素,将共同构成一个当前的状况,以及未来的一个趋势,这是网络态势。那么网络安全态势把安全相关要素拿出来获取评估,以及未来预测,这是未来网络安全态势感知所要做的事情。那么,至于这些概念我们给出一个改进的网络安全模型,这个模型应该怎样分享一下?首先下面有一个多元数据,包括安全事件,安全日志其他很多信息,第一部分就是态势提取。
如果我们只做态势提取,我们也可以达到网络安全态势感知的目的,这是最低层级,第一级态势感知,只能在这提取。在态势基础之上有一个评估,进一步分析,这是第二级别的态势感知。如果在这个基础上做一个态势预测,做完之后,这是一个非常全面的态势感知,这三个层级,态势提取,理解评估,还有提示预测,这三个层级上他们感知层次从一到高,一个完整态势感知是从这三方面都做,还有他们只做了一步,包括态势提取,还有评估,还有态势预测。
那么在态势感知里面会有很多关键技术,对于态势提取,大家可以想一下,有很多态势提取技术也在里面,包括一些规则实行办法,还有一些动态分类,还有很多规避,因为有很多数据都是不同源。那么态势理解和评估,主要是基于一个脆弱性进行评估,还有非常重要技术,如何构架一个指标体系,现在大家都去搞安全度量,如何构架整个指标体系对整个态势进行评估,这也是放在业界需要进行探讨的话题。另外态势预测,当然有很多,这里面有很多相关技术,包括黑色理论等等都对安全有一个整体态势预测,这是一个关键技术。
刚才谈到一些整体模型,底下框架如何实现,这是一个示意图,基本上分成三个阶段,提取,理解评估,第三是态势预测。对于要素,每个阶段都有很多要素,我这也举一个简单例子,要素提取中间给了这几个要素进行简单评估。像理解评估,有一些相关模型,包括还有时间序列分析,还有其他一些相关算法,还有感知系统构成,基本上与这三个相关,要素提取,理解评估。整个态势感知框架有两部分构成,第一主要以要素提取,依托现在安全设备来做,获取到相关信息。那么对于剩下像分析,预测等等这样事情,其实主要依靠态势感知来去做。这个体系框架肯定不是很明了,我们来看一个架构,包括进行部署获取各种各样数据,在数据之上就有一个关联数据,海量数据处理,再往上走就是各种各样知识库构成,有庞大知识库,知识库最上层是一个态势展示,也是业界现在所研究的一个热门领域,你如果从时间,空间,多个纬度去展示整个态势,这是一个非常值得的探讨的。
那么,这个其实上边这些部分就是态势感知所做的,对于下面基本是数据采集。所以,整个态势感知就是两部分,这都是理论化层面,接下来会给出绿盟所做出几个案例。这是外部感知,里面是逻辑架构。对于态势感知获取的安全要素,对其进行一个评估,最后会有一个预测。其实,在态势感知里面主要,目前我们所做主要有这么几个纬度事情,包括漏洞扫描,这是一个安全要素之一,第二其他恶意代码提取,还有敏感内容,包括一些暴力,色情。
