态势感知平台分析
2019-07-17 10:51:28 3 举报AI智能生成
登录查看完整内容
态势感知分析
作者其他创作
大纲/内容
态势感知平台分析
介绍
定义
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力
是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式
最终是为了决策与行动,是安全能力的落地
简介
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”
态势感知(Situation Awareness,SA)就是在一定的时间和空间条件下,对环境因素的感知、理解以及对其未来发展趋势的预测,态势感知的思想起源于战争中敌我双方攻防态势的估计,早在《孙子兵法》中就有“知己知彼,百战不殆”的描述
1988年,Endsley把态势感知分成感知、理解和预测三个层次的信息处理
感知(Perception):感知和获取环境中的重要线索或元素;
理解(Comprehension):整合感知到的数据和信息,分析其相关性;
预测(Projection):基于对环境信息的感知和理解,预测相关知识的未来的发趋势。
网络安全态势是指整个网络当前状态和变化趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。
网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势,并不拘泥于单一的安全要素。态势感知技术首先对各种影响系统安全性的要素进行检测获取,然后对安全信息采用分类、归并、建立数据模型、分析等手段进行融合,接着对融合的信息进行综合分析,得到网络的整体安全状况及其应对措施,并对网络安全状况的发展趋势进行预测,最后为商业银行信息安全管理提供可靠的数据参考和决策支持。
态势察觉:主动探测+被动监听采集实现多维度多层次数据源收集;
态势理解和评估:对数据源进行预处理、数据融合并进行多层次多维度的态势评估;
态势预测:运用数据分析模型实现态势预测,并通过可视化技术集中呈现,提供决策数据,指导进行安全防御体系的敏捷调整和持续运营;
安全决策:高层领导、部门领导、安全经理和运维人员在内的四层网络安全态势管理模式
旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动
背景
2016年4月19日,习近平总书记在与网络安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了
现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施
习近平总书记在2016年的419座谈会上提出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”,随着《网络安全法》和《国家网络安全战略》的相继出台,态势感知被提升到了战略高度,众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统,以应对网络空间安全严峻挑战
“态势感知”已经成为网络空间安全领域聚焦的热点,也成为网络安全技术、产品、方案不断创新、发展、演进的汇集体现,更代表了当前网络安全攻防对抗的最新趋势
能力
网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常
威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应
建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平
应用方向
监管机构
从国家层面、省市大地域层面,对国计民生相关的关键信息基础设施的安全态势进行整体的监测与关注
大型行业
从体系内部建立态势感知,应用于内部系统的安全运营,发现重要威胁,解决问题,把安全能力落地
通过态势感知对多分支或二级单位进行外部监管,以提升整体的安全状态的掌握,同时与监管机构进行事件应急处置及威胁情报的合作
大型机构或企业
从日常安全工作角度出发,对内部有价值的核心资产、业务系统安全状态进行感知,发现各类威胁与内部异常违规,保证业务系统能够比较平稳、顺畅地运行,更偏内部安全的运营型能力的落地
建设目的
检测
提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击
分析、响应
建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应
预测、预防
建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息
防御
利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系
应用价值
应对关键性威胁
快速发现失陷主机;全面的Web安全保障
提升分析研判能力
分析研判保障事件正确响应处置、逐步完善防御架构
依赖外部威胁情报和本地的流量日志进行有效的分析研判
信息与情报共享
实现本行业、本领域的网络安全监测预警和信息通报
研判分析和情报共享是预警、预测的基础
履行行业监管职责
边界流量探针、云监控和外部情报监测等优选检测手段,实现对行业的监管
真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体
用户实际上真正需要的是一个能够实现全网安全可视、检测、预警及响应的安全平台,它需要能够高效地感知内部安全风险,并能够提供最终的响应处置
在外部,它需要能够收集大量的外部威胁情报,用于辅助高级安全事件的分析
在网络内部,在各个子域的关键节点上,通过探针或安全设备,精准地采集有效检测信息
将外部威胁情报和内部真实流量数据汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测、判断、响应,并通过可视化的方式,最终让我们感知网络目前是否安全,哪里不安全,造成什么危害,如何处置,以及处置的过程、结果
真正的态势感知应该是一种基于环境的、动态地、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,实现安全能力的落地。其中,威胁发现来源数据是基础,基于流量检测、人工智能等技术进行检测分析是核心,进行可视呈现是必要,而最终的响应处置落地能力是关键
第一步
几个问题
提出需求的背景是什么?
一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多;另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多
随着网络的日益普及,利用网络实施犯罪的新型网络违法与犯罪行为也随之日渐增多;网络的虚拟性与不确定性,造成传统的办案手段对此已力不从心,公安网监部门迫切需要新的技术手段来帮助其应对这一新挑战。
需求解决了用户的什么问题?是不是用户真正想要的?
解决该需求有什么直接/间接商业价值?
需求背后的商业模式和运营方式?
需求管理--业务学习
要点
分析需求,至少说要明确自己要做什么
查询资料
查询态势感知平台、考核管理系统等方面的资料,熟悉知识体系
竞品分析
了解概念以后,需要寻找市面上类似产品。可以考虑直接电话相关产品公司的客服,聊聊别人家的产品能提供什么服务,有什么优势,能解决什么问题
人员沟通
与一线人员沟通客户需求,或直面最终用户聊聊他们想要
第二步
梳理流程
了解业务,至少说要明白业务要如何做
梳理整个系统运行的业务流程
梳理流程能清晰的体现前后端,或上下级系统之间的数据交互情况
解构所有的过程,梳理主业务流程与子业务流程的关系
主流程
核心业务
设定考核指标、统计方式
考核
子流程
支撑核心业务
考核算法需要高度可扩展
第三步
框架设计
构思框架,至少说要看见产品是什么样
前面两部解决“做什么”的问题,接下来解决“怎么做”的问题
怎么做
功能导图
理解需求的基础上,抽象需求为立体的功能。需求分类、功能结构重组,搭建良好的产品信息架构(IA),行业性质浓厚的产品需要专业人员的介入,增加产品信息架构的专业度和行业边界。一眼看尽产品的宏观功能框架,对产品的每一次延展都了然于胸。
产品原型
产品原型是对已经拥有明确思路和需求范围的产品构想的重现过程,是一个快速重现和迭代的过程,而不是思维的依赖
更高纬度的信息加工
将原本复杂的产品需求进一步精化为更为立体的功能结构框架,使其更具可行性和落地性
方向
全方位的数据分析
用户最关心的是什么指标?
如安全管理项目中,数据分析主要是为管理者提供管理决策的,因此用户最关系的是哪里的安全隐患最多,什么时间段的安全隐患最多,问题最多的是哪类安全隐患等指标
什么指标能够反映管理现状?
如安全管理项目中,现阶段还需要对人员和检查情况进行管理,因此可以增加安全员的用户画像,月度年度工作对比,处理问题的效率,处理问题的数量等指标
什么指标能够预测未来的趋势?
如安全管理项目中,可以根据以往的安全检查数据,预测下一个月下一年出现这种问题的概率,从而积极主动采取措施,提前预防问题
这个指标是否可能获得?
设定相应的数据指标之后要与技术进行沟通,确定切实可行后才能添加到产品设计中来
第四步
迭代规划
数据来源
定期收集几TB与安全相关的数据(比如网络事件、软件应用程序事件,以及人员活动事件), 用来作合规性和事后取证分析
数据驱动的信息安全数据可以支撑银行的欺诈检测和基于异常的入侵监测系统(IDSs)
在了解隐私法规及推荐实践的情况下开发大数据应用程序
参考
“安全智能中的大数据分析”
非功能性需求
性能需求
响应时间
如页面间跳转时间≤3秒,精确搜索反馈结果≤1秒
有时,在当下情况,性能已经到达瓶颈。我们作为产品设计者,也可以从产品体验这一块做出优化,比如某个页面数据量大,导致加载时间长,我们给用户提供加载进度条,预计加载时间,减少用户焦虑。还有日常使用的分页加载,像刷微博一样,每次加载部分数据,当用户进行操作时,再逐渐加载
吞吐量
单位时间内成功地传送数据的数量
这一块与系统并发相关,根据业务量估计,我们的系统需要支持多少并发
资源利用率
指企业投入服务器这类资源,所发挥的资源利用百分比
我们都希望投入的资源最大化的利用,而不被闲置。像我们新增项目,需要进行业务评估,然后与技术人员沟通,确定支撑项目所需要的服务器配置
安全性
保密性
数据加密保护,保证数据在采集、传输和处理过程中不被偷窥、窃取、篡改
业务数据需要在存储时进行加密,确保不可破解
防泄漏
通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术,防止泄漏机密数据
权限控制
根据用户权限控制访问数据,进行操作记录等等
防攻击
IP限制、高频访问限制等等
如:用户高频点击,有时不是恶意,但也有可能造成系统异常。我们在进行产品设计时,是否需要控制点击频率,或者点击后是否将按钮修改为不可点击状态。这些也是需要我们考虑的地方
可维护性与可扩展性
模块性
当某类业务流程变动多,此时将系统功能模块化,支持灵活配置,有利于减少重复开发量
可复用性
站在产品的角度,个人觉得类似组件。如时间组件,系统多处会使用到时间组件,应该将其统一设计,需要用到的地方,可以进行微调,然后进行调用。即可以满足各类场景,又能减少用户的使用成本
易分析性
易诊断缺陷或者失效原因,如日志记录系统,可追踪系统的历史使用情况
可靠性
指产品在一定时间内,一定条件下故障地执行指定功能的能力
易恢复性
在发生故障后,重建其性能水平并恢复直接受影响数据的能力
如发布新版本,需要做好回滚方案,以备异常紧急处理。文件误删除可进行恢复
容错性
在系统出错时,不影响用户的行为操作与数据
比如:掉网,数据的录入做好本地保存,在网络恢复后,自动上传保存
成熟性
系统故障率需要保持在一定的水平下
易用性
指的是产品对用户来说意味着易于学习和使用
特性
易学习性、易操作性、用户错误防御机制、用户界面美观等
0 条评论
回复 删除
下一页
