概念普及

安全態(tài)勢感知可以理解為客戶的安全大腦,是一個集檢測、預警、響應處置為一體的大數(shù)據(jù)安全分析平臺.其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯(lián)分析、機器學習、大數(shù)據(jù)關聯(lián)分析、可視化等技術,實現(xiàn)威脅可視化、攻擊與可疑流量可視化等功能.可有效幫助IT安全運維在高級威脅入侵之后,損失發(fā)生之前及時發(fā)現(xiàn)威脅。是IT安全運維管理員得力的幫手。

態(tài)勢感知(Situational Awareness/Situation Awareness,SA)的概念最早在軍事領域被提出.目前是大數(shù)據(jù)安全領域規(guī)模增長最迅速的產(chǎn)品.態(tài)勢感知的市場規(guī)模從2017年開始,就在以每年25%的速度增長.目前的態(tài)勢感知平臺分為政府部門使用的監(jiān)管平臺和企業(yè)使用的實施監(jiān)測預警平臺.而國外一般不談態(tài)勢感知系統(tǒng),多稱為威脅管理、威脅發(fā)現(xiàn)產(chǎn)品,并把網(wǎng)絡安全態(tài)勢感知作為由多個系統(tǒng)、工具整合實現(xiàn)的狀態(tài)效果.目前的態(tài)勢感知平臺分為政府部門使用的監(jiān)管平臺和企業(yè)使用的實施監(jiān)測預警平臺.但在不同的行業(yè)中,也有不同的核心技術需求:金融行業(yè)有著更多的業(yè)務場景,注重關聯(lián)分析能力、威脅告警精確度、用戶行為分析能力；運營商的SOC（Security Operation Center）除了關注自身的安全,也會注重利用本身的數(shù)據(jù)資源優(yōu)勢,拓寬行業(yè)市場；能源行業(yè)的IT種類繁多,非常注意安全生產(chǎn),因此看重產(chǎn)品的兼容性、可連續(xù)性；政府機構關注對外部攻擊防范、高級威脅檢測. 但總的來說,態(tài)勢感知（SA）目前理論上主要分為以下三個部分:

對環(huán)境元素的感知

對狀態(tài)的的理解

對未來狀態(tài)的預測

為了可以更好地理解態(tài)勢感知,我們可以先來看一下態(tài)勢感知會涉及到的一些專業(yè)術語:攻擊者視角:站在黑客攻擊場景上獲取的攻擊告警、威脅等運營數(shù)據(jù)防御者視角:站在甲方安全視角上主動獲取到的防御引擎部署情況、漏洞信息等運營數(shù)據(jù)告警事件:由DDoS檢測引擎、主機安全檢測引擎、全流量檢測引擎發(fā)現(xiàn)的高價值安全事件威脅事件:通過京東云提供的基于安全威脅模型大數(shù)據(jù)關聯(lián)的新型攻擊事件,包含實時分析事件、離線分析事件引擎覆蓋率:由網(wǎng)絡入侵檢測引擎、DDoS基礎防護檢測引擎和主機安全檢測引擎啟動覆蓋率組成,網(wǎng)絡入侵檢測引擎啟動覆蓋率=已開啟NIDS監(jiān)控的公網(wǎng)IP數(shù)量/當前用戶下所有公網(wǎng)IP數(shù)量,主機安全檢測引擎啟動覆蓋率=已安裝主機安全軟件云服務器數(shù)量/當前用戶下所有云服務器數(shù)量,DDoS基礎防護啟動覆蓋率默認為100%,用戶無法手工調整.權重為1:1:1,引擎開啟監(jiān)控的覆蓋率越高,其捕捉安全事件的能力越強,故使用安全引擎覆蓋率量化衡量其開啟率.最佳實踐為100%主機漏洞:主機系統(tǒng)方面漏洞網(wǎng)站漏洞:主要針對web網(wǎng)站相關的漏洞

建設目的

檢測：提供網(wǎng)絡安全持續(xù)監(jiān)控能力，及時發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對性攻擊.

分析、響應:建立威脅可視化及分析能力，對威脅的影響范圍、攻擊路徑、目的、手段進行快速研判，目的是有效的安全決策和響應.

預測、預防:建立風險通報和威脅預警機制，全面掌握攻擊者目的、技戰(zhàn)術、攻擊工具等信息.

防御:利用掌握的攻擊者相關目的、技戰(zhàn)術、攻擊工具等情報，完善防御體系.

模型體系

以上內容由北京艾銻無限科技發(fā)展有限公司整理