2024年06月18日
態勢感知(SA,Situational Awareness or Situation Awareness)是對一定時間和空間內的環境元素進行感知,并對這些元素的含義進行理解,最終預測這些元素在未來的發展狀態。當前,大家提到“態勢感知”時主要是指“網絡安全態勢感知”,即將態勢感知的相關理論和方法應用到網絡安全領域中。網絡安全態勢感知可以使網絡安全人員宏觀把握整個網絡的安全狀態,識別出當前網絡中存在的問題和異?;顒?,并作出相應的反饋或改進。通過對一段時間內的網絡安全狀況進行分析和預測,為高層決策提供有力支撐和參考。
01、 網絡安全態勢感知的概念來源
態勢感知的概念起源于20 世紀80 年代的美國空軍,當時主要用于分析空戰環境信息,對當前和未來形勢進行分析,最終做出相應的判斷和決策。后來經過不斷發展和完善,形成相關理論體,已廣泛應用于軍事、航空、工業生產、安全、網絡等領域。網絡安全態勢感知即是將態勢感知的相關理論和方法應用到網絡安全領域中。
態勢感知的概念比較抽象,我們舉個例子來幫助理解:天氣預報就可以理解為一種“態勢感知”。通過對某一地點的持續觀測和分析,我們可以預測未來一段時間內的天氣。尤其是對重大災害天氣的預測,如臺風、霧霾、暴雪等,對我們來講尤為重要。通過提前進行人員和財產的轉移,準備相關抗災措施,可以大大降低災害帶來的影響,這就是進行“態勢感知”的重要目的。
02、為什么網絡安全態勢感知很重要
隨著網絡與信息技術的不斷發展,人們的安全意識在逐步提高。我們已經不再篤定認為自己的網絡是絕對安全的,相反的,我們認為網絡遭受攻擊是必然的、常態化的。我們不能阻止攻擊行為,但是可以提前識別和發現攻擊行為,盡可能降低損失。也就是說,安全防護思想已經從過去的被動防御向主動防護和智能防護轉變。
同時,物聯網和云技術的發展也是日新月異,很多顛覆性的新技術也引入了新的安全問題。例如海量終端接入、傳統的網絡邊界消失、網絡攻擊的隱蔽性和復雜度大大增強等,這都為我們提出了新的挑戰,也對網絡安全人員的能力也提出了更高的要求。
正是在這樣的背景下,以網絡安全態勢感知技術為核心的產品和解決方案得到快速發展。網絡安全態勢感知技術可以帶動整個安全防護體系升級,實現以下三個方面的轉變:
安全建設的目標從滿足合規轉變為增強防御和威懾能力,并且更加注重對抗性,這對情報技術提出了更高要求。
攻擊檢測的對象從已知威脅轉變為未知威脅,通過大數據分析、異常檢測、態勢感知、機器學習等技術,實現對高級威脅的檢測。
對威脅的響應從人工分析并處置轉變為自動響應閉環,強調應急響應、協同聯動,實現安全彈性。
03、網絡安全態勢感知的應用場景
由于網絡安全態勢感知系統的建設復雜度和建設成本較高,所以當前主要應用場景還是在大型機構和大中型企業中。對于規模較小的單位,可以選擇功能和架構相對簡單、性能相對較弱的集成單一產品。
政府機關:從國家維度或省市行政管理維度,對相關信息基礎設施的網絡安全態勢進行管理和監控。
大型行業:從行業體系維度,對行業內部系統的網絡安全態勢進行管理和健康。當前,網絡安全態勢感知的主要應用行業包括政務、金融、網絡運營、教育等。
大型機構或企業:從日常安全運維角度出發,對核心資產和業務系統的安全狀態進行管理和監控。
04、 如何評估態勢感知的建設結果
網絡安全態勢感知的建設結果可以從如下幾個方面進行評估:
防御:利用掌握的情報和資產摸底信息,完善防御體系,消除資產風險。
檢測:提供網絡安全持續監控能力,快速、精準地檢測出安全威脅。
響應:提供涵蓋終端和網絡的響應能力,支持攻擊取證、事件溯源和威脅修復等。
預測:通過對歷史安全情況、現網流行攻擊和情報系統進行綜合研判,提供改進建議。
05、什么是態勢感知的三個層級
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的認知過程提出了一個經典的態勢感知模型。這個模型在當前看來雖然比較簡單,但卻是很多后續理論的基礎,人們一般稱該模型為Endsley模型(Endsley's model)。
Endsley模型將態勢感知分為三個層級,分別是態勢要素感知、態勢理解和態勢預測。
要素感知(Level 1):感知環境中相關要素的狀態、屬性和動態等信息。
態勢理解(Level 2):通過識別、解讀和評估的過程,將不相關的要素信息聯系起來,并關注這些信息對預期目標的影響。
態勢預測(Level 3):基于對前兩級信息的理解,預測未來的發展態勢和可能產生的影響。