信息來源:安全內(nèi)參
一、Gartner對中國態(tài)勢感知平臺的簡述
終于,在2022年3月,得益于對中國本土市場的重視,Gartner對外發(fā)布了一份描述中國態(tài)勢感知解決方案常見的2個應(yīng)用場景的快速問答報告。這是Gartner第一份有關(guān)中國態(tài)勢感知市場的報告,盡管比較簡要。
報告指出,中國的態(tài)勢感知平臺依托集成化的SIEM的部署來獲得對當(dāng)前安全狀態(tài)的更情境化的視圖。報告列舉了態(tài)勢感知解決方案兩個典型的應(yīng)用場景:滿足等保2.0的3級及以上的安全運營要求,為順應(yīng)供應(yīng)商整合趨勢而為用戶提供整體打包的安全運營解決方案。
報告認(rèn)為,態(tài)勢感知解決方案是現(xiàn)代 SOC的集中式“一體化”技術(shù)和“智慧大腦”,可幫助安全和風(fēng)險管理 (SRM) 領(lǐng)導(dǎo)者和 SOC 團(tuán)隊全面了解威脅、風(fēng)險和漏洞,包括監(jiān)控漏洞,檢測網(wǎng)絡(luò)攻擊和威脅,分析行為和異常情況,應(yīng)對網(wǎng)絡(luò)安全事件。
筆者認(rèn)為,這兩個用例分別代表了中國態(tài)勢感知市場的外部驅(qū)動力和內(nèi)在驅(qū)動力。如下圖是筆者近幾年常用的態(tài)勢感知建設(shè)驅(qū)動因素圖:
Gartner在這份簡報中指出:“中國的態(tài)勢感知解決方案大多是從傳統(tǒng)的安全事件和事件管理 (SIEM) 演變而來的。它們是現(xiàn)代 SIEM 平臺,提供除傳統(tǒng)SIEM之外的更多功能,例如網(wǎng)絡(luò)資產(chǎn)管理、威脅情報、漏洞管理以及用戶和實體行為分析 (UEBA),以簡化跨模塊的流程。”
簡報還給出了一個態(tài)勢感知解決方案的概念架構(gòu)圖,如下:
上述描述和架構(gòu)圖,與筆者早先對態(tài)勢感知的描述性定義基本吻合。這里給出一個修訂后的定義:
網(wǎng)絡(luò)安全態(tài)勢感知平臺以特定網(wǎng)絡(luò)空間資產(chǎn)及上面運行的業(yè)務(wù)系統(tǒng)為保護(hù)對象,整合分散的安全防護(hù)、檢測和響應(yīng)技術(shù),持續(xù)收集目標(biāo)對象的資產(chǎn)數(shù)據(jù)、運行數(shù)據(jù)、脆弱性數(shù)據(jù)、內(nèi)外部安全情報、日志及流量數(shù)據(jù),及各類情境數(shù)據(jù),進(jìn)行多層次安全分析,從多個維度持續(xù)監(jiān)測、評估和預(yù)測網(wǎng)絡(luò)安全安全狀況,有效識別各類風(fēng)險,即時預(yù)警、告警與情報分享,進(jìn)行編排化協(xié)同響應(yīng),達(dá)成對目標(biāo)網(wǎng)絡(luò)安全的防護(hù),并進(jìn)行有效性驗證。
簡言之,網(wǎng)絡(luò)安全態(tài)勢感知平臺能夠支撐運行人員實現(xiàn)態(tài)勢數(shù)據(jù)的采集、分析、決策、行動和驗證的閉環(huán)。
進(jìn)一步分析Gartner對態(tài)勢感知的理解,可以明顯的感受到以下幾點:
1)態(tài)勢感知平臺是一個面向多安全要素的綜合性的、全方位的態(tài)勢感知平臺,至少融合了資產(chǎn)態(tài)勢、漏洞態(tài)勢和威脅態(tài)勢。同時,也明確提出了要形成總體態(tài)勢視圖,以及具體(分視角)的態(tài)勢視圖。
2)目前態(tài)勢感知平臺主要依托于SIEM來建立。此外,當(dāng)前態(tài)勢感知范疇內(nèi)的功能與SIEM范疇之內(nèi)的功能高度重疊。態(tài)勢感知從要素信息的采集、分析、存儲到展示,每個環(huán)節(jié)都融入了SIEM平臺。
2)態(tài)勢感知要閉環(huán)。Gartner將以SOAR為代表的響應(yīng)能力作為可選模塊,以實現(xiàn)態(tài)勢感知的閉環(huán),也就是筆者經(jīng)常講的“從態(tài)勢感知到有效防護(hù)”。
最后,筆者感覺Gartner略有不足之處在于沒有明確指出態(tài)勢感知解決方案是一個融合平臺技術(shù)、人員和流程的有機體,而僅聚焦于平臺技術(shù)了。
延展開來,Gartner此時對中國態(tài)勢感知市場多少算一個小結(jié),因為此時態(tài)勢感知市場已經(jīng)如火如荼。從最早(2019)IDC首次定義中國態(tài)勢感知市場,到賽迪出具態(tài)勢感知分析報告(2020),再到現(xiàn)在(2022)Gartner定義中國態(tài)勢感知市場,以及2020年啟動目前尚在制定中的國標(biāo)《網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》,態(tài)勢感知在2019年以后才真正發(fā)展起來。
二、態(tài)勢感知的未來演進(jìn)方向探索
未來的態(tài)勢感知將如何演進(jìn)?很多人給出了自己的解答,筆者也進(jìn)行了一番思考,認(rèn)為應(yīng)回到態(tài)勢感知的本源。
下圖是態(tài)勢感知的學(xué)術(shù)界泰斗Endsley的論文中的圖,展示了動態(tài)決策中的態(tài)勢感知模型。
如上圖所示,我們通常討論態(tài)勢感知的理論基礎(chǔ)的時候,多僅僅引用上圖中態(tài)勢感知的三階段模型(察覺、理解和預(yù)測),而未將其放到動態(tài)決策的大背景中。如此一來,導(dǎo)致很多時候忘記了做態(tài)勢感知的目的是什么。
正如筆者之前多次指出,態(tài)勢感知的目標(biāo)是實現(xiàn)有效防護(hù)!也就是說,態(tài)勢感知要閉環(huán)。結(jié)合上圖,就是:態(tài)勢感知的目的是為了做出決策,執(zhí)行行動。然后重新感知態(tài)勢,做出新的決策和行動。
態(tài)勢感知是一個典型的OODA模型。
進(jìn)一步分析,業(yè)界一直在說防御體系建設(shè)要從靜態(tài)向動態(tài)轉(zhuǎn)變,從被動向主動轉(zhuǎn)變,從單體向多體轉(zhuǎn)變,從孤立向協(xié)同轉(zhuǎn)變,從簡單縱深向復(fù)合縱深轉(zhuǎn)變。簡言之,就是動態(tài)防御。而這正是態(tài)勢感知要提供的能力,通過態(tài)勢感知獲得態(tài)勢決策,執(zhí)行行動。對此,業(yè)內(nèi)先驅(qū)大軸老師在《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書中有詳細(xì)闡述。
回過頭來看看當(dāng)前的態(tài)勢感知在服務(wù)于態(tài)勢決策方面做了些什么??梢韵聫膬蓚€角度進(jìn)行闡述:
1)從產(chǎn)生決策的角度來看,當(dāng)前的態(tài)勢感知基本停留在態(tài)勢察覺(perception,或者叫觀察)的層次上,少量涉及到態(tài)勢理解的部分,基本都無法形成完整的理解,而態(tài)勢預(yù)測更是稀少,有些基于統(tǒng)計的預(yù)測就不錯了。最后的結(jié)果就是難以產(chǎn)生態(tài)勢決策,也就無法形成行動,實現(xiàn)防御閉環(huán)。此外,當(dāng)前的SIEM中的技術(shù)棧支撐也都難以提供更高水平的態(tài)勢決策能力。
2)從決策后的行動角度來看,當(dāng)前的態(tài)勢感知平臺對于決策基本上無法付諸行動,也缺乏執(zhí)行行動的技術(shù)支撐,難以形成響應(yīng)到再感知的閉環(huán)。
也就是說,當(dāng)前的態(tài)勢感知以發(fā)現(xiàn)問題為主,而在如何解決問題方面有所欠缺。
基于上述討論,筆者提出一個觀點:
當(dāng)前的態(tài)勢感知是面向察覺與可視化的,而未來的態(tài)勢感知將是面向決策的、可運行/運營的。
|
未來的態(tài)勢感知是面向決策的。系統(tǒng)功能設(shè)計側(cè)重于形成態(tài)勢決策。進(jìn)一步地,要形成兩類決策:宏觀決策和中觀決策。宏觀決策是策略級的響應(yīng),是對當(dāng)前整體安全防御保障等級的調(diào)整,對應(yīng)一系列與該等級相關(guān)的意圖、策略、規(guī)則和配置集合,通過人機結(jié)合的方式執(zhí)行下去。策略級響應(yīng)的態(tài)勢感知迭代周期通常較長。中觀決策是戰(zhàn)術(shù)級的響應(yīng),是對當(dāng)前某個具體的安全事件的綜合研判后的響應(yīng)行動(包括處置、調(diào)查、追蹤、溯源等),通過人機結(jié)合(機器優(yōu)先)的方式快速迭代執(zhí)行下去。
未來的態(tài)勢感知是可運行/運營的、實戰(zhàn)化的,態(tài)勢運營是安全運營的一部分。未來的態(tài)勢感知平臺將可以進(jìn)行決策或者輔助決策,有良好的人機互動,實現(xiàn)人在回路之上的閉環(huán)(大軸稱之為“人在控制閉環(huán)之上”,詳見《網(wǎng)絡(luò)空間安全防御與態(tài)勢感知》一書)。而正因為形成了閉環(huán),就具備了運行/運營的可行性。同時,態(tài)勢感知的閉環(huán)要納入到整體的安全運行/運營之中,成為安全運行/運營的一個組成部分,有自己的相對獨立清晰的技術(shù)依托、流程和崗位職責(zé),此時可以稱之為“態(tài)勢運行”或者“態(tài)勢運營”。
如果我們把當(dāng)前的態(tài)勢感知稱作態(tài)勢感知1.0,那么面向決策的態(tài)勢感知就是態(tài)勢感知2.0。