企业安全：态势感知与运营建设_安全态势感知平台建设

最新推荐文章于 2025-07-02 11:54:11 发布

原创最新推荐文章于 2025-07-02 11:54:11 发布 · 521 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#安全

程序员专栏收录该内容

30 篇文章

订阅专栏

提升感知能力

网络空间中威胁与挑战无处不在，一切都在瞬息万变，有变化必须有感知，只有知变才能应变，提升感知能力就是要能实时、全面地发现威胁，无死角地感知威胁，要体系化评估点、线、面风险及其影响。感知能力的建设主要分为以下两个方面，一方面是加深纵向上感知能力的挖掘，主要分为边和端，边指网络，从网络七层上加强对威胁的检测和防护。比如TCP协议，由于在设计时的缺陷，syn flood是其最大的弱点。因此相应的攻击特征也较为明显，如非法类型选项、选项缺失、选项长度为0等，在新的STCP协议已考虑此因素并加以改善。端指终端和服务器，要深入到服务器的命令、代码、进程、内存、堆栈等，同时要注重攻击的本质，从本质上感知，例如sql注入，其攻击类型有很多，但基本都需要database()、user()等命令。另一方面是加强横向上感知能力的扩展，要分析整个环境中的信息来源和去向，综合分析所有行为，横向感知风险，从攻击者出发，融合网络安全、系统安全、应用安全，把各种工具连通起来，综合分析，由点串成线，形成面，建立多维度的一体化感知，可称其为攻击网，能更好地发现威胁和评估影响，利用图数据库形成的攻击链路图也是此道理。在感知能力的建设上，来源于单一厂家的感知能力有一定的局限性，很难面面俱到，因此，可采用多厂商合作机制，引入不同的检测和防御技术，再将多个安全产品能力以原生化方式进行有机融合。从横向扩展方面来讲，XDR完全符合，这也是为什么XDR被业内广泛接受并誉为未来方向的原因。当然良好的威胁情报、专业的人才队伍、清晰的资产清单都对感知能力的提升至关重要。此外，要充分运用大数据技术，提升感知的时效性，良好的技术架构，可以达到千亿级数据、秒级数据延迟，有效缩短攻击发现时长，降低事件的风险。

加强分析能力

加强分析能力建设，不仅仅要分析出攻击，还原完整体系化的攻击链条，更应该向找出根本原因倾斜，加强追因溯源能力的建设，应对多变的安全威胁，强化防御能力，提升对全局性安全风险的判断。分析能力的建设包括以下两种。

第一，建设分析工具普及威胁猎人的分析能力应成为重点，对于缺乏经验的安全人员来说，可能因无法对大量可用信息进行有效整合和处理，难以评估感知到的攻击可能造成的影响，建设分析工具，让分析人员学习高级威胁猎人的分析能力并共享分析能力。目前大多数情况，只能做到感知攻击的存在，但对于何时开始的攻击、受害点位、攻击者真实身份、意图等不清楚。良好的分析能力，有利于安全分析人员快速定位、研判和处置问题，尽可能快地发现攻击痕迹，分析攻击者手段并“师夷长技以制夷”。

第二，建设高效的追踪溯源能力，并还原攻击路径，在防御系统被绕过或失效的情况下，仍能快速发现入侵事件并掌握攻击过程全貌，遏制攻击扩散，降低事件影响，弥补传统的安全防线容易被绕过和规避的问题，以及无法在被攻击过程中感知威胁的缺陷。追因溯源能力的建设可分为以下两种，对内而言，需要分析是否存在内部原因，包括开发质量、人员安全意识、供应链安全、漏洞挖掘能力等，亦或者暴露了太多可被利用的风险因素；对外而言，需要结合威胁情报，判断攻击者的身份和意图，以不变应万变。基于分析能力的分析结果，可指引下一阶段的优先建设方向，是加强情报收集能力、保证情报质量，还是攻击面管理缺乏，强化攻击面管理，亦或者是供应链与开发安全。当然还需要基于分析能力，去量化评估整体感知风险能力，并提出改进建议，推动整体安全纵深防御体系走向成熟。

构建预测能力

态势感知的预测能力是指根据历史信息和知识，结合当前状态对网络未来一定时间内的发展趋势进行预测，从而实现积极主动的动态安全防御。当前，技术的快速繁殖导致网络架构随之变化，多面威胁的快速演化，攻击监测特征的数量和类型呈指数级增长，影响态势的理解和预测，难以形成并维持最新的有效认知机制。态势预测并非简单的线性过程，相反具有非线性时间序列的特点，传统的预测模型方法已经不适用，当前的研究方向主要是智能预测，比如可以借助混沌神经网络对时间序列数据进行处理，通过模型预测会发生什么。另外，可以借助威胁情报，结合事前预警技术，分析流量信息，了解对手的战术、行为、工具、程序和意图，做到未雨绸缪，防患于未然。总的来说，是基于对客观存在的事实，经过逻辑化和结构化关联处理，有了一定的体系化认知和理解后，做出的合理判断。是对一定空间和时间内的元素进行感知，并对这些元素进行分析和理解，最终预测这些元素在未来的发展状态。强大的感知和分析能力，有利于更好地认知和理解安全态势，帮助确定影响安全态势的要素集合，最终预测其发展趋势。

建设自动化决策能力

自动化决策是在对系统以往发生和正在发生的事件进行分析的基础上，对系统未来和当下事件变化规律做出最优判定。可分为自动化能力和决策能力，自动化能力主要指通过平台将基于规则和阈值的重复性工作进行固化，自动地完成繁琐的工作，比如比较常见的一键安装部署，在安全方面，可自动化的校验告警流程的有效性，确保及时、有效、全面地发现风险；可将人工分析研判的经验自动化留存和重放，同类告警只需人工分析一次；可将处置能力进行应用集成，将研判结果对接处置设备，实现自动处置。这方面SOAR为我们提供了解决方案，SOAR结合了安全事件响应、安全编排与自动化、共享威胁情报，可大幅度缩短MTTR。决策能力主要指系统可结合事件的各种因素如内外部环境、目标系统重要性、攻击手段等，自动进行整体考虑和分析，通过机器学习不断学习历史数据特征，挖掘更多的潜在规律，提高决策水平和响应速度，甚至具有一定的AI思维能力，从而做出更优决策。虽然目前的机器学习还不具备思维能力和推理能力，但随着人工智能技术的不断发展，基于深度学习的ChatGPT让我们看到了这种可能，例如，研究人员可以通过训练ChatGPT来识别和模拟人类的情感和思维过程，从而使其更加智能化和人性化。相信在未来，在面临海量数据，以及层出不穷的安全漏洞和攻击，利用AI来解决安全问题会成为一种常见的方法和手段，也是一种必然的选择。