网络安全需要态势感知 但你知道TA是什么吗？

　　[PConline 杂谈]随着网络信息技术的发展，不论是企业还是个人对网络的依赖越来越大，信息安全已不再是一个技术问题，态势感知应势而生，作为目前网络安全领域的热点，却不得不面对扑面而来的态势感知热潮以及良莠不齐的方案。那么，究竟什么是态势感知？我们为什么需要它？

何为态势感知？

　　 实际上，态势感知是一种基于环境的、动态的、整体的洞悉安全风险的能力，它以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析及响应处置能力的一种方式，旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行安全的相关决策与行动。

　　 我们在理解态势时，强调的是环境性、动态性和整体性。这里，环境性指的是态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性，则指的是态势随时间不断变化，态势信息既包括过去和当前的状态，还包括对未来趋势的预测；整体性，指的是态势各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其他网络实体的状态，而影响整个网络的态势。

为什么需要态势感知?

　　 一方面，如今我们面对的攻击者，已形成专业的黑色产业链，他们不仅分工明确，其所采用的攻击手段也更加先进，甚至利用上当下热门的人工智能，以便发动更具针对性的恶意攻击。攻击的专业化和利益化，引发的直接后果就是，不是你会不会被黑，而是何时会被黑，甚至说被黑了你都不知道。

　　 另一方面，从网络安全建设来看，多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，却也遇到发展瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

　　 显然，面对越来越专业的恶意攻击，我们已无法再用传统的边界隔离理念，日渐臃肿的攻击特征库，与对方多变的渗透技术，智能的HaaS服务，隐蔽的信道相抗衡了。因此，态势感知成为未来网络安全的关键。我们说，一次成功的渗透和攻击，包含了信息搜集、攻击尝试、移动提权、信息回传等多个过程，因此没有万无一失的筹谋，再聪明的攻击者也会留下蛛丝马迹，而我们要做的就是在“事前”发现它。

态势感知能做什么？

　　 本质上讲，网络安全就是发生在虚拟世界的攻防战，速度为王，而态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势，以作出正确响应。用“全天候全方位感知网络安全态势”来表述建设态势感知的目标十分准确，这包括了时间和检测内容两个维度。

　　 时间维度上，既需要利用已有实时或准实时的检测技术，同时还需要通过更长时间数据来分析发现异常行为，特别是失陷情况；而内容维度上，则需要覆盖网络流量、终端行为、内容载荷三个方面，并完整提供以下5类检测能力（或者说至少4类），它们是基于流量特征的实时检测(WAF、IPS、NGFW等)、基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)、针对内容的静态、动态分析机制(沙箱)、基于终端行为特征的实时检测(ESP)、基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)。

建设态势感知的核心要素

　　 你知道吗？建设态势感知需要具备流量数据采集、威胁情报和安全分析师三大核心要素。目前，以一些大数据安全平台为载体，实现态势感知技术在网络安全领域的应用。

　　 以锐捷网络的RG-BDS大数据安全平台为例，作为态势感知信息的来源基础，锐捷从防火墙、IPS、WAF以及各种服务器、网络设备等安全采集层，获取大量的例如安全攻击事件、用户访问记录、业务异常信息等安全信息。

　　 另外，RG-BDS还内置有数百个安全分析模型，并且能够通过机器学习、威胁情报等自动生成相应分析模型，更支持云端持续的分析模型升级能力。从攻击发现、APT深度分析、威胁预测、安全知识库协助、工单跟踪闭环等模块构建全流程安全体系。

　　 当然，随着国家将网络安全提升至国家战略层面，加之各项利好政策的推动下，目前已有不少安全厂商投身于网络安全态势感知相关解决方案的研发当中，比如说360、绿盟、深信服等等，这里我们仅以锐捷网络为大家进行举例。

　　 其实不难看出，如今我们已从单纯的网络安全迈向了涵盖物联网、车联网、云计算、大数据、移动互联等多领域的大安全时代，以往那些传统的安全防护措施已不能很好的保护我们免受来自网络的恶意攻击。因此，安全技术才应与时俱进，利用人工智能、大数据等新兴技术，建立适合当下安全环境的新型防御体系，而网络安全态势感知，无疑能让用户看清业务，预知威胁，了解风险所在。