隨著《中華人民共和國網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》等法規(guī)和政策的相繼出臺，態(tài)勢感知被提升到了戰(zhàn)略高度，國內(nèi)眾多大行業(yè)、大型企業(yè)都開始倡導(dǎo)、建設(shè)和積極應(yīng)用態(tài)勢感知系統(tǒng)，以應(yīng)對網(wǎng)絡(luò)空間安全的嚴(yán)峻挑戰(zhàn)。

在日前舉辦的第七屆運營商和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全年會上，以安全大數(shù)據(jù)為基礎(chǔ)的態(tài)勢感知再次成為業(yè)內(nèi)討論的焦點。

網(wǎng)絡(luò)空間安全形勢發(fā)生變化

當(dāng)前，IT基礎(chǔ)設(shè)施正在發(fā)生深刻的變化，虛擬化技術(shù)、軟件定義網(wǎng)絡(luò)、移動辦公技術(shù)逐漸從概念走向?qū)嶋H應(yīng)用。云計算的興起、BYOD（Bring　Your　Own　Device，指攜帶自己的設(shè)備辦公）的普及，改變了傳統(tǒng)的數(shù)據(jù)中心架構(gòu)，也改變了辦公方式，使得傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊，甚至消失，這給傳統(tǒng)的、以網(wǎng)絡(luò)邊界為核心的防護(hù)思想和安全產(chǎn)品帶來了巨大的挑戰(zhàn)。

相應(yīng)的，安全威脅的形勢也正發(fā)生變化。360企業(yè)安全集團(tuán)副總裁左英男認(rèn)為，網(wǎng)絡(luò)攻擊的實施者不再是個人，而是以明確的政治、經(jīng)濟(jì)利益為目的黑產(chǎn)組織、國家機(jī)構(gòu)。攻擊的手段和工具也日新月異，如滲透至內(nèi)部發(fā)起攻擊，“傳統(tǒng)的被動防護(hù)戰(zhàn)略思維已經(jīng)不能適應(yīng)”。

北京神州綠盟信息安全科技股份有限公司高級副總裁李晨同樣認(rèn)為，無論是傳統(tǒng)的威脅，還是新興的高級、有組織的定向攻擊，都為當(dāng)前企業(yè)的安全管理帶來了非常大的挑戰(zhàn)。

“國內(nèi)對互聯(lián)網(wǎng)安全的監(jiān)測與發(fā)現(xiàn)能力長期缺位，形勢相當(dāng)嚴(yán)峻。”左英男認(rèn)為，急需采用更積極的措施來應(yīng)對這種變化，樹立“監(jiān)測、發(fā)現(xiàn)”的理念。

態(tài)勢感知為企業(yè)安全“保駕護(hù)航”

去年的419網(wǎng)絡(luò)安全和信息化工作座談會上提出“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，“樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力。”態(tài)勢感知首次被提升到了國家戰(zhàn)略高度，并迅速成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。

據(jù)介紹，態(tài)勢感知不是SOC/SIEM（安全管理系統(tǒng)）的簡單升級，而是經(jīng)過徹頭徹尾的改造，是使用大數(shù)據(jù)技術(shù)、威脅情報、攻擊場景分析模型和自動化響應(yīng)處置技術(shù)，給SOC/SIEM平臺換了一顆更加強壯有力的心臟，使以事件和告警響應(yīng)為中心的安全運營模式，轉(zhuǎn)變?yōu)橐酝{為中心，通過持續(xù)檢測、分析研判、追蹤溯源、響應(yīng)處置等手段，以持續(xù)提升安全能力，持續(xù)降低MTTD/MTTR（平均檢測時間/平均響應(yīng)時間）為目標(biāo)的新一代安全運營模式。

360態(tài)勢感知安全服務(wù)團(tuán)隊去年在給一家從事大型工程建設(shè)的央企做態(tài)勢感知服務(wù)時發(fā)現(xiàn)：這家央企財務(wù)部門有一臺電腦，每天自半夜開始向南美某一個地域大量通信。但是，該央企在南美并無業(yè)務(wù)。在監(jiān)測到這一危險信號后，360態(tài)勢感知服務(wù)小組第一時間斷網(wǎng)處置，切斷危險信號，同時迅速加強防護(hù)措施，補上漏洞，最大程度為該央企減輕了損失。

“及時、高效的處置動作完成，才算真正解決了安全問題。這對態(tài)勢感知系統(tǒng)的自動化響應(yīng)處置能力提出了很高的要求。”左英男說。

大數(shù)據(jù)分析助力態(tài)勢感知

“大數(shù)據(jù)分析技術(shù)對網(wǎng)絡(luò)安全是徹頭徹尾的改變。”左英男分析說，以前網(wǎng)絡(luò)安全維護(hù)只能處理一些結(jié)構(gòu)化數(shù)據(jù)，處理的量與類型有限。隨著大數(shù)據(jù)分析技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全維護(hù)只有依托于海量數(shù)據(jù)和攻擊場景與經(jīng)驗的積累，通過計算建模等方法，才能大大提升監(jiān)測能力及自動響應(yīng)能力。

與會專家們認(rèn)為，態(tài)勢感知系統(tǒng)一方面要盡可能具備全要素數(shù)據(jù)收集能力。除了資產(chǎn)信息、系統(tǒng)日志、安全設(shè)備日志之外，還要收集終端數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)等。另一方面，還要大量使用威脅情報，威脅情報的使用對于降低垃圾數(shù)據(jù)產(chǎn)生的噪音、提升威脅檢測的效率極為關(guān)鍵。

但威脅情報來自哪里？質(zhì)量和價值如何？決定著態(tài)勢感知系統(tǒng)的落地能力。360企業(yè)安全集團(tuán)通過6億裝機(jī)量的客戶端安全軟件，以及基于互聯(lián)網(wǎng)眾測模式的360補天漏洞平臺，收集了中國最大的惡意代碼樣本庫和中文漏洞庫，輔以DNS解析庫、存活網(wǎng)址庫，形成了360的云端安全大數(shù)據(jù)。截至2016年年底，360威脅情報中心已經(jīng)發(fā)布了36份APT（高級持續(xù)性威脅）報告。