阿里云开启态势感知服务作用是什么?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-23 08:39 标签: 态势理解

  网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。当前,安全业界普遍认同的一个理念是:仅仅防御是不够的,更需要持续地检测与响应。然而要做到持续有效的检测与快速的响应,安全漏洞、安全情报必不可少。

  2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。简单来讲,威胁情报就是通过各种来源获取环境所面临的威胁的相关知识,主要描述现存的、即将出现的针对资产的威胁或危险。Forrester 认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。

  威胁情报颠覆了传统的安全防御思路,它以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。

  02 威胁情报的用途

  1. 安全模式突破和完善

  基于威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。

  2. 应急检测和主动防御

  基于威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测。如果威胁情报是 IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。

  3. 安全分析和事件响应

  安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。

  03 威胁情报的发展

  以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义,它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。近几年,威胁情报行业增长迅速,如 CrowdStrike、Flashpoint、iSight Partners等威胁情报厂商通过建立的威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。

  随着网络安全态势日趋复杂化,威胁情报的研究越显重要。参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。

  威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。当然,威胁情报的生态系统包括两个方面,即威胁情报的生产和威胁情报的消费。威胁情报的生产就是通过对原始数据的采集、交换、分析、追踪等,产生和共享有价值的威胁情报信息的过程;威胁情报的消费则是指将监测到的安全数据与威胁情报进行比对、验证、关联,并利用威胁情报进行分析的过程。

  因此,一个先进的防御系统应本着“和平利用、利益均衡”的原则开展安全协同共享,努力构筑和谐、健康、成熟的威胁情报生态圈,而威胁情报的生产和消费过程则可更有利构筑一个安全情报生态系统的闭环。

  04 威胁情报的数据采集

  威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、IDS、IPS等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商(如FireEye)、漏洞发布平台(如 CVE)、威胁情报专业机构(如CERT)等提供的安全预警信息。

  05 威胁情报的分析方法

  威胁情报本来只是一种客观存在的数据形态,只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系,进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能 2.0 等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。

  06 威胁情报的服务平台

  X-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。

  X-Force 平台还包括帮助整理和注释内容的工具,以及在平台、设备和应用程序之间方便查询的API库,允许企业处理威胁情报并采取行动。IBM表示,该平台还将提供对STIX和TAXII的支持,以及自动化威胁情报共享和安全方案整合新标准的支持。

  2. 360威胁情报中心

  360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。

  360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的,但依靠孤立的数据无法进行未知威胁的分析和定性,只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来,协助用户进行线索拓展,对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累,拥有全球独有的安全样本库,总样本量超过95亿,包括互联网域名信息库(50亿条DNS解析记录),还包括众多第三方海量数据源。基于情报中心大数据,可有效帮助用户进行多维关联分析,挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。

  3. 阿里云盾态势感知

  阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。

  07 威胁情报的开源项目

  1. 安全威胁情报共享框架OpenIOC

  MANDIANT 公司基于多年的数字取证技术积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,它是一个开放灵活的安全情报共享框架。利用OpenIOC,重要的安全情报可以在多个组织间迅速传递,极大缩短检测到响应的时间延迟,提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式,以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此可以方便添加新的情报,完善威胁情报指标IOC。

  OpenIOC的工作流程如下。

  (1)获取初始证据:根据主机或网络的异常行为获取最初的数据。

  (2)建立IOC:分析初步获得的数据,根据可能的技术特征建立IOC。

  (3)部署IOC:在企业的主机或网络中部署IOC,并执行检测。

  (4)检测发现更多的可疑主机。

  (5)IOC优化:通过初步检测可获取的新证据进行分析,优化已有的IOC。

  CIF(Collective Intelligence Framework)是一个网络威胁情报管理系统,它结合了多个威胁情报来源获取已知的恶意威胁信息,如IP地址、域名和网址信息等,并利用这些信息进行事件识别、入侵检测和路由缓解等。

  OSTrICa 是一个免费的开源框架,采用基于插架的架构。OSTrICa 自身并不依赖外部的库,但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息,并可视化各种类型的威胁情报数据,最终由专家来分析收集的情报,并显示成图形格式,还可基于远程连接、文件名、mutex等,显示多个恶意软件的关联信息。

  CRITs 也是一个网络威胁数据库,不仅可作为攻击和恶意软件库的数据分析引擎,还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息,这种结构具备分析关键元数据的能力,可以发现未知的恶意内容。

2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》,再次强调了态势感知的重要性。“十大任务”中的最后一项,健全网络安全保障体系,提出”全天候全方位感知网络安全态势”,与习近平总书记在419网络安全和信息化工作座谈会上的讲话一致。

从习总书记419讲话,到《网络安全法》出台,再到《“十三五”国家信息化规划》,“态势感知”几乎成为了网络安全的基础词汇,人人需知。然而,对于态势感知的概念,安全圈内外仍存在很多误解。

今天,安全君梳理了态势感知的“身世来历”,和大家在谈及、使用这个概念时的几大误区,希望能帮助大家真正理解态势感知对于网络安全环境的意义。

误区一 态势感知一词起源于网络安全领域

《孙子兵法》中就有论述,即“知己知彼,百战不殆;不知彼不知己,每战必殆”,态势感知的精髓,在兵法中已可见。

态势感知的概念源于军事需求。西方科技强国在近几十年中将大量的资源投入到太空和军事领域的态势感知研究与开发中。欧美国家研发的态势感知系统主要是以光电监测为主的战术信息系统、导弹预警系统(反导态势感知系统)和太空飞行物监测系统等等。

1988年由美国科学家Mica Endsley提出以来,正快速引导信息科学技术革命的发展上世纪末90年代,态势感知(Situation Awareness)才被引入到信息技术安全领域,并首先用于对下一代入侵检测系统的研究。其中最成熟的应用,当属美国爱因斯坦计划。爱因斯坦计划始于2003年,目的是让“系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁。”

误区二 态势感知是国内首先提出的概念

Tim Bass 于 1999 年首次提出网络态势感知(cyberspace situational awareness,简称 CSA)的概念。所谓网络态势是指由各种网络设备运行状况、网络行 为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是,态势强调环境、动态性以及 实体间的关系,是一种状态和趋势,一个整体和宏观的概念,任何单一的情况或状态都不能称其为态势

有趣的是,态势感知再90年代被引入国内之时,这一概念在安全行业内热度一直不温不火,直到2015年阿里巴巴安全峰会上,阿里云安全首席研究员吴翰清(道哥)引起的一场辩论:为什么现有的防御手段无法防御黑客攻击;为什么用了防火墙或IPS等“老三样”还被黑客入侵。道哥由此介绍出了态势感知的概念。

2015年下半年至2016年,态势感知的概念开始在安全行业中成长起来。2015年9月,阿里云态势感知产品公测,成为国内首个以“态势感知”命名的云安全产品,基于算法和模型做分析进行威胁分析和风险评判,颠覆以往基于规则的安全检测。

误区三 态势感知专用于网络安全领域

态势感知不是网络安全领域的专用词汇。太空研究,核反应控制、国际关系等领域,都有态势感知的身影。

2016年7月,国际关系学院和对外经济贸易大学7月2日在北京发布其共同研究成果“国际安全态势感知指数”,这是国内第一份对国际安全问题进行量化评估的大数据评级指数,围绕安全外交理论与实践、领土冲突与国际安全秩序构建、跨境安全议题与全球治理三个框架。

在太空领域,态势感知(SSA)技术,也同时应用于军事、商业和学术研究领域。“太空态势感知研究”的主要指对地球周边天体和人造飞行物的物理位置、运行轨迹进行定位,理解、预测各自的运行状况,避免互相撞击、冲突。除此之外,态势感知技术还应用于航天飞行中对于人因(HumanFactor)的研究,空中交通监管(AirTraffic Control,ATC) 等等。

误区四 态势感知是SIEM的高级版

没有对非结构化数据分析,也不能叫真正的态势感知。结构不一、而又相互关联的数据,就如同大脑接收到的不同信息(声音、气味等)。态势感知的其中一大作用,就是将这些数据的关联理清,这就需要用到数据挖掘和神经网络技术。

实现这一连串的计算,好比大脑调动神经元,处理无数信息,并不是件容易的事。既需要强大的算法模型,又需要可以做实时处理和计算的平台,将告警结果分析、输出。

目前,阿里云云盾的态势感知则是基于阿里云的实时计算能力,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素,进行全面、快速和准确地捕获和分析,最终产出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。也就是说,过去和现在不是态势感知的核心,能预判未来才是。

误区五 态势感知未来的最大价值在于监测

监测是只是态势感知的“幼年”阶段,态势感知这门技术、或者说是研究方向,还有巨大的空间亟待挖掘 —— 包括与机器学习、人机交互的技术结合。就现阶段的态势感知安全产品和服务来说,它真正要做到的绝不止检测和告警,而是指导决策,和动态监测。

未来,态势感知需要模拟的是人的决策过程。可以预见,与人工智能的结合,通过API调用,形成强大的威胁情报网。从而对其它的安全产品“发出号令”,达到协同防御。事实上,态势感知“协同指挥”的意义,在早期已经明确。“协同态势感”知在军事领域中的英文概念是"Command Bridge",指对一个军事区的所有情况、威胁进行监测,然后迅速调动兵力做出相应。“协作”和“桥梁”作用,是态势感知不可缺少的功能。

动态监测是态势感知的另一个趋势。人类至今可以对疾病蔓延、台风蔓延的趋势,进行动态监测控制,而态势感知在需要实现的,也是对整个网络空间动态感知。如今,很多态势感知产品还停留在“静态数据分析”之上,由静到动的飞跃过程,背后也需要算法和计算能力的支撑。

目前,阿里云云盾的概念框架中,态势感知系统相当于人体的神经系统。单点防御设备——包括防火墙、入侵检测、漏洞扫描系统,等等——相当于神经元,而事件的处理过程就相当于神经传导和处理过程。从这个角度来看,态势感知处理数据、将信息变成知识的过程与人脑的对外界信息的感知过程是类似的。

龚正虎 等:网络态势感知研究

刘伟. 人工智能的未来——关于人工智能若干重要问题的思考[J]. 人民论坛·学术前沿, -11.


阿里云态势感知资产指纹功能说明

登录【态势感知】-【配置变更】-【资产管理】,点击具体资产信息。

  • 查询指定资产指纹历史变更

登录【态势感知】-【配置变更】-【资产管理】,输入需要查询的进程,查询历史变更情况。

登录【态势感知】-【配置变更】-【资产管理】,点击具体资产信息,点击你关注的进程、进入你关注进程在全网资产中的运行情况。

  • 查询指定资产指纹聚合结果

登录【态势感知】-【配置变更】-【资产管理】,点击具体资产信息,点击进程、进入聚合数据界面,输入需要查询的进程。

我要回帖

更多关于 态势理解 的文章

 

随机推荐