安全态势感知已成行业热点，能力与时俱进方能应对挑战

何平

华为安全产品领域 产品总监

随着“云、大、物、移”四大技术的发展，网络安全威胁的种类和危害性也在不断增加。网络攻击行为向着分布化、规模化、复杂化等趋势发展，传统被动防护手段已经难以应对，迫切需要新的技术和产品，实时掌握网络安全状况，及时发现甚至提前预测网络中的攻击行为，主动采取网络安全防护措施，降低网络安全风险。于是，网络安全态势感知就应运而生了。

网络安全态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，以安全大数据为基础，对能够引起网络安全态势发生变化的要素进行获取、分析、评估、呈现以及对未来发展趋势预测的一个过程。是从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种能力。是通过分析决策和联动响应，完成全流程威胁处置的一种能力。

政策和业务驱动，态势感知成为安全行业热点

近几年随着《网络安全法》和《信息安全技术网络安全等级保护2.0》等国家导向和政策法规的相继发布，都提及网络安全态势感知相关的建设内容。同时，随着网络的攻击技术不断革新，新型攻击工具大量涌现，网络安全问题越发严峻。网络安全态势感知系统被关注的程度明显上升。

一方面，《中华人民共和国网络安全法》明确提出“建立网络安全监测预警和信息通报制度，将网络安全监测预警和信息通报法制化。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全检测预警信息”。因此，网络安全监测预警与态势感知的重要性不言而喻，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。

另一方面，当前网络安全形势复杂严峻，网络攻击仍处于高发态势，涉及到国家级网络公共基础设施、国计民生的重要信息系统和日益增长的移动终端，涵盖了病毒、木马、漏洞、流量攻击等多种类型，攻击门槛不断降低，攻击对象更加广泛，攻击手段复杂多样，攻击范围跨洲跨国，攻击目的利益驱动，有些攻击甚至具有大数据关联分析、人工智能等特点，愈来愈呈现出专业化、商业化、国际化和移动化等特点。传统的安全威胁检测技术，如脆弱性检测技术、恶意代码检测技术、异常网络流量检测技术等，主要解决单个安全问题的手段显然不足以对抗更加专业化的攻击。

同时，从网络安全建设来看，多年来业界安全一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(FW、IPS、AV等)的建设，虽取得了一定的成果，却也遇到发展瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

因此，安全态势感知成为未来网络安全的关键。一次成功的APT攻击，包含了信息搜集、攻击尝试、驻点提权、横向扩散、数据外发等多个过程，因此没有万无一失的筹谋，再聪明的攻击者也会留下蛛丝马迹，而我们要做的就是在“事前”发现，做到防范于未然。

全新业务挑战，态势感知需要具备新的能力

随着网络安全态势感知系统在各行业的应用越来越广泛，各安全厂商所提供的系统主要有如下两大类：

一种网络安全态势感知系统主要是为了解决信息系统安全防护各自为政，缺乏协同的问题。这类网络空间安全态势感知技术的研究侧重强化“属地”（根据地）安全，通过对海量多源信息的采集，采用数据分析技术识别海量数据中有价值的信息，并展示为可理解的结果报告，从而让人可以通过呈现的结果数据去发现、理解全网的安全威胁。这类系统对内侧重安全事件管理、安全风险分析，对外侧重异常通报预警。相应的技术输出主要以单一数值为主，即信息系统的安全态势值。由于安全感知范围有限、分析深度不足，安全防护较为静态，在实际使用过程中也存在一定的使用缺陷。

另一种网络安全态势感知系统通过机器学习、人工智能、大数据等技术，实现未知威胁的精确检测，从已知数据推出将要发生的事件，实现对安全威胁事件的预测。重点侧重威胁的精确检测能力，包括未知威胁的AI检测能力。强化关联分析能力，包括面向资产的多维关联分析、面向威胁的多维关联分析、面向脆弱性的多维关联分析和面向安全事件的多维关联分析等。以及关联结果分析，包括安全状态评价、安全趋势预测、异常行为呈现和安全风险预警。

而随着近年网络安全态势感知系统在行业客户的实际使用，也遇到一些新的挑战和问题，上述两类安全态势感知系统均不能较好的应对解决，急需一种全新的安全态势感知系统实现破局：

1.工业互联网等行业，网络安全威胁如何确保精确发现？

工业互联网的出现模糊了传统的网络边界，而网络世界的复杂与多变性也给工业互联网带来了诸多安全挑战，如APT攻击和新型病毒高发、生产设备暴露面扩大、设备漏洞多、安全防护措施不到位等，工业互联网形势较为严峻。从近几年工业互联网安全事件分析可以看到，传统IT威胁向工业网络的渗透造成了很大损失，导致主机设备蓝屏、功能失效、网络延迟抖动、生产系统停机等问题，像2018年8月台积电生产线“中毒”停摆3天损失超17亿元。对于这类隔绝互联网连接的生产环境，依赖威胁情报能力为主要检测机制的安全态势感知系统因时效性等原因就应对比较乏力，急需具备强本地AI检测能力的安全态势感知系统进行威胁的精准识别。

2.预加载的检测模型如何快速适应不同场景和网络威胁的变化？

针对高级未知威胁检测通常在安全态势感知系统预置AI检测模型进行解决，但是当系统部署到不同的网络场景或者安全态势出现变化时，则需要预加载的检测模型参数跟着进行调整来适应变化。目前业界模型参数调整一般是通过定期的检测引擎更新实现，更新频率比较低，导致在现网造成未知或者变异的威胁检测能力下降。继续一种新的能力解决安全态势感知系统中的威胁检测模型自学习、自进化。

3.安全运维人员能力、经验如何不断固化和丰富？

当前部分厂商的网络安全态势感知系统在实际应用中每日上报大量的威胁告警事件，而安全运维人员一般的运维分析效率在10条/人天左右，面对海量告警很难从中分析出有价值的威胁信息并进行对应的威胁处置。因此，急需安全态势感知系统尽量保障上报的告警准确且有价值，并且通过技术手段对安全事件的溯源分析、威胁闭环等分析工作自动化实现，形成固定经验模板进行不断积累和丰富。

4.客户场景需求呈多样化、个性化趋势，需要快速适配交付。

当前部分客户场景的应用需求呈多样化、个性化趋势，标准化产品通常很难直接提供已有能力来解决。且因业界安全厂商的核心能力差异较大，客户想要在相同平台上异构不同厂商的优势能力，受制于安全态势感知系统架构的不够开放，很难落地。因此，急需一种新的态势感知系统架构，能够快速适配和交付客户的需求。