一文讀懂什麼是「態勢感知」

各位看官，大家各種好！現在咱們提問，請問什麼是「態勢感知」？

相信各位回答的場景是這樣的：「嗯……這個……」

「稍等，我聽說過，好像是……」

「不就是一個挺火的技術麼，跟大數據差不多」

「對對對，跟那什麼雲計算人工智慧還有點關係」

「不知道!!!」

那麼接下來我們要聊的話題就送給以上任意一位。

小學的時候我們都學過一篇文言文，叫《扁鵲見蔡桓公》，由於蔡桓公不相信扁鵲的話並且不接受治療，最終就「猝」了。由於扁鵲是名醫，他見過的名人也很多，其中還有一位很知名的叫魏文王，故事是這樣的……

魏文王問扁鵲：「子昆弟三人其孰最善為醫？」

扁鵲曰：「長兄最善，中兄次之，扁鵲最為下。」

魏文王曰：「可得聞邪？」

扁鵲曰： 「長兄於病視神，未有形而除之，故名不出於家。中兄治病，其在毫毛，故名不出於閭。若扁鵲者，鑱血脈，投毒藥，副肌膚，閒而名出聞於諸侯。」

——《史記鶡冠子》

小夥伴們可能已經急了，你憑什麼讓我拿小學的文憑看這段文言文，就不能好好說話嗎？好吧，那我給大家翻譯一下，故事的意思梗概就是魏文王問扁鵲，你家三兄弟都是醫生，為什麼只有你最出名，醫療手段最高明？

扁鵲答說：「我大哥治病，是治病於病情發作之前。由於一般人不知道他事先能剷除病因，所以他的名氣無法傳出去，只有我們家的人才知道。我二哥治病，是治病於病情初起之時。一般人以為他只能治輕微的小病，所以他的名氣只及於本鄉裡。而我扁鵲治病，是治病於病情嚴重之時。一般人都看到我在經脈上穿針管來放血、在皮膚上敷藥等大手術，所以認為我的醫術高明，找我看病的場面那真是鑼鼓喧天、鞭炮齊鳴、紅旗招展、人山人海啊！」

好了，咱們言歸正傳，病情分為病前，病中，病後。同樣的道理，在IT圈，安全也分為事前，事中和事後。這次要聊的態勢感知就屬於事前，事中這一階段。很遺憾地告訴大家，雖然我們的神醫扁鵲出現在公元前三四百年了，但是 "態勢感知"的版權不歸我國，這一概念的提出是源於美國空軍，它包括「感知、理解、預測」三個層次。而這三個層面是遞進關係，首先感知，實際是獲取一些安全事件的重要線索。在網絡環境中，IDS、IPS實際上是這個層面的工作。然後理解，就是分析安全事件之間的相關性。最難實現的就是預測，能夠基於模型預測安全事件未來的一些發展趨勢，在目前的一些安全系統中，實際僅做到了「感知」。也就是第一個層面。現在讓我找找感覺，我感知到了你們想問態勢感知到底是怎麼工作的，咱們再接著聊……

中國的態勢感知平臺分為政府部門使用的監管平臺和企業使用的實施監測預警平臺，國內的廠商平臺一般含有資產管理、漏洞管理、大數據平臺、日誌分析、威脅情報、沙箱、用戶行為分析、網絡流量分析、取證溯源、威脅捕捉等能力。實際上，態勢感知主要有三種工作方式，第一種是通過收集雲上安全組件信息，全面感知已知和未知威脅。第二種是對組件提供的海量日誌進行關聯分析，幫助安全運維人員，得出可被理解的安全事件。第三種是基於機器學習等人工智慧技術，深度挖掘數據，預測雲上資產將面臨的風險。無論是哪一種，大家是不是發現了數據才是態勢感知的核心？無論是前期的數據收集，還是後期的數據關聯分析，及可視化展現，都離不開數據的支持。但是並不是所有的數據都能為態勢感知賦能，比如網絡側的數據，就沒有辦法發現發生在主機內部的密碼暴力破解等攻擊行為。

網絡攻防本身就具有很強的不對稱性，採用傳統的防禦思路，難以了解敵人的攻擊意圖，一旦攻擊者採用先進技術繞過現有防禦手段，企業無法實時感知，就會陷入無比被動的尷尬境地，無論是時間和空間上都讓你壓力倍增。舉個例子，如果有個仇人對你說，明天下午3點，我用刀砍死你！你可能當時聽到了很害怕，但是回頭想想完全不慌，因為具體的時間和他使用的武器你都一清二楚。對應的手段也相當多。但如果這個人說，你給我等著，我早晚殺了你！這你就有點崩潰了，因為時間地點事件全都不受你的支配，無比慌張。但至少你還可以請求警察叔叔的保護。最無奈的就是你的仇人一句話都沒有給你交代，突然有一天就來勢洶洶的找你復仇，就問你慌不慌……

那麼這個問題怎麼解決呢？打個比方說，要是有個跟你一模一樣的複製人，是不是你就不會如此的慌了。實際上企業確實也可以通過在雲端搭建高度仿真的業務系統來吸引攻擊者，一旦發現攻擊，可通過此系統進行通知，第一時間發現問題，爭取寶貴的應急響應時間。同時在此系統中全面的採集攻擊數據，進行關聯分析，預測攻擊意圖，讓企業可重點防禦核心資產，消除後續可能出現的攻擊威脅。然後把這些攻擊的威脅數據轉化為標準的威脅情報輸出，形成自己的動態威脅情報庫。在部署方面需要注意將攻擊流重定向，與企業真實的業務環境隔離開即可。

隨著技術的發展，攻擊威脅增上異常迅速，各種網絡安全事件在全球範圍內全面爆發，面對日益嚴峻的安全形勢，習近平主席也發出網絡安全最強音，沒有網絡安全，就沒有國家安全。網絡是一個沒有硝煙的戰場，為打造文明的網絡環境，我們仍需不斷努力。

最後給大家總結一下，態勢感知其實就是一種基於環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。在這個過程中，安全態勢感知平臺進行了「感」和「知」分析，通過深入分析合法用戶和攻擊者行為差異而產生的對潛伏威脅的檢測和發現能力，幫助我們看清威脅，看見風險通過「感」從網絡通訊中發現異常，通過智能分析還原攻擊行為。通過「知」從攻擊行為推測攻擊意圖和方法，完成損害評估和因果分析。OK，聊到這裡就告一段落了，至於態勢感知是神馬已經為你安排妥了，想了解更多新型爆款技術話題，請持續關注課工場哦^Q^

怎麼樣，你了解了麼？歡迎和我們一起探討。

更多IT技術乾貨，請關注課工場，和我們一起關注前沿技術，快速提升。