文章目錄
一、態勢感知簡介
1. 概念
2. 形象舉例
3. 應具備的能力
二、為什么要態勢感知？
為什么網絡安全態勢感知很重要？
三、態勢感知系統的功能
四、如何評估態勢感知的建設結果？
五、什么是態勢感知的三個層級
四、業界的態勢感知產品
1. 安全狗 - 嘯天安全大數據及態勢感知平臺
2. 華為的態勢感知產品 - HiSec Insight
高級威脅檢測
3. 百度智能云 - 昊天鏡智能風控
4. IBM - QRadar XDR
五、我的思考
參考鏈接
一、態勢感知簡介
1. 概念
態勢感知是一種基于環境的、動態、整體地洞悉安全風險的能力，是以 安全大數據 為基礎，從全局視角提升對安全威脅的 發現識別、理解分析、響應處置 能力的一種方式，最終是為了決策與行動，是安全能力的落地。

態勢感知的概念最早在軍事領域被提出，覆蓋 感知、理解和 預測 三個層次。并隨著網絡的興起而升級為“網絡態勢感知（Cyberspace Situation Awareness，CSA）”。旨在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測，進而進行決策與行動。（獲取、理解、顯示、預測、響應）

態勢感知（SA，Situational Awareness or Situation Awareness）是對一定時間和空間內的環境元素進行感知，并對這些元素的含義進行理解，最終預測這些元素在未來的發展狀態。當前，大家提到“態勢感知”時主要是指“網絡安全態勢感知”，即將態勢感知的相關理論和方法應用到網絡安全領域中。網絡安全態勢感知可以使網絡安全人員宏觀把握整個網絡的安全狀態，識別出當前網絡中存在的問題和異常活動，并作出相應的反饋或改進。通過對一段時間內的網絡安全狀況進行分析和預測，為高層決策提供有力支撐和參考。

2. 形象舉例
態勢感知的概念比較抽象，我們舉個例子來幫助理解：天氣預報 就可以理解為一種“態勢感知”。通過對某一地點的持續觀測和分析，我們可以預測未來一段時間內的天氣。尤其是對重大災害天氣的預測，如臺風、霧霾、暴雪等，對我們來講尤為重要。通過提前進行人員和財產的轉移，準備相關抗災措施，可以大大降低災害帶來的影響，這就是進行“態勢感知”的重要目的。

3. 應具備的能力
網絡安全態勢感知系統應該具備的能力：

網絡空間安全持續 監控 能力，能夠及時發現各種攻擊威脅與異常；
具備威脅調查 分析及可視化 能力，可以對威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判別，從而支撐有效的安全決策和響應；
能夠建立安全 預警 機制，來完善風險控制、應急響應和整體安全防護的水平。
通俗來講，態勢感知從時間概念上可以被理解為：剛才發生了什么，現在應該做什么，接下來會發生什么，也就是態勢感知的根本任務，了解昨天、思考今天，預測明天。

二、為什么要態勢感知？
態勢感知的目的在于，全天候全方位 地感知網絡安全態勢。知己知彼，才能百戰不殆。沒有意識到風險是最大的風險。網絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發現不了，結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發作了。

現階段面對傳統安全防御體系失效的風險，態勢感知能夠 全面 感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態、通過全流量分析技術實現完整的網絡攻擊溯源取證，幫助安全人員采取針對性響應處置措施。

為什么網絡安全態勢感知很重要？
隨著網絡與信息技術的不斷發展，人們的安全意識在逐步提高。我們已經不再篤定認為自己的網絡是絕對安全的，相反的，我們認為網絡遭受攻擊是必然的、常態化的。我們不能阻止攻擊行為，但是可以提前識別和發現攻擊行為，盡可能降低損失。也就是說，安全防護思想 已經從過去的 被動防御 向 主動防護 和 智能防護 轉變。

同時，物聯網和云技術的發展也是日新月異，很多顛覆性的新技術也引入了新的安全問題。例如海量終端接入、傳統的網絡邊界消失、網絡攻擊的隱蔽性和復雜度大大增強等，這都為我們提出了新的挑戰，也對網絡安全人員的能力也提出了更高的要求。

正是在這樣的背景下，以網絡安全態勢感知技術為核心的產品和解決方案得到快速發展。網絡安全態勢感知技術可以帶動整個安全防護體系升級，實現以下三個方面的轉變：

安全建設的目標從滿足合規轉變為增強防御和威懾能力，并且更加注重對抗性，這對情報技術提出了更高要求。
攻擊檢測的對象從已知威脅轉變為 未知威脅 ，通過大數據分析、異常檢測、態勢感知、機器學習等技術，實現對高級威脅的檢測。
對威脅的響應從人工分析并處置轉變為自動響應閉環，強調應急響應、協同聯動，實現安全彈性。

三、態勢感知系統的功能
檢測：提供網絡安全持續監控能力，及時發現各種攻擊威脅與異常，特別是針對性攻擊。
分析、響應：建立威脅可視化及分析能力，對威脅的影響范圍、攻擊路徑、目的、手段進行快速研判，目的是有效的安全決策和響應。
預測、預防：建立風險通報和威脅預警機制，全面掌握攻擊者目的、技術、攻擊工具等信息。
防御：利用掌握的攻擊者相關目的、技術、攻擊工具等情報，完善防御體系。
四、如何評估態勢感知的建設結果？
網絡安全態勢感知的建設結果可以從如下幾個方面進行評估：

防御：利用掌握的情報和資產摸底信息，完善防御體系，消除資產風險。
檢測：提供網絡安全持續監控能力，快速、精準地檢測 出安全威脅。
響應：提供涵蓋終端和網絡的 響應 能力，支持攻擊取證、事件溯源和威脅修復等。
預測：通過對歷史安全情況、現網流行攻擊和情報系統進行 綜合研判 ，提供改進建議。
五、什么是態勢感知的三個層級
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”（1995）中，仿照人的認知過程提出了一個經典的態勢感知模型。這個模型在當前看來雖然比較簡單，但卻是很多后續理論的基礎，人們一般稱該模型為Endsley模型（Endsley’s model）。

Endsley模型 將態勢感知分為 三個層級 ，分別是態勢要素感知、態勢理解和態勢預測。

要素感知（Level 1）：感知環境中相關要素的狀態、屬性和動態等信息。
態勢理解（Level 2）：通過識別、解讀和評估的過程，將不相關的要素信息聯系起來，并關注這些信息對預期目標的影響。
態勢預測（Level 3）：基于對前兩級信息的理解，預測未來的發展態勢和可能產生的影響。

四、業界的態勢感知產品
1. 安全狗 - 嘯天安全大數據及態勢感知平臺
2. 華為的態勢感知產品 - HiSec Insight
針對金融、網安、政府、運營商等大、中、小型企業，華為推出 基于大數據 的APT防御產品 HiSec Insight高級威脅分析系統（簡稱HiSec Insight）。HiSec Insight能夠 采集網絡中的海量基礎數據 ，如網絡中的流量、各類設備的網絡日志和安全日志等，通過 大數據分析和機器學習技術 ，識別網絡中的潛在威脅和高級威脅，從而實現對全網的安全態勢感知。

高級威脅檢測
HiSec Insight基于機器學習和大數據平臺，可以快速、準確地實現邊界和內網的高級威脅檢測。

基于 多源數據分析，包括原始流量、日志、Netflow等信息。
基于 多種異常檢測模型，包括加密流量檢測、WEB異常檢測、郵件異常檢測、C&C異常檢測和隱蔽通道檢測等模型。
覆蓋高級威脅的 整個攻擊鏈，包括資源偵查、外部滲透、命令與控制、內部擴散和數據外發等過程。
3. 百度智能云 - 昊天鏡智能風控
4. IBM - QRadar XDR
借助情報，自動執行

使用專門構建的 AI 和預構建的手冊節省充實、關聯和調查威脅信息所需的時間，包括 自動根本原因分析 和 MITRE ATT&CK 映射 。 通過 自動分類 和 智能語境化 將調查速度提高 60 倍。

補充：根本原因分析可以綜合運用一系列原理、技巧和方法來找出 某個事件或趨勢的根本原因 。RCA 可以透過表層的因果關系，顯示流程或系統最初在哪個環節出現故障或造成問題。

根本原因分析的 第一個目標 是發現問題或事件的根本原因。
第二個目標 是全面了解如何修復、彌補根本原因內的深層問題，以及如何吸取教訓。
第三個目標 是將從分析中獲得的見解應用到實踐中，從而以系統化方式預防各種問題，或者再次運用成功的做法。

聯合起來，提高可視性

與領先專家共同設計的簡單 XDR 工作流程，通過消除孤島并統一輸入和共享洞察，幫助加快警報分類、威脅搜尋、調查和響應。

與現有工具集成

一個大型開放式 XDR 生態系統將您的 EDR、SIEM、NDR、安全統籌與自動化響應 (SOAR) 以及威脅情報解決方案整合起來，同時將數據留在原處，并利用您當前的環境。

五、我的思考
態勢感知是基于大數據的，數據的豐富程度很重要，信息的收集和整合。海量數據的收集。需要多數據源的支持。（各種公開數據庫（安全事件、日志、流量、漏洞信息、威脅情報），實時數據，情報共享，數據聯合）
將海量的信息統一到 單一的管理視圖 當中，新發生的事件也可以加入進來（攻擊是不斷發展的，實時更新）。通過對多方面數據的實時觀測，最大程度減少攻擊噪音（減少誤報）。
業務驅動優先，將 重要資產 上的活動的重要級提升上來。
信息數據的有效使用。
大數據分析需要機器學習技術的支持。（關聯分析）認知分析、機器學習幫助我們極大的壓縮威脅發現的時間，能夠快速識別異常。
報告警告的時機很重要。我們要盡量早地發現異常，但報警太早可能造成很多誤報。需要持續監測，如果接下來還發生了異常事件就發出警報。
————————————————
版權聲明：本文為CSDN博主「想變厲害的大白菜」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/weixin_44211968/article/details/126748672

總結

以上是生活随笔為你收集整理的【安全】网络安全态势感知（转载）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。