360左英男: 态势感知能力落地的三要素

本篇文章3306字，读完约8分钟

新华社北京4月25日电第七届运营商和互联网行业网络安全年会4月25日在合肥召开。360企业安全集团副总裁左英南应邀在年会主论坛上做了题为“新形势、新挑战、新对策”的主旨演讲。左应南在讲话中提出了情境意识的三个要素:数据是基础，处置是关键，人员是保障。

新形势:“没有牢不可破的网络和系统”

近年来，空网络的安全形势发生了重大变化。左应南分析了其背后的两个原因:第一，it基础设施正在发生深刻的变化:虚拟化技术、软件定义的网络和移动办公技术正逐步从概念走向实际应用。云计算的兴起和自带设备的普及改变了传统的数据中心架构和办公模式，使得传统的网络边界变得模糊甚至消失，这给以安全边界为核心的传统保护理念和安全产品带来了巨大的挑战。

其次，安全威胁的形势也在发生深刻的变化:网络攻击的实施者不再是个人，而是具有明确政治和经济利益的黑人组织和国家机构；攻击的手段和工具也日新月异。零日漏洞已经成为空网络地下黑市的热门商品，甚至可以被称为“军火”。正如洛克希德·马丁公司的kill chain模型所描述的那样，空网络之间的威胁已经呈现出集团化、工具化和流程化的趋势。隐藏多年的攻击已经逐渐为人所知。这些都给以特征检测为核心的传统防御手段带来了巨大的挑战。

左英男说，人们逐渐接受了“没有牢不可破的网络和系统”的现实。“世界上只有两种组织，一种已经受到损害，另一种还不知道已经受到损害”。与此同时，人们逐渐认识到，传统的中世纪城堡式被动防护战略思维已经不能适应当前网络空的安全形势，有必要采取更加积极的对策来应对这一变化。以持续检测和响应为核心的适应性安全架构和对策已经被人们所接受，成为应对空.网络间新的安全挑战的新对策

新挑战:利用情境感知解决安全问题

根据美国sans研究所提出的网络安全能力滑动窗口模型，过去20年来，组织安全能力的构建主要是在被动防御层面进行的，建立纵深防御体系已经成为一种流行的做法，强调不依赖于人的参与，依靠传统的安全设备自动执行预设的安全策略，目的是减少攻击区域，消耗攻击者的资源，减少攻击者的自由。

主动防御强调人的参与，通过不断的检测，主动消耗威胁情报，获取当前的安全形势，进而采取行动对抗攻击者。因此,“态势感知”已经成为空网络安全领域的一个热点，也成为网络安全技术、产品和方案不断创新、发展和演变的综合体现，代表了网络安全攻防对抗的最新趋势。

随着《网络安全法》和《国家网络安全战略》的颁布，态势感知在我国被提升到战略层面，许多大型行业和企业开始倡导、构建并积极应用态势感知系统，以应对网络间严峻的安全挑战。

安全态势感知应该是基于环境的、动态的和整体的理解安全风险的能力。这是一种基于安全大数据从全球角度提高发现、识别、理解、分析和响应安全威胁的能力的方法。它最终是为了决策和行动，它是安全能力的着陆。

情境意识经历了一个曲线发展过程，经历了萌芽、高涨、低谷、恢复和成熟等多个阶段:

1.像soc/siem这样的产品和技术已经开发了多年，但是它们受到数据处理和安全分析能力的限制，并且总是停留在大量微安全事件警报的处理级别。大数据技术的出现使得基于soc/siem的大数据安全分析技术成为现实，这可以看作是态势感知的萌芽。

2.安全行业很快就开始炒作态势感知，认为这种技术代表了威胁对抗技术的先进生产力，可以解决大多数安全问题。客户对这项新技术也充满了期望。

3.最初的态势感知产品上市后，所展示的能力让所有人失望。人们发现情境意识能够真正解决的问题非常有限，这并不像预期的那样，所以他们对新技术的心理预期降到了最低点。

4.安全厂商和客户坚定不移地继续开发态势感知产品和技术，能够解决越来越多的问题，技术成熟度越来越高，逐渐实现安全能力的落地。

左应南认为，在态势感知发展的早期，由于对态势感知、数据和安全分析能力的误解，很多态势感知已经成为显示和报告的“地图枪”。在使用过程中，用户发现这些系统的功能和期望之间还有很大的差距，但是他们并没有真正解决安全问题。

新对策:情境意识的三个要素

去年下半年，通过行业和企业用户以及网络安全企业的共同努力，用户逐渐对安全操作中的态势感知能力有了一些共识，这种基于态势感知的系统和系统开始逐渐变得实用。

左应南表示:“360帮助公安、互联网等监管机构、税务、交通、能源、金融、教育等行业和大型企业成功构建和运行态势感知和安全操作系统，有效帮助客户提高安全能力，解决安全问题。”“根据帮助这些机构、行业和企业成功实施情境意识项目建设的实践，我们认为，要实现情境意识能力，必须具备以下三个要素”。

数据是基础:“如果你不知道如何攻击，你就不知道如何防止它”，而威胁情报是研究“敌人的情况”和描述攻击者的脸。了解谁实施了攻击、攻击目标、攻击目的、攻击手段、攻击程度、攻击现象、攻击后果以及如何补救。为了获得高质量的威胁情报，有必要研究和分析两种攻击工具:利用漏洞和恶意代码。360保安和天庆终端安全管理，以及360漏洞平台是收集这两种攻击武器的最佳工具。威胁情报的质量以及外部数据的质量和价值对于整体态势感知能力的实现至关重要。在过去的360年中，积累了大量的安全大数据以及理解和处理安全大数据的能力，这是态势感知能力落地的基础。

对于威胁检测和跟踪，收集资产信息和设备日志远远不够。终端行为日志和网络流量数据是非常有价值的因素数据。能否收集到更多的全要素数据对安全态势感知能力至关重要，这也给我国的安全企业带来了巨大的挑战。如何在不影响终端和网络可用性的情况下收集终端和网络数据。

图:360高价值威胁情报生产能力

处置是关键:应用态势感知和安全操作的目标是减少mttd/mttr(平均检测时间/平均响应时间)，安全操作和维护人员总是在与攻击者赛跑:在攻击者对你发起攻击之前，完成防御策略调整，阻止或延迟其攻击；在潜入内部的攻击者窃取数据并造成损害之前，找到他，立即评估可能损失的范围和程度，并及时做出反应和处理，以避免造成真正的损失。只有完成及时有效的处置行动，才能完成闭环，真正解决安全问题。因此，处置是情境意识落地的关键，这就对情境意识系统的自动反应和处置能力提出了更高的要求。

人是保证:除了为客户提供数据和平台工具外，他们还应该帮助客户建立安全能力和培训安全人才，使客户的安全能力得到完善。态势感知和安全操作离不开安保人员的参与，安保操作和维护人员以及安保分析员也很少。有了数据，平台就建成了，没有合格的安全人员，平台和工具就不能使用，能力就不能真正落地，就不能获得安全的投资回报。如何解决安全人才问题？

左英南表示，360的使命是帮助客户有效解决安全问题，全面建立安全能力。安全人员也是态势感知和安全操作能力的重要保证。没有安全人员的参与，就缺乏安全能力。因此，我们为客户提供相应的产品和服务，帮助他们培养和培训安全人才。360企业安全集团推出“网络安全攻防训练基地”，内容包括安全态势感知、安全推进、攻防体验、安全训练系统、安全竞赛系统等。其目的是建立基于网络对抗的仿真平台，设计逼真的网络攻防环境，组织网络安全技能攻防竞赛等。，并迅速掌握网络安全相关知识，提高自己的实战水平。

除了攻防训练平台，360企业安全还拥有中国第一个网络安全演习解决方案——360对抗演习，旨在测试和提高防御系统的有效性。通过红、蓝、紫的实战演练，从安全技术、管理和运行等维度，发现企业安全防御能力存在的问题和缺陷，有助于企业不断完善安全体系建设，增强应对新出现威胁的能力。

红、蓝、紫代表不同的角色，其中红军是企业的内部保卫人员，负责内部保护。蓝军是企业的外部安全人员(白帽子)，负责外部攻击。王子君是企业的外部教练(360人)，负责演练指导、过程监控、全过程指导、应急响应、活动总结等技术咨询。通过平台训练和对抗演示，安保人员可以积累实战经验，在真实的对抗环境中快速成长，同时可以测试态势感知和安全操作能力是否真正落地。

左应南认为，对于中宣部和中宣部来说，只有在中宣部真正具备情境意识的三个要素时，才能“敢于”向领导展示宏观层面的“大屏幕”。

来源：搜狐微门户