态势感知
what
SA,Situational Awareness
是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。
why
安全防护思想已经从过去的被动防御向主动防护和智能防护转变。如果不做到主动防御很难应对APT(高级持续性威胁)
-
安全建设的目标从满足合规转变为增强防御和威慑能力
-
攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。
-
对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。
how
态势感知的三要素即感知、理解和预测
利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。(DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等)
通过威胁地图直观展示在全球范围内面临的威胁和最近发现的威胁事件,便于管 理者能及时发现威胁,预判全网安全走势。提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平
SA与其他安全服务的关系与区别
SA本身不做具体的安全防护行为,而是作为安全管理服务,依赖于其他安全服务提供威胁检测数据以及安全防护设备日志等信息,进行安全威胁风险分析,呈现全局安全威胁态势,并提供防护建议。
其他安全服务将检测到的危险数据处理的同时,将这些数据同一汇集在SA呈现全局态势
同ERD区别与联系
(Endpoint Detection and Response,端点检测和响应),在端点设备安装轻量级数据收集工具或代理来收集数据,针对端点设备的恶意活动,基于安全团队设置的预定义规则,或者机器学习算法随着时间的推移学习,来实现自动响应。
按我的理解EDR就是传统pc杀毒软件+主动防御(事先监控阻断未知威胁)+可以被统一监管与设置个性化安全策略
联系
-
数据源:EDR和动态感知都依赖于各种数据源来进行安全事件分析和检测。EDR主要依赖于终端设备上的数据源,如注册表、日志、网络连接等;而动态感知主要依赖于网络流量数据、入侵检测系统(IDS)警报、威胁情报等数据。
-
分析方法:EDR和动态感知都使用先进的分析方法来检测和响应安全事件。EDR常使用行为分析、异常检测和威胁情报比对等方法;而动态感知常使用流量分析、机器学习、行为模型等方法。
-
综合安全:EDR和动态感知可以结合使用,提供更综合的终端和网络安全保护。通过集成EDR和动态感知,可以实现从终端到网络的全面威胁检测和响应,提高整体安全防御能力。
以上仅从单一方面介绍了SA的基本情况
具体参考
成长地图_态势感知 SA (huaweicloud.com)
(eBook)网络安全态势感知 - 华为 (huawei.com)