態勢感知三要素缺一不可

據悉360安全態勢感知系統已經在全國多地監管部門、金融等重要行業和大型企業落地實施。360企業安全集團副總裁韓永剛在接受媒體采訪時表示，態勢感知是一種基于環境的、動態的、整體的洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

態勢感知必備三大核心

韓永剛介紹，目前態勢感知主要有三大應用方向：一類是監管機構，更多從國家層面，或者是省市大地域層面，關注跟國計民生相關的關鍵信息基礎設施，對它們的安全態勢進行整體的監測與關注。還有一類是大型行業，如政府、金融、大型企業，他們從自己的體系內部去做態勢感知，首先是其內部系統的安全運營，發現重要威脅，解決問題，把安全能力，通過態勢感知這樣的體系和平臺去落地。這些大型機構也會有很多分支或二級單位，也需要通過態勢感知對這些單位進行外部監管，以提升整體的安全狀態的掌握能力。同時與監管機構進行在事件應急處置及威脅情報方面的合作。最后一類是機構或企業內部的態勢感知，對自己內部有價值的核心資產、業務系統，從日常的安全工作角度出發，發現各類威脅與內部異常違規，保證業務系統能夠比較平穩、順暢的運行，更偏向內部安全的運營型能力的落地。

“態勢感知系統是個體系，需要結合新技術、數據、系統平臺和人的能力”，韓永剛認為一個完整的態勢感知系統需要包含以下幾大核心部分：首先是對整個周邊安全態勢要素的完整獲取，也就是對數據的理解和獲取、采集的能力。比如流量數據的還原與監控、云端數據的理解、掃描類的數據、各類日志數據等。把來自不同的源頭、不同類型的數據融合在一起、產生關聯，通過進一步分析去發現問題。這也就要求一個大數據平臺能把海量數據高效地存儲與計算處理，在此基礎上做深度的安全檢測、事件捕獵、調查分析，發現、定位、溯源安全事件。尤其在安全數據分析上，是著重應該加強的地方。具備多維度的安全分析工具平臺與能力，才能夠真正捕獲威脅與攻擊，甚至溯源攻擊背后的情況。這時深度的多維度數據關聯分析、基于語義分析的檢測引擎、可進行人機交互式的調查研判平臺、可視化分析、威脅情報技術、特定問題的機器學習都成為有力的武器。

態勢感知先行者

“360之所以成為態勢感知領域的先行者，安全大數據能力最為重要，”韓永剛稱，在為客戶建設態勢感知系統過程中，在數據層面，360企業安全會分成兩個層面進行。在客戶機構內部，幫客戶建立輕量級的安全大數據平臺，進行基礎數據的采集、處理，從流量、系統、應用各個層面盡量細致地把這些數據匯集。

同樣的，在這個系統平臺之上，360企業安全也幫助客戶建立安全持續監測 — 通報預警— 分析研判—快速處置—態勢感知—追蹤溯源的業務流程閉環。

另一個層面，在態勢感知中，外部數據產生的作用也非常大。這里的“外部的數據”，是指從互聯網層面上的看的數據。企業看到內部的一些單點事件，在外部可能曾經發生過，并有各種關聯。一些技術比較高超的攻擊者，甚至是APT攻擊組織，在進行攻擊的時候，其實很多利用的資源，或者是用過的手法，在外部的互聯網上都會有一些痕跡。通過不同的數據維度，時間維度，把這些線索串聯起來，就能形成威脅情報體系。360在生產、研究這些情報的時候，會用到很多基礎數據，比如樣本數據、DNS數據，都是上百億的數據量。把這些不同維度的安全數據匯集，再去做挖掘、分析，在更廣的互聯網領域里去做拓展和溯源。這個過程中會用到外部的大數據的體系，把這兩個體系結合，能夠對態勢感知實現更好的落地效果。

韓永剛認為，建立態勢感知系統首先要明確目標、范圍和目的，梳理清晰要監測與防護的最關鍵業務資產或機構，然后應用合理的技術從微觀層面獲取完整的安全要素數據，這些數據拿到的越全，對威脅發生的過程、攻擊鏈條看得就更全。再結合態勢感知的系統平臺、來自外部安全大數據的情報能力，從中觀層面來分析數據、發現威脅與異常，做到結合安全服務來落地安全能力。而這些也是360天然獨特的優勢。所以態勢感知不只是宏觀層面的大屏展示或“地圖炮”，更應該是結合微觀與中觀層面的安全數據、平臺、安全能力。