一、態(tài)勢感知簡介
1. 概念
態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風險的能力，是以 安全大數(shù)據(jù) 為基礎(chǔ)，從全局視角提升對安全威脅的 發(fā)現(xiàn)識別、理解分析、響應處置 能力的一種方式，最終是為了決策與行動，是安全能力的落地。
 
態(tài)勢感知的概念最早在軍事領(lǐng)域被提出，覆蓋 感知、理解和 預測 三個層次。并隨著網(wǎng)絡的興起而升級為“網(wǎng)絡態(tài)勢感知（Cyberspace Situation Awareness，CSA）”。旨在大規(guī)模網(wǎng)絡環(huán)境中對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預測，進而進行決策與行動。（獲取、理解、顯示、預測、響應）
 
態(tài)勢感知（SA，Situational Awareness or Situation Awareness）是對一定時間和空間內(nèi)的環(huán)境元素進行感知，并對這些元素的含義進行理解，最終預測這些元素在未來的發(fā)展狀態(tài)。當前，大家提到“態(tài)勢感知”時主要是指“網(wǎng)絡安全態(tài)勢感知”，即將態(tài)勢感知的相關(guān)理論和方法應用到網(wǎng)絡安全領(lǐng)域中。網(wǎng)絡安全態(tài)勢感知可以使網(wǎng)絡安全人員宏觀把握整個網(wǎng)絡的安全狀態(tài)，識別出當前網(wǎng)絡中存在的問題和異?；顒樱⒆鞒鱿鄳姆答伝蚋倪M。通過對一段時間內(nèi)的網(wǎng)絡安全狀況進行分析和預測，為高層決策提供有力支撐和參考。
 
2. 形象舉例
態(tài)勢感知的概念比較抽象，我們舉個例子來幫助理解：天氣預報 就可以理解為一種“態(tài)勢感知”。通過對某一地點的持續(xù)觀測和分析，我們可以預測未來一段時間內(nèi)的天氣。尤其是對重大災害天氣的預測，如臺風、霧霾、暴雪等，對我們來講尤為重要。通過提前進行人員和財產(chǎn)的轉(zhuǎn)移，準備相關(guān)抗災措施，可以大大降低災害帶來的影響，這就是進行“態(tài)勢感知”的重要目的。
 
3. 應具備的能力
(1). 網(wǎng)絡空間安全持續(xù) 監(jiān)控 能力，能夠及時發(fā)現(xiàn)各種攻擊威脅與異常；
(2). 具備威脅調(diào)查 分析及可視化 能力，可以對威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進行快速判別，從而支撐有效的安全決策和響應；
(3). 能夠建立安全 預警 機制，來完善風險控制、應急響應和整體安全防護的水平。
通俗來講，態(tài)勢感知從時間概念上可以被理解為：剛才發(fā)生了什么，現(xiàn)在應該做什么，接下來會發(fā)生什么，也就是態(tài)勢感知的根本任務，了解昨天、思考今天，預測明天。
 
二、為什么要態(tài)勢感知？
態(tài)勢感知的目的在于，全天候全方位 地感知網(wǎng)絡安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆。沒有意識到風險是最大的風險。網(wǎng)絡安全具有很強的隱蔽性，一個技術(shù)漏洞、安全風險可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。
 
現(xiàn)階段面對傳統(tǒng)安全防御體系失效的風險，態(tài)勢感知能夠 全面 感知網(wǎng)絡安全威脅態(tài)勢、洞悉網(wǎng)絡及應用運行健康狀態(tài)、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡攻擊溯源取證，幫助安全人員采取針對性響應處置措施。
 
為什么網(wǎng)絡安全態(tài)勢感知很重要？
隨著網(wǎng)絡與信息技術(shù)的不斷發(fā)展，人們的安全意識在逐步提高。我們已經(jīng)不再篤定認為自己的網(wǎng)絡是絕對安全的，相反的，我們認為網(wǎng)絡遭受攻擊是必然的、常態(tài)化的。我們不能阻止攻擊行為，但是可以提前識別和發(fā)現(xiàn)攻擊行為，盡可能降低損失。也就是說，安全防護思想 已經(jīng)從過去的 被動防御 向 主動防護 和 智能防護 轉(zhuǎn)變。
 
同時，物聯(lián)網(wǎng)和云技術(shù)的發(fā)展也是日新月異，很多顛覆性的新技術(shù)也引入了新的安全問題。例如海量終端接入、傳統(tǒng)的網(wǎng)絡邊界消失、網(wǎng)絡攻擊的隱蔽性和復雜度大大增強等，這都為我們提出了新的挑戰(zhàn)，也對網(wǎng)絡安全人員的能力也提出了更高的要求。
 
正是在這樣的背景下，以網(wǎng)絡安全態(tài)勢感知技術(shù)為核心的產(chǎn)品和解決方案得到快速發(fā)展。網(wǎng)絡安全態(tài)勢感知技術(shù)可以帶動整個安全防護體系升級，實現(xiàn)以下三個方面的轉(zhuǎn)變：
 
安全建設(shè)的目標從滿足合規(guī)轉(zhuǎn)變?yōu)樵鰪姺烙屯啬芰Γ⑶腋幼⒅貙剐裕@對情報技術(shù)提出了更高要求。
攻擊檢測的對象從已知威脅轉(zhuǎn)變?yōu)?nbsp;未知威脅 ，通過大數(shù)據(jù)分析、異常檢測、態(tài)勢感知、機器學習等技術(shù)，實現(xiàn)對高級威脅的檢測。
對威脅的響應從人工分析并處置轉(zhuǎn)變?yōu)樽詣禹憫]環(huán)，強調(diào)應急響應、協(xié)同聯(lián)動，實現(xiàn)安全彈性。
 
 
三、態(tài)勢感知系統(tǒng)的功能
檢測：提供網(wǎng)絡安全持續(xù)監(jiān)控能力，及時發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對性攻擊。
分析、響應：建立威脅可視化及分析能力，對威脅的影響范圍、攻擊路徑、目的、手段進行快速研判，目的是有效的安全決策和響應。
預測、預防：建立風險通報和威脅預警機制，全面掌握攻擊者目的、技術(shù)、攻擊工具等信息。
防御：利用掌握的攻擊者相關(guān)目的、技術(shù)、攻擊工具等情報，完善防御體系。
四、如何評估態(tài)勢感知的建設(shè)結(jié)果？
網(wǎng)絡安全態(tài)勢感知的建設(shè)結(jié)果可以從如下幾個方面進行評估：
 
防御：利用掌握的情報和資產(chǎn)摸底信息，完善防御體系，消除資產(chǎn)風險。
檢測：提供網(wǎng)絡安全持續(xù)監(jiān)控能力，快速、精準地檢測 出安全威脅。
響應：提供涵蓋終端和網(wǎng)絡的 響應 能力，支持攻擊取證、事件溯源和威脅修復等。
預測：通過對歷史安全情況、現(xiàn)網(wǎng)流行攻擊和情報系統(tǒng)進行 綜合研判 ，提供改進建議。
五、什么是態(tài)勢感知的三個層級
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”（1995）中，仿照人的認知過程提出了一個經(jīng)典的態(tài)勢感知模型。這個模型在當前看來雖然比較簡單，但卻是很多后續(xù)理論的基礎(chǔ)，人們一般稱該模型為Endsley模型（Endsley’s model）。
 
Endsley模型 將態(tài)勢感知分為 三個層級 ，分別是態(tài)勢要素感知、態(tài)勢理解和態(tài)勢預測。
 
要素感知（Level 1）：感知環(huán)境中相關(guān)要素的狀態(tài)、屬性和動態(tài)等信息。
態(tài)勢理解（Level 2）：通過識別、解讀和評估的過程，將不相關(guān)的要素信息聯(lián)系起來，并關(guān)注這些信息對預期目標的影響。
態(tài)勢預測（Level 3）：基于對前兩級信息的理解，預測未來的發(fā)展態(tài)勢和可能產(chǎn)生的影響。
 
 
四、業(yè)界的態(tài)勢感知產(chǎn)品
1. 安全狗 - 嘯天安全大數(shù)據(jù)及態(tài)勢感知平臺
2. 華為的態(tài)勢感知產(chǎn)品 - HiSec Insight
針對金融、網(wǎng)安、政府、運營商等大、中、小型企業(yè)，華為推出 基于大數(shù)據(jù) 的APT防御產(chǎn)品 HiSec Insight高級威脅分析系統(tǒng)（簡稱HiSec Insight）。HiSec Insight能夠 采集網(wǎng)絡中的海量基礎(chǔ)數(shù)據(jù) ，如網(wǎng)絡中的流量、各類設(shè)備的網(wǎng)絡日志和安全日志等，通過 大數(shù)據(jù)分析和機器學習技術(shù) ，識別網(wǎng)絡中的潛在威脅和高級威脅，從而實現(xiàn)對全網(wǎng)的安全態(tài)勢感知。
 
高級威脅檢測
HiSec Insight基于機器學習和大數(shù)據(jù)平臺，可以快速、準確地實現(xiàn)邊界和內(nèi)網(wǎng)的高級威脅檢測。
 
基于 多源數(shù)據(jù)分析，包括原始流量、日志、Netflow等信息。
基于 多種異常檢測模型，包括加密流量檢測、WEB異常檢測、郵件異常檢測、C&C異常檢測和隱蔽通道檢測等模型。
覆蓋高級威脅的 整個攻擊鏈，包括資源偵查、外部滲透、命令與控制、內(nèi)部擴散和數(shù)據(jù)外發(fā)等過程。
3. 百度智能云 - 昊天鏡智能風控
4. IBM - QRadar XDR
借助情報，自動執(zhí)行
 
使用專門構(gòu)建的 AI 和預構(gòu)建的手冊節(jié)省充實、關(guān)聯(lián)和調(diào)查威脅信息所需的時間，包括 自動根本原因分析 和 MITRE ATT&CK 映射 。 通過 自動分類 和 智能語境化 將調(diào)查速度提高 60 倍。
 
補充：根本原因分析可以綜合運用一系列原理、技巧和方法來找出 某個事件或趨勢的根本原因 。RCA 可以透過表層的因果關(guān)系，顯示流程或系統(tǒng)最初在哪個環(huán)節(jié)出現(xiàn)故障或造成問題。
 
根本原因分析的 第一個目標 是發(fā)現(xiàn)問題或事件的根本原因。
第二個目標 是全面了解如何修復、彌補根本原因內(nèi)的深層問題，以及如何吸取教訓。
第三個目標 是將從分析中獲得的見解應用到實踐中，從而以系統(tǒng)化方式預防各種問題，或者再次運用成功的做法。
 
聯(lián)合起來，提高可視性
 
與領(lǐng)先專家共同設(shè)計的簡單 XDR 工作流程，通過消除孤島并統(tǒng)一輸入和共享洞察，幫助加快警報分類、威脅搜尋、調(diào)查和響應。
 
與現(xiàn)有工具集成
 
一個大型開放式 XDR 生態(tài)系統(tǒng)將您的 EDR、SIEM、NDR、安全統(tǒng)籌與自動化響應 (SOAR) 以及威脅情報解決方案整合起來，同時將數(shù)據(jù)留在原處，并利用您當前的環(huán)境。
 
五、我的思考
態(tài)勢感知是基于大數(shù)據(jù)的，數(shù)據(jù)的豐富程度很重要，信息的收集和整合。海量數(shù)據(jù)的收集。需要多數(shù)據(jù)源的支持。（各種公開數(shù)據(jù)庫（安全事件、日志、流量、漏洞信息、威脅情報），實時數(shù)據(jù)，情報共享，數(shù)據(jù)聯(lián)合）
將海量的信息統(tǒng)一到 單一的管理視圖 當中，新發(fā)生的事件也可以加入進來（攻擊是不斷發(fā)展的，實時更新）。通過對多方面數(shù)據(jù)的實時觀測，最大程度減少攻擊噪音（減少誤報）。
業(yè)務驅(qū)動優(yōu)先，將 重要資產(chǎn) 上的活動的重要級提升上來。
信息數(shù)據(jù)的有效使用。
大數(shù)據(jù)分析需要機器學習技術(shù)的支持。（關(guān)聯(lián)分析）認知分析、機器學習幫助我們極大的壓縮威脅發(fā)現(xiàn)的時間，能夠快速識別異常。
報告警告的時機很重要。我們要盡量早地發(fā)現(xiàn)異常，但報警太早可能造成很多誤報。需要持續(xù)監(jiān)測，如果接下來還發(fā)生了異常事件就發(fā)出警報。