「小李,我感覺隔壁老王看你老婆的眼神不太對」——態勢感知雜談

文章轉載自公眾號:Piz0n

原始鏈接:

雜談態勢感知

作者二次修訂並授權轉載至【安在】(ID AnZer_SH)

1. 起源

態勢感知的概念最早來源於美國軍方。而我們現在所談及的與「態勢」的預測相關的這一概念,據說是來自1995年Mica R.Endsley的論文(《oward a Theory of Situation Awareness in Dynamic Systems》)。其中,提到了「利用當前數據趨勢預測未來事件」的思路,這一思路即使利用大規模的已有數據進行必要的關聯計算和分析,形成未來態勢的感知能力,從而進行預警。

而在金融預測領域,類似概念應該也不算罕見,比如華爾街一直試圖在建立一套可對未來經濟態勢進行整體預測的模型,並嘗試從中牟利。而這都基於他們對人性的不懷疑——「人性是驅動歷史不斷repeat的齒輪」 ——但很可惜,即便人性不變,這個連愛因斯坦都無法解釋的混沌型的世界依然給了他們一記重重的上勾拳,他們遭遇了黑天鵝。

2. 狹義理解

因為態勢感知可理解的範圍過於寬廣,所以只能說說安全行業里對態勢感知的狹義理解。

差不多的含義也就是——通過對歷史事件的分析,並在掌控現有目標資產、業務、人員甚至安全事件的前提下,跟蹤和分析當前事件以實現對其走勢的跟蹤和提前防治。

這不是什麼標準概念,而是我對已見過的態勢感知方案的一種融合—— 當然,僅僅是融合,並不意味著我贊同。

3. 黑天鵝

最早歐洲人以為,天鵝都是白色的——你看,《天鵝湖》不也都是穿著白衣。

直到那個月黑風高的殺人夜……一群綠色的光亮點在湖面飄逸著,走近才發現,原來是一群黑色的鴨子——哦不,黑色的天鵝。

現在呢,黑天鵝就是指著市場上總是存在著不可預知的事情 —— 多用於股票市場。

說回態勢感知。

預測這種事本來就是有失誤的,失誤之中是黑天鵝,所以很多看來很簡單的事實結果卻因條件限制而無法製造預測條件的事件,其實在原來看來也是黑天鵝(參考《黑天鵝》)。

黑天鵝本身是在進化,預測手段推進了黑天鵝事件的進化,如果只是單純靜態的看不可預測事件,就無法讓預測手段成長 ——我們可以理解為,手段總是在追著未知跑,一旦未知變為已知「預測這件事」也就沒有存在的意義。

所以,帶有「預測性」的東西,再美好也是不可信的。不可預測的終究是難以預測的。

4. 「態勢」不是「事件」

「小李,隔壁老王趁你上班去你家了」——這是事件;

「小李,我感覺隔壁老王看你老婆的眼神不太對,你要多關注」——這是態勢;

其實,想聊態勢感知,路口右轉找黃半仙最合適——大師們從來都會告訴你「10日之內必有血光之災」,而不會說 「3天5小時27分之後,你家出門第二個紅綠燈右轉時,一輛時速 8km/小時的兒童三輪車正好撞上你的痔瘡」。

所以可以說,事件是必然性的結果,即便是預測事件也應該是精確度較高的一種推測——這更像是用數學公式推算出一個確定性的數字。而態勢是趨勢,加上感知兩個字後那就是對趨勢的預測。

這就引發了很重要的一個怪異現狀:比如現在我們所見到最多的態勢感知系統,其所作的不是趨勢分析和預測,而是對現有事件的告警和說明。

說到本行的話,也許更多希望的應該是這樣:

l 不要光告訴我哪個區域出現了多少次攻擊;

l 我更希望知道攻擊的走勢是如何(比如有這麼幾個維度,跟著技術走、還是跟著目標走、還是跟著敏感事件走?);

l 根據我們這個團隊的歷史響應情況來看,響應上會存在多少盲點以及無法及時跟進而導致的事件;

l 這些導致的事件最可能發生在什麼區域;

l 最終的影響如何(歷史上來看,掛了一片,下崗一堆等等);

l …………

以此,我會決定是否需要對攻擊進行深度分析和跟蹤,是否需要調配更多人員,是否需要在哪些區域提前部署力量等等。

5. 消除與度量

由此上面所說的,還引申出一個新問題,那就是態勢的消除還是不可測量的。

黃半仙告訴你10日之內必有血光,花200塊來消除一下吧,在你把兩張紅票子交到半仙手裡的時候,你的災就已經消了 —— 但是… 該如何證明呢?

信則有,不信則無。

6. 「態勢」與「情報」

情報是一種基於公開或非公開信息的必然性較高的預測,所以情報更貼近於事件,「事件到決策的判斷過程」相對於「態勢到決策的判斷過程」要更為簡單。

關於情報的趣事非常多,這裡推薦這篇知乎文章:歷史上有哪些通過公開的信息做出精彩情報分析的真實案例(歷史上有哪些通過公開的信息做出精彩情報分析的真實案例? - 政治)。

由這些實例可知,情報是用於輔助決策的半成品,而好的情報甚至可以直接用於決策。

7. 自說自話的羅生門

態勢感知與情報和事件不太一樣的地方應該是——態勢感知是反映趨勢的、是動態的、可預測的,所以它需要更多的事件、更多的情報以及很多很多的歷史數據才可以完成的。

因為態勢感知更需要通過大局來跟蹤和決策,所以雖然都是決策,而態勢感知更像是戰略決策,情報更有可能是戰術決策,必要的時候,戰術是需要服從戰略的。

但是,一旦需要聚合多類、多條元素來完成一個態勢的跟蹤和分析,羅生門就不可避免。

《大數據時代》里已經給出了很多的例子,因為需要分析數據的基數龐大,加上雜訊數據,很可能大家分析出來的結果是千差萬別的——所有人都會向自己有利的方向去挖掘和分析。

比如,2013年有一組數據(我人肉出來的,個人版權)

這裡提取了61萬個被黑網站及這些網站被掛上的被黑頁面,然後按照被黑頁面的特徵進行分類,被黑頁面相同或相似度極高的話,則認為這些黑頁來自同一個黑客(此部分的「黑客」泛指這些黑頁背後的個人或組織,以下不再強調),那麼,這算下來的話,61萬個站點實際上只被掛上了6769個被黑頁面(存在著一個黑頁掛到很多個網站上的情況),然後根據這個數字來勾畫出上面這樣一張圖——這張圖裡,橫軸每個點代表了一個被黑頁面,縱軸代表了這個被黑頁面掛到了多少個被黑網站上面(因為整個數據圖較大,所以這裡只截取了部分)。

這樣還不夠,如果這裡我再劃一條線,某一個黑客黑掉的網站少於3000個在線下,多於3000個則在線的上方,則得出兩組數據:

· 6150個黑客黑掉了近7萬個站點

· 而619個黑客黑掉了54萬個站點

接下來就有意思了,可以用很多視角去解讀這組數據:

視角 1. 少數的黑客幹了更多的壞事(就好象巴萊特的2/8定律一樣);

視角 2. 或者說,勤奮的黑客很少,只有619個(這樣就以「黑掉這些站很輕鬆,只是需要耗費體力而不是智力」為前提)

視角 3. 還能說,少數黑客發現了多數問題並吃了第一口蛋糕,而多數人只是scriptkids,只能拾人牙慧去搞那些「少數黑客」看不上的站(但實際上,那7網站站更有價值還是那54萬網站更有價值,誰都不知道)

視角 4. 還有一種性價比論,即,如果我掌握了那619個人的作戰方法,恐怕我就可以避免88.5%(54萬除以61萬)被黑了,而處理619個的代價要遠小於6150個(但實際上,這和上面一條是有潛在衝突的,如果619個黑客真的是高級黑的話,恐怕處理6150個的代價會更小一些)

視角 5. 當然,可以當作殺手鐧的說法——只有屌絲黑客才會去黑站掛黑頁

也許很多視角之間並不存在衝突,但是當某個視角被人從數據中抽取出來後都會因為龐大數據作為其靠山而變得絕對化,這應該也是數據分析所帶來的附加傷害吧。

8. 不是尾聲的尾聲

本文僅是對態勢感知的各個方面做了一些零碎的拼湊和個人意見的描述。不成什麼體系,也沒有解決實際問題,只是希望在態勢感知這股亂世狂潮中能帶來一些啟發。

推薦閱讀:

ARP 斷網攻擊的原理是什麼?如何完全防護?
如何封殺掉P2P網路終結者?
有哪些影響互聯網界的重大安全事件?

TAG:网络安全 | 黑客Hacker | 企业安全 |