專業視角 | 利用態勢感知幫助組織「看見業務、看懂威脅、看透風險、輔助決策」

來自專欄 微言小偏見

專業視角：利用態勢感知幫助組織「看見業務、看懂威脅、看透風險、輔助決策」

文 | 賀雅慧

一、什麼是態勢感知

態勢感知是一種基於環境、動態、整體的洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應預警能力的一種方式，最終是為了決策與行動，是安全能力的可視化與落地。

二、誰需要態勢感知

互聯網+時代安全形態快速發生變化，傳統安全邊界逐步失效，APT、零日漏洞、DDOS、針對性攻擊等全國性大規模安全事件層出不窮，且愈演愈烈。《網路安全法》第三十一條明確指出，對國家重要行業和領域等關鍵信息基礎設施，應實行重點保護。

因此，實現重要行業和領域的安全態勢感知，尤其針對關鍵信息基礎設施的安全態勢感知迫在眉睫。

三、國內外態勢感知趨勢分析

權威IT研究與顧問諮詢公司Gartner在2017-2018安全趨勢報告中提出的模型中，圍繞用戶、系統、負載、網路等持續可視化，覆蓋防禦、檢測、響應、預測四個維度，適應不同基礎架構和業務變化，形成統一安全策略應對未來各類攻擊。Gartner預測到2020年，信息安全關注點將從防範措施轉移至監控和情報，60%的安全預算會投入到檢測和響應中。

美國網路態勢感知發展戰略：政府主導（制定國家級戰略規劃，部署國家性大型項目）+軍方協同（強調網路空間的態勢共享和實時感知，突出發展可視化能力）+業界支撐（技術創新能力顯著提升，基於大數據分析的態勢感知產品湧現）。

國內大部分系統安全定級工作已完成，基礎防護工作相對紮實，為未來態勢感知平台建設提供了良好的數據基礎。國內信息安全服務商態勢感知平台服務於企業或政府本身，多集中在基礎設施層，尚未上升到行業生態高度，未關注重要業務及關鍵數據層面的態勢感知。

四、太極安全態勢感知監控預警通報平台

以太極「業務+數據定義安全戰略」為目標，充分借鑒Gartner自適應防禦體系「防禦、檢測、響應、預測」思想，從業務、數據、信息基礎設施三個維度搭建太極態勢感知監控預警通報平台框架，實現安全態勢感知與預警通報。

業務安全態勢：分析業務健康性（全局業務風險、各業務區業務系統風險趨勢）、業務系統視圖下的資產安全態勢、核心業務系統安全態勢等。

數據安全態勢：分析數據分級分類分布情況、數據總量與增量、數據面臨風險與威脅、數據使用情況等。

信息基礎設施安全態勢：分析主機/系統安全態勢（資產分析、風險分析、入侵診斷等）、網路安全態勢（全網流量狀態、關鍵節點流量狀態等）、策略安全態勢（安全域訪問策略、路徑分析等）、用戶安全態勢（特權用戶、普通用戶、用戶活躍度、異常行為分析）等。

安全預警通報：結合威脅情報、用戶異常行為監測等數據分析，對潛在威脅與風險進行分級預警及通報。

五、總結

安全態勢感知的建設是未來網路安全時代化被動為主動的核心手段。太極在信息安全行業積累多年實踐經驗，聯合行業雲安全聯盟中各聯盟商能力，構建安全態勢感知監控預警通報平台，服務重要行業與領域的政府及企業用戶，協助用戶實現「看見業務、看懂威脅、看透風險、輔助決策」。

長按圖片關注「踏實實驗室（微信號：TS-SecLab）」，獲得後續更多精彩更新：