态势感知是什么?
态势感知概念在网络安全行业很流行,真正意义上的态势感知到底是什么?
念势感知是一种基于境的、动念、整体地洞态安全X险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)"。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
网络空间安全态势感知是目前计算机应用领域的热点研究内容。开展对网络安全空间态势感知的研究,对于提升当前网络空间的整体安全水平有着重要的意义。网络空间安全态势感知可以对网络空间中各种活动进行辨识、理解、评估,并可以为网络安全维护人员提出科学建议、制定相应的安全响应决策。
态势感知的概念最早在军事领域被提出,覆盖感知、评估和预测三个层次。并随网络的兴起而升级为网络态势感知。Bass 于 1999 年首次提出网络态势感知的概念,并且指出,「基于融合的网络态势感知」必将成为网络管理的发展方向。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。
随着互联网规模的扩大,承载业务逐渐增多,人们在享受网络便捷的同时也被一些不怀好意的人时刻注视着,看似风平浪静,实则波涛汹涌,随时都有可能在某个时间内掉入陷阱。也许我们当下使用的系统正在被别人控制、操作。2013 年斯诺登棱镜门事件震惊了全世界。根据斯诺登爆料,美国对全世界包括中国在内的国家进行 24 小时监控,包括对网络、卫星、通信的监控。2010 年 11 月爆发的针对伊朗核设施的「震网」病毒,通过离线入侵核电站工控软件,挟持控制发动机转速,使得伊朗在短时间内损失了约五分之一的离心机,迫使伊朗核计划延迟。
从斯诺登事件与震网病毒中让我们清醒的认识到,传统的网络攻击方式已经由在线攻击转变为离线攻击与在线攻击的混合攻击方式,攻击方式与手段更加复杂,受不同利益驱使,网络安全态势不容乐观,无论个人、团体都应该清楚的认识到自己所处的网络空间环境。
一、shodan 解决方案
态势感知是以安全大数据为基础,安全企业对于态势感知的研究必定是基于海量数据,如何获取这些大规模数据成为态势感知发展的突破点,以国外着名的 Shodan 搜索引擎为例,简要介绍以 Shodan 为代表的网络空间安全搜索引擎的工作原理以及在态势感知中可以发挥的作用。
Shodan 所记录的数据都是连接入网的硬件设备,所以就会忽略掉一些网络中间件,然而网络中间件往往会是威胁爆发的源头。黑客会利用网络中间件漏洞进行利用攻击,例如我们当下使用广泛的开源 web 服务器 Apache Tomcat,攻击者可以利用漏洞上传一些恶意的 JSP 文件到 tomcat 上运行,然后执行命令。这就是利用「后门」来进行破坏。而这些漏洞只有在破坏产生或是被利用之后才会被发现。并未采取主动的态势预测手段感知威胁的存在,及早的发现漏洞,并通知网络安全人员进行修补。
二、Zoom Eye 解决方案
为解决上述提出的问题,国内一家公司提出解决办法,知道创宇在 shodan 研究的基础之上,开发出自己的一套产品——Zoom Eye,zoom eye 不仅继承了 shodan 的优点,全网获取有 IP 的设备,而且也提供操作系统层之上的所有中间件的信息。其中包括数据存储的 Mysql、SQL Server、redis;web 容器、各种服务端开发语言、前端开发框架,是真正层面上的网络空间。当网络中存在 0day 漏洞或是一些 APT 时,可以在第一时间协助国家有关部门进行威胁响应,并且还可以提前预估威胁可能带来的损失。只有这样,才能够将大数据与网络安全真正的结合起来,这也能让基于大数据的网络安全研究落到实处。
三、腾讯玄武实验室解决方案
腾讯也在网络安全态势感知研究中走在行业前列,其旗下腾讯玄武实验室开发完成了一套「阿图因」软件空间安全测绘系统(下图 1),该系统能够对全网软件进行自动发现、自动识别、自动安装、自动分析来得到整个互联网上的软件漏洞、脆弱性、下载污染源等安全信息,相关数据可提供搜索引擎式的功能提供人工检索,还可提供 API 供外部系统调用,并能够进行可视化输出。
阿图因系统与传统漏洞挖掘方式不同,研究人员在某个软件中发现漏洞,只需要将漏洞特征添加到系统中,就可以自动的在全网范围内发现含有该漏洞软件。例如,着名的「心脏出血」漏洞,除影响服务器外也影响了普通软件,但之前很难知道世界上到底有哪些软件存在该漏洞。而在阿图因中,相关数据一目了然,另外,在阿图因中以世界上所有主流杀毒软件为目标,对权限提升类漏洞进行检查,结果在 55% 的主流杀毒软件中都发现相关漏洞。
阿图因系统实现了对软件的全自动获取、安装、分析、存储。其中,获取、存储使用的是较为成熟的爬虫和数据库技术。而安装和分析两大功能中则实现了大量的突破和创新。阿图因大数据软件漏洞分析发现引擎分为三个部分,分别是爬虫发现引擎、动态自适应虚拟环境构建和专家策略集与深度学习系统,整个系统在大数据软件采集持续分析能力和专家系统能力规则库构建的支持下,面向金融、能源、通信、教育、政务、交通,六个行业覆盖应用和应急响应,实现了软件目标漏洞发现态势感知。
四、量子通信解决方案
由中国科学技术大学的潘建伟院士提出的量子通信技术,利用量子纠缠态理论,即量子加密的密钥是随机的,即使被黑客截获,也无法得到正确的密钥,所以也就无法得到正确的信息;再者,当通信双方互相拥有纠缠态的粒子,其中一个粒子的量子态发生变化,另一方的量子态会随之发生改变,所以当黑客的截取导致量子态发生改变,最终引起坍塌,致使传输的信息发生破坏。量子通信可以保证态势感知中的信息传输的绝对可靠性,但是在面对软件中或是设备中存在的漏洞时,量子通信解决不了其中的风险,特别是在漏洞挖掘领域,所以网络安全态势感知又回归到网络安全本身上来。