一、Gartner对中国态势感知平台的简述
终于,在2022年3月,得益于对中国本土市场的重视,Gartner对外发布了一份描述中国态势感知解决方案常见的2个应用场景的快速问答报告。这是Gartner第一份有关中国态势感知市场的报告,尽管比较简要。
报告指出,中国的态势感知平台依托集成化的SIEM的部署来获得对当前安全状态的更情境化的视图。报告列举了态势感知解决方案两个典型的应用场景:满足等保2.0的3级及以上的安全运营要求,为顺应供应商整合趋势而为用户提供整体打包的安全运营解决方案。
报告认为,态势感知解决方案是现代 SOC的集中式“一体化”技术和“智慧大脑”,可帮助安全和风险管理 (SRM) 领导者和 SOC 团队全面了解威胁、风险和漏洞,包括监控漏洞,检测网络攻击和威胁,分析行为和异常情况,应对网络安全事件。
笔者认为,这两个用例分别代表了中国态势感知市场的外部驱动力和内在驱动力。如下图是笔者近几年常用的态势感知建设驱动因素图:
Gartner在这份简报中指出:“中国的态势感知解决方案大多是从传统的安全事件和事件管理 (SIEM) 演变而来的。它们是现代 SIEM 平台,提供除传统SIEM之外的更多功能,例如网络资产管理、威胁情报、漏洞管理以及用户和实体行为分析 (UEBA),以简化跨模块的流程。”
简报还给出了一个态势感知解决方案的概念架构图,如下:
上述描述和架构图,与笔者早先对态势感知的描述性定义基本吻合。这里给出一个修订后的定义:
网络安全态势感知平台以特定网络空间资产及上面运行的业务系统为保护对象,整合分散的安全防护、检测和响应技术,持续收集目标对象的资产数据、运行数据、脆弱性数据、内外部安全情报、日志及流量数据,及各类情境数据,进行多层次安全分析,从多个维度持续监测、评估和预测网络安全安全状况,有效识别各类风险,即时预警、告警与情报分享,进行编排化协同响应,达成对目标网络安全的防护,并进行有效性验证。
简言之,网络安全态势感知平台能够支撑运行人员实现态势数据的采集、分析、决策、行动和验证的闭环。
进一步分析Gartner对态势感知的理解,可以明显的感受到以下几点:
1)态势感知平台是一个面向多安全要素的综合性的、全方位的态势感知平台,至少融合了资产态势、漏洞态势和威胁态势。同时,也明确提出了要形成总体态势视图,以及具体(分视角)的态势视图。
2)目前态势感知平台主要依托于SIEM来建立。此外,当前态势感知范畴内的功能与SIEM范畴之内的功能高度重叠。态势感知从要素信息的采集、分析、存储到展示,每个环节都融入了SIEM平台。
2)态势感知要闭环。Gartner将以SOAR为代表的响应能力作为可选模块,以实现态势感知的闭环,也就是笔者经常讲的“从态势感知到有效防护”。
最后,笔者感觉Gartner略有不足之处在于没有明确指出态势感知解决方案是一个融合平台技术、人员和流程的有机体,而仅聚焦于平台技术了。
延展开来,Gartner此时对中国态势感知市场多少算一个小结,因为此时态势感知市场已经如火如荼。从最早(2019)IDC首次定义中国态势感知市场,到赛迪出具态势感知分析报告(2020),再到现在(2022)Gartner定义中国态势感知市场,以及2020年启动目前尚在制定中的国标《网络安全态势感知通用技术要求》,态势感知在2019年以后才真正发展起来。
二、态势感知的未来演进方向探索
未来的态势感知将如何演进?很多人给出了自己的解答,笔者也进行了一番思考,认为应回到态势感知的本源。
下图是态势感知的学术界泰斗Endsley的论文中的图,展示了动态决策中的态势感知模型。
如上图所示,我们通常讨论态势感知的理论基础的时候,多仅仅引用上图中态势感知的三阶段模型(察觉、理解和预测),而未将其放到动态决策的大背景中。如此一来,导致很多时候忘记了做态势感知的目的是什么。
正如笔者之前多次指出,态势感知的目标是实现有效防护!也就是说,态势感知要闭环。结合上图,就是:态势感知的目的是为了做出决策,执行行动。然后重新感知态势,做出新的决策和行动。
态势感知是一个典型的OODA模型。
进一步分析,业界一直在说防御体系建设要从静态向动态转变,从被动向主动转变,从单体向多体转变,从孤立向协同转变,从简单纵深向复合纵深转变。简言之,就是动态防御。而这正是态势感知要提供的能力,通过态势感知获得态势决策,执行行动。对此,业内先驱大轴老师在《网络空间安全防御与态势感知》一书中有详细阐述。
回过头来看看当前的态势感知在服务于态势决策方面做了些什么。可以下从两个角度进行阐述:
1)从产生决策的角度来看,当前的态势感知基本停留在态势察觉(perception,或者叫观察)的层次上,少量涉及到态势理解的部分,基本都无法形成完整的理解,而态势预测更是稀少,有些基于统计的预测就不错了。最后的结果就是难以产生态势决策,也就无法形成行动,实现防御闭环。此外,当前的SIEM中的技术栈支撑也都难以提供更高水平的态势决策能力。
2)从决策后的行动角度来看,当前的态势感知平台对于决策基本上无法付诸行动,也缺乏执行行动的技术支撑,难以形成响应到再感知的闭环。
也就是说,当前的态势感知以发现问题为主,而在如何解决问题方面有所欠缺。
基于上述讨论,笔者提出一个观点:
当前的态势感知是面向察觉与可视化的,而未来的态势感知将是面向决策的、可运行/运营的。 |
未来的态势感知是面向决策的。系统功能设计侧重于形成态势决策。进一步地,要形成两类决策:宏观决策和中观决策。宏观决策是策略级的响应,是对当前整体安全防御保障等级的调整,对应一系列与该等级相关的意图、策略、规则和配置集合,通过人机结合的方式执行下去。策略级响应的态势感知迭代周期通常较长。中观决策是战术级的响应,是对当前某个具体的安全事件的综合研判后的响应行动(包括处置、调查、追踪、溯源等),通过人机结合(机器优先)的方式快速迭代执行下去。
未来的态势感知是可运行/运营的、实战化的,态势运营是安全运营的一部分。未来的态势感知平台将可以进行决策或者辅助决策,有良好的人机互动,实现人在回路之上的闭环(大轴称之为“人在控制闭环之上”,详见《网络空间安全防御与态势感知》一书)。而正因为形成了闭环,就具备了运行/运营的可行性。同时,态势感知的闭环要纳入到整体的安全运行/运营之中,成为安全运行/运营的一个组成部分,有自己的相对独立清晰的技术依托、流程和岗位职责,此时可以称之为“态势运行”或者“态势运营”。
如果我们把当前的态势感知称作态势感知1.0,那么面向决策的态势感知就是态势感知2.0。
【参考文章】
声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。