态势感知理论及在行业的现状
态势感知
一、态势感觉定义
态势感知的概念最早在1988年由美国空军提出,是为了分析空战环境信息、快速判断当前及未来形势,以作出正确反应进而提升空战能力而进行的研究。上世纪90年代概念被引入了信息安全领域,之后围绕这个主题就不断出现各种研究和实践,最知名的如美国的爱因斯坦计划(正式名称国家网络空间安全保护系统 The National Cybersecurity Protection System,简称NCPS),爱因斯坦计划从2003年开始,到2013年开始第三期的建设,整个过程可以认为是美国CERT及后续DHS(国土安全部)对态势感知的不断探索。从美国的持续不断投入,就可以看出网络空间安全的态势感知,对于国家、行业而言有多么重要的意义。
美国国家安全系统委员会针对态势感知给出的定义是:“在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测”。从这句话我们也不难看出,态势感知是偏重于检测和响应分析能力的建设,这也确实是现实最迫切的需要。
二、态势感知模型
态势感知提出是在1988年有美国军方提出,到1995年美国把态势感知模型加入到动态检测模型中,并标明态势感知具有理解--》全面感知---》预测 三个特性。
OODA模型
美国在二十世纪七十年代美国陆军上校Boyd提出OODA模型。该模型最初只是用于军事目的。与Endsley动态策略模型是有本质区别的。但是也有很多的相似性。
OODA 中的观察(Oberve)和调整对应Endsley动态模型的situation awareness、决策(Decide)对应detection,以及行动(Act)对应performance of actions。
JDL模型
1984年,美国国防部成立了数据融合联合指挥实验室,提出了JDL模型,现已成为美国国防信息融合系统的一种实际标准模型。
JDL模型把数据融合分为三级:
1:目标优化、定位和识别目标;
2:态势评估,根据第一级处理提供的信息构建态势图;
3:威胁评估,根据可能采取的行动来解释第二级处理结果,并分析采取各种行动的优缺点。
归根到底,JDL模型是信息融合系统中一种信息处理模型方式。
与Endsley动态决策模型很相似。
如下是三个模型的对比,三个模型都是对军方提供决策支持的。
三、态势感知学术方面研究现状
在态势感知领域有两个会议非常有名气,一个是CogSIMA,另一个是CyberSA。
在态势感知领域的顶级会议中最著名的当CogSIMA莫属了,该会议从2011年开始每年都会有关于态势感知专题的讨论,非常有趣的是,在2017年的时候,态势感知会议的名称有了变化。变成了“计算态势管理”,对于这个变化官方也给了一个解释,是为了扩大受众群体和交流人群。让更多的人关注和感知态势感知。
CyberSA主要从2015年开始态势感知的专题,并且最近一期的举办在2019年1月份的英国,有想去的可以投稿啦。
态势感知方面的学术论文集。基本都是国内外顶尖会议的论文集,能够提高决策者对网络安全领域的态势感知与在更传统的领域中实现情境共鸣。
四、态势感知政府方面研究
对中国、俄罗斯、英国、美国等国家经过调研与研究。在态势感知方面只有中国和美国是非常重视态势感知。其中俄罗斯、英国、美国都是把态势感知当做一个手段,去解决网络威胁问题。从没有见过国外提起态势感知系统。但是态势感知系统,目前在国内很多厂商都在做态势感知系统。而且非常的火爆。
- 在2016年底,俄罗斯颁布的646号总统令---保障俄联邦国家信息安全的战略升级,大概13页,整个篇幅没有找到跟态势感知相关的关键词和词组。
- 在2016年,英国的国家网络安全战略中为了应对网络安全威胁,需要加强网络威胁感知,并重点研究在SOC(安全运营中心)产品中进行投入,来抵抗网络空间安全威胁。
- 在研究中只有美国是非常重视态势感知,并通过美国多部门信息共享框架增强态势感知,这些部门包括如下单位。
国防网络犯罪中心(DC3)
情报社区安全协调中心(IC-SCC)
国家网络安全和通信集成中心(NCCIC)
国家网络调查联合特遣部队(NCIJTF)
国家安全局/中央安全局(NSA / CSS)威胁行动中心(NTOC)
美国网络司令部(USCYBERCOM)联合行动中心(JOC)
美国国土安全部的爱因斯坦计划和2010年4月,国土安全部(DHS)受美国行政管理和预算局(OMB)委任,建立了持续监测技术参考框架。
这些的目的都是通过多个部门之间的联动实现态势感知的威胁预测。
持续监测技术参考框架,即持续资产评估、态势感知和风险评分参考框架(the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS)。框架包含传感器、数据库、分析/风险评分和展示/报告四个子系统。
五、态势感知公司方面的研究
在国外公司的资料中,没有发现国外的公司在研究态势感知系统。国外公司研究的都是威胁管理、威胁发现等产品,并没有看到国外的公司宣传他们做的是态势感知产品。
如下是在国内非常火爆的North官网的系统,国内非常多的公司在仿照这个系统做自己的态势感知系统,他说North官网从来没有说过他们做的是态势感知系统,
六、总结
通过态势感知调研得知,在国外态势感知并没有国内这么火、这么热衷态势感知,国外仅仅是把态势感知当做一个工具,作为一个威胁发现、威胁分布的一个小工具,国外更多的是把他当成某一个小系统的一部分。在国内,已经把态势感知塑造成一个无所不能的AI机器人,能够知道过去,预测未来。并对态势感知给予很高的期望值。其实任何系统系统都弥补不了人员的参与。
按照产品的角度。态势感知系统(国内普遍的叫法)是跟行业业务结合是非常紧密的。态势感知一定不能当成一个单独的产品去销售。态势感知一定是定制出来的,每个单位行业,对威胁关注的角度一定是不一样的,有差异化的。有个行业应该按照对行业的理解去做态势感知。厂商的人员是不知道你的业务需求的。
态势感知是在某一个领域的不同层面,帮助业务人员感知业务的风险和脆弱性,并对威胁进行及早预防和感知。
态势感知是具有预警能力,帮助业务人员第一时间对安全事件进行响应。
态势感知一定替代不了人的工作