大数据分析技术助力态势感知

在日前举办的第七届运营商和互联网行业网络安全年会上，以安全大数据为基础的态势感知再次成为业内讨论的焦点。

网络空间安全形势发生变化

当前，IT基础设施正在发生深刻的变化，虚拟化技术、软件定义网络、移动办公技术逐渐从概念走向实际应用。云计算的兴起、BYOD（Bring　Your　Own　Device，指携带自己的设备办公）的普及，改变了传统的数据中心架构，也改变了办公方式，使得传统的网络边界变得模糊，甚至消失，这给传统的、以网络边界为核心的防护思想和安全产品带来了巨大的挑战。

相应的，安全威胁的形势也正发生变化。360企业安全集团副总裁左英男认为，网络攻击的实施者不再是个人，而是以明确的政治、经济利益为目的黑产组织、国家机构。攻击的手段和工具也日新月异，如渗透至内部发起攻击，“传统的被动防护战略思维已经不能适应”。

北京神州绿盟信息安全科技股份有限公司高级副总裁李晨同样认为，无论是传统的威胁，还是新兴的高级、有组织的定向攻击，都为当前企业的安全管理带来了非常大的挑战。

“国内对互联网安全的监测与发现能力长期缺位，形势相当严峻。”左英男认为，急需采用更积极的措施来应对这种变化，树立“监测、发现”的理念。

态势感知为企业安全“保驾护航”

去年的419网络安全和信息化工作座谈会上提出“没有网络安全，就没有国家安全”，“树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”态势感知首次被提升到了国家战略高度，并迅速成为网络安全领域的热点。

据介绍，态势感知不是SOC/SIEM（安全管理系统）的简单升级，而是经过彻头彻尾的改造，是使用大数据技术、威胁情报、攻击场景分析模型和自动化响应处置技术，给SOC/SIEM平台换了一颗更加强壮有力的心脏，使以事件和告警响应为中心的安全运营模式，转变为以威胁为中心，通过持续检测、分析研判、追踪溯源、响应处置等手段，以持续提升安全能力，持续降低MTTD/MTTR（平均检测时间/平均响应时间）为目标的新一代安全运营模式。

360态势感知安全服务团队去年在给一家从事大型工程建设的央企做态势感知服务时发现：这家央企财务部门有一台电脑，每天自半夜开始向南美某一个地域大量通信。但是，该央企在南美并无业务。在监测到这一危险信号后，360态势感知服务小组第一时间断网处置，切断危险信号，同时迅速加强防护措施，补上漏洞，最大程度为该央企减轻了损失。

“及时、高效的处置动作完成，才算真正解决了安全问题。这对态势感知系统的自动化响应处置能力提出了很高的要求。”左英男说。

大数据分析助力态势感知

“大数据分析技术对网络安全是彻头彻尾的改变。”左英男分析说，以前网络安全维护只能处理一些结构化数据，处理的量与类型有限。随着大数据分析技术的广泛应用，网络安全维护只有依托于海量数据和攻击场景与经验的积累，通过计算建模等方法，才能大大提升监测能力及自动响应能力。

与会专家们认为，态势感知系统一方面要尽可能具备全要素数据收集能力。除了资产信息、系统日志、安全设备日志之外，还要收集终端数据和网络流量数据等。另一方面，还要大量使用威胁情报，威胁情报的使用对于降低垃圾数据产生的噪音、提升威胁检测的效率极为关键。

但威胁情报来自哪里？质量和价值如何？决定着态势感知系统的落地能力。360企业安全集团通过6亿装机量的客户端安全软件，以及基于互联网众测模式的360补天漏洞平台，收集了中国最大的恶意代码样本库和中文漏洞库，辅以DNS解析库、存活网址库，形成了360的云端安全大数据。截至2016年年底，360威胁情报中心已经发布了36份APT（高级持续性威胁）报告。