新形势下,态势感知面临的挑战及应对研究
|
通信世界网消息(CWW)近年来,全球网络安全威胁形势变化多端,新型攻击手段变得更加复杂和隐蔽,传统的安全防护手段难以满足新技术的快速更新,网络空间安全事件对5G、工业互联网、物联网等新型基础设施所造成的破坏威力日益显著。 安全风险的严峻性带来对安全管理理念转变的思考,针对“新基建”的保护更趋于向主动有效的全方位体系化防护工作模式发展,威胁感知、主动防御、追踪溯源成为了安全防御的重点。提高态势感知能力可以快速、有效地识别和处理安全威胁,实现网络安全态势全面、精准地展现,提升“新基建”安全防护水平。 随着“新基建”安全建设备受关注,我国提高了对主动防御能力的重视程度,与之相应的需求也逐渐增加。本文将阐述具备态势感知及其防御能力的必要性,并分析现阶段面临的主要挑战及应对策略,以期为推进新形势下态势感知能力的提升点明新的研究方向。 态势感知愈发重要 国家高度重视态势感知能力建设 我国发布了多项网络安全态势感知相关文件,一是提出了关键基础设施防护工作中运用态势感知的要求。2014年12月,《关于全面深化公安改革若干重大问题的框架意见》指出,应“推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制”。二是强调了关键信息基础设施保护工作对网络安全态势感知关键技术有着迫切的需求。2017年6月,《中华人民共和国网络安全法》中规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”,强调利用技术手段展开态势感知、追踪溯源等重要工作,保护关键信息基础设施安全。 态势感知为“新基建”提供主动有效的全方位体系化防护 “新基建”涉及通信、电力、交通等多个行业,覆盖5G、特高压、大数据中心、人工智能、工业互联网等重点领域,其面临的威胁面也同步扩大,需要快速获取大安全环境下的多方威胁信息并进行及时处理。态势感知可以基于环境对安全风险进行动态、整体的分析,从全局视角提升安全威胁的发现识别、理解分析、响应处置能力,其覆盖的广度与深度满足“新基建”安全防护的需求,打造全局态势感知体系已成为工业互联网安全、物联网安全建设的重要趋势。此外,多家安全企业也不断开发升级态势感知系统,以有效提升“新基建”网络安全防护。如:华为开发了基于自进化AI的安全态势感知系统,可应用于“新基建”下5G、工业互联网、大数据中心等广泛场景,大幅调高威胁检测的精准率。 “新基建”下,态势感知面临的挑战 随着“新基建”的加速发展,广泛应用场景的安全需求各有差异,态势感知体系仍需进一步优化升级,且市场上大部分设备仅能实现可视化的展示,威胁态势感知的能力并未得到有效发挥,态势感知的实际运用仍面临问题和挑战。 海量数据的冲击大幅提高溯源难度 5G、人工智能、云计算、大数据、物联网的加速发展使“新基建”催生海量数据。据IDC预测,全球数据圈2025年将增至175ZB,中国或将成为全球最大的数据圈。数据的增量将带来更多的安全隐患,以5G为例,预计未来每平方千米可能超过100万个连接数,智能终端设备规模成倍扩大,物联网设备延展连接,技术架构不断演变,使排查网络入侵的源头变得越发困难。目前市场上的态势感知系统溯源能力较为薄弱,大多数情况下,防御只做到了感知攻击存在,但是对于何时攻击、受害“点位”、攻击者真实身份、意图等一无所知,加之复杂的数据使信息处理更加困难,这些问题都将成为追踪溯源、强化态势感知防御能力的挑战。 应对“新基建”安全风险的工作机制有待加强 新形势下态势感知的工作机制主要面临以下问题。一是零散式的“漏洞扫描+修补整改”的工作机制难以抵御复杂环境下的安全威胁,防御系统下各子系统之间的耦合度较低,导致信息要素共享不及时,各系统视角片面,无法完整还原体系化的网络攻击链条,影响对新型基础设施安全风险的全局性判断,缺乏具有动态特性的积极防御能力。 二是模型和工作机制的更新速度赶不上技术和多面威胁的快速演化。技术的快速发展导致网络架构随之变化,攻击检测特征的数量和类型呈指数级增长,影响态势感知的理解和预测,且不断形成并维持最新的有效认知机制这一过程较为漫长。 安全保障人员缺少实战经验影响防御工作有效推进 安全保障人员缺少实操经验,对于突发事件的快速响应能力较低。一方面,对于新手和处于新态势中的操作员而言,可能因无法对大量可用信息进行有效整合和处理,造成整体态势感知水平降低,即使能够读取可用的显示信息和日志,也不能意识到数据的含义,无法理解正在发生的网络攻击及可能产生的影响。另一方面,人才培养与实际需求脱节,态势感知防御技术水平滞后。目前缺少训练有素的安全分析人员,所能接触到的实操训练较少,所学的安全防护技能跟不上实时更新的现实网络攻防需求,导致配合度较低,产生“人在闭环外”的问题,降低态势感知的防御效果。 态势感知及应对解决方案 为有效应对态势感知所面临的挑战,笔者简要分析“新基建”下态势感知可能面临的机遇,以及适应新威胁、以溯源为核心的信息融合威胁态势感知防御模型,为进一步提高态势感知防御能力形成研究基础。 微宏观结合的防护模式可扩大安全防护覆盖面 “新基建”的安全防护大体可分为两个层面:微观层面针对具体的网络资产和感知终端设备,对各类数据进行应急响应、调查分析等闭环处置;宏观层面需要延展涵盖大安全环境下的各类安全威胁,分析整个IT环境中的信息来源与去向,实现网络安全威胁感知与不同系统间的有机融合,针对重大网络安全事件进行预警通报和应急指挥。因此,可以利用态势感知的“深度”在微观层面记录异常危险行为,上报宏观态势感知平台,通过“广度”的统筹分析、关联分析和攻击链分析,结合威胁情报进行威胁判断,实现微宏观相结合的防护模式,通过泛在化的威胁感知加强安全管理。 把握“新基建”深度融合特点实现联动防御 “新基建”拥有与数字经济、应用场景、创新技术深度融合的特点。在安全保障新需求的牵引下,未来网络安全技术正向主动安全的方向发展,“新基建”安全建设思路也已由零散、局部、被动,转变为内生、体系、主动。各企业对一体化解决方案、早期预警的需求不断攀升,以态势感知为基础的安全防护重要性也逐渐凸显。以物联网终端为例,利用态势感知的防御能力,可以从内部芯片、操作系统到其外部架构等多个层面进行全面的考量,融合网络安全、系统安全、应用安全、威胁情报等防御力量,通过联动防御的方式建立多维度的新型基础设施网络安全防线,有效应用于安全运营和安全监管,提高全面感知和把控能力。 加强以溯源为核心的信息融合威胁态势感知防御 根据分析,目前溯源能力是态势感知中尤为重要,也是最为薄弱的一环。因此,结合主动防御、动态防御的核心思想,本文也提供了一个以溯源为核心的信息融合威胁态势感知防御模型的构想。如图1所示,该模型将防御的重点从威胁检测向溯源倾斜,更适用于应对多变的安全威胁,其追踪溯源取证能力较为突出,除入侵检测系统外,其他任意系统都与追踪溯源系统进行双向信息交互,保证信息得到及时共享,使得追踪溯源系统中的诱捕模块可以根据流量数据中的特征,针对入侵检测无法发现的攻击威胁进行诱捕,达到一定的防御效果。
图1以溯源为核心的信息融合威胁态势感知防御模型 研究建议 通过分析态势感知面临的挑战、机遇以及相关应对措施,为持续优化完善“新基建”安全防护,笔者建议从以下几个方面继续加强威胁态势感知的研究和能力提升。 加强政策研究基础支撑,构建适用于“新基建”的态势感知系统 持续跟踪国内外最新态势感知相关信息,分析总结政策发展趋势,探寻适用于“新基建”安全发展的态势感知工作机制和模型,为我国出台推动“新基建”发展的相关政策和指导意见提供研究基础。利用经验知识积累优化升级态势感知系统,推动“新基建”威胁感知平台的建设,及时发现外部入侵的安全威胁并响应,提供网络、数据、系统的安全保障,辅助监管机构对新型基础设施安全态势进行全面、实时监测,通过对数据进行分析处理主动防御思想,依托态势感知的防御能力实现自动化响应、深度威胁猎杀、响应处置等工作。 紧跟网络攻防技术发展趋势,强化态势感知关键技术深度融合 突破网络安全态势感知、追踪溯源等关键技术,解决相对威胁滞后的防御能力。高效的追踪溯源可以还原攻击路径,在防御系统被绕过或失效的情况下,仍能尽快发现入侵事件并掌握攻击过程全貌,遏制攻击扩散,将损失降到最低,弥补传统的安全防线容易被绕过和规避,且无法在被攻击过程中感知威胁的缺陷。同时,加强防御技术能力的深度融合,实现安全设备的联动防御。“新基建”对安全设备之间的协作性、纵深防御能力的要求较高,需要加强安全设备的联动和实时调整,提高各层级安全设备防护,全面提高“新基建”网络安全防御的主动性。 促进“新基建”安全管理人员能力培养,有效提高实操水平 加强“新基建”安全人才培养,提供专业的安全保障队伍支撑。联合地方企业、安全机构、学校,针对AI、大数据、云计算等热点主题,举办专门的“新基建”安全大赛,提前预演“新基建”可能存在的安全风险,选拔优秀网络安全人才并加以培养,为“新基建”发展储备安全人才。强化安全人员技术培训,提高人机配合度。多数安全管理人员对态势感知了解尚浅,在接收海量信息的反馈时,可能因经验不足出现决策、记忆偏差等问题,加强培训可使其在对疑似安全事件进行甄别核实时,提高交互分析能力,有效指挥积极的防御工作。 在“新基建”的快速发展建设中,需要通过加强威胁态势感知的运用,进行安全防御能力的检测和评估,实现“纵深防御”,应对威胁态势感知所面临的挑战;同时探寻态势感知面临的机遇,不断根据外部环境的变动加强态势感知整体防御能力,构建让关键信息基础设施和重要信息系统运营单位方便使用的威胁态势感知系统,实现“新基建”安全防御的全面提升。 (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
