“安全能力落地最重要，态势感知不是“地图炮””

本篇文章2616字，读完约7分钟

360家安全集团副总经理韩永刚

3月28日，中国计算机学会计算机安全专业委员会、360家安全集团和绿盟联合主办的rsa热点研讨会在北京召开，360家安全集团在研讨会现场建立了多维互联网空间安全态势感知系统

据悉，360安全态势感知系统已经在全国多个监管部门、金融等重要领域和大型企业落地实施。 360家安全集团副总经理韩永刚在研讨会期间接受媒体采访时表示，态势感知是基于环境、动态、整体洞察安全风险的能力，基于安全大数据，从全球角度发现、理解、拆解、应对安全威胁的能力

政策导向、态势感知成为安全领域的热点

态势感知的概念最早在军事行业提出，涵盖感知、理解、预测三个层面，随着互联网的兴起，升级为“互联网态势感知( csa )”。 目的是获取、理解和显示在大规模互联网环境中，引发互联网状况变化的安全因素，针对近期快速发展趋势进行顺延性预测，做出决策和行动。

习总书记在去年的419座谈会上表示:“安全是快速发展的前提，快速发展是安全的保障，安全和快速发展必须同步推进。 树立正确的互联网安全观，加快构建重要新闻基础设施安全体系，认识24小时各方面互联网安全形势，增强互联网安全防御能力和威慑能力。 ”。 ，随着《网络安全法》和《国家网络安全战术》的相继出台，态势感知被提升到战术的高度，许多大领域、大企业提倡、建设、积极应用态势感知系统，提高了互联网空之间安全的严格程度

目前，“态势感知”已经成为互联网空之间安全行业的焦点，成为互联网安全技术、产品、方案不断创新、快速发展、发展的聚合表现，代表了当前互联网安全攻防对抗的最新趋势。

韩永刚表示，目前，国内许多大领域和大企业开始建设态势感知能力，以此将互联网安全放在重要位置，首先全面了解自身整体安全形势，然后从多维度加强自身的安全运营和威胁应对能力。

业务驱动、情况识别所需的三个主要核心

韩永刚向记者介绍，目前的情况感知主要有三个应用方向:一是监管机构，越来越多的从国家层面，或者从省市大区域层面，关注与国计民生相关的重要新闻基础设施，整体监测和关注它们的安全形势。

另一个是在政府、金融、大企业等大规模领域，他们从自己的系统内部进行状况识别。 首先是其内部系统的安全运营，使发现重要威胁、处理问题、态势感知安全能力的系统和平台落地。 这些大型机构也有很多分支和二级单位，需要对这些单位进行情境感知的外部监管，以提高整体安全状态的把握。 然后，与监管机构进行事情应急处置和威胁信息方面的合作。

最后，通过组织或公司内部情况识别，对自己内部有价值的核心资产、业务系统，从日常安全工作的角度，发现各类威胁和内部异常违规，使业务系统能够比较顺利地运行，保证内部安全运营型能力的落地。

“态势感知系统是个人系统，需要结合新的技术、数据、系统平台和人的能力”，韩永刚认为，完善的态势感知系统需要包括以下几个主要部分。

首先是完善周边整体的安全态势要素，即数据的理解、获取、收集的能力。 例如，流量数据的恢复和监视、云数据的理解、扫描类的数据、各种日志数据等。 将来自不同来源、不同类型的数据融合起来产生关联，通过进一步分解来发现问题。

它还要求能够有效存储、计算和解决大量数据的大数据平台，并在此基础上进行深入的安全检查、事件的狩猎、调查和分析，以发现、定位和跟踪安全。

特别是安全数据的分析，应该把重点放在强化上。 多维度的安全分析工具平台和能力，能够真正捕获威胁和攻击，甚至可追溯性攻击背后的情况。 在这种情况下，深度多维数据相关的分解、基于语义分解的检测引擎、人机交互式调查研究判定平台、可视化分解、威胁信息技术、用户提问的机器学习将成为有力的武器。 我们不仅要看到安全问题的发生，还需要知道攻击目的、攻击方法、带来了什么样的结果、是什么样的组织进行的。 知己知彼。

另外，安全能力落地不仅要结合技术和平台，还必须结合人的能力。 态势感知系统的运行需要能够持续解决日常安全问题的运维者和能够深入分析数据的研究·判断·分解者。 最终的摘要新闻还需要能够做出决定和行动安排的决策者。 这些不同的岗位代表着感知安全状况并使其运转的落地能力，这种能力建设可以自己进行，也可以借助外部的专业力量。

数据驱动，360成为态势感知的先驱

韩永刚说:“360之所以成为态势感知行业的先驱，最重要的是安全大数据能力。” 韩永刚表示，在为用户建设态势感知系统的过程中，从数据层面看，360家公司的安全将分为两个层面进行。

在客户机构内部，协助客户建立轻量级的安全大数据平台，进行基础数据的收集解决，从流量、系统、应用各个层面尽可能细致地聚合这些数据。 此时的数据量将从以前流传下来的数亿条上升到数千亿条，但这种跨越对于以前流传下来的技术来说并不容易。 这正是360家公司安全的特点:使顾客建立能够解决这一能力的平台，成为发现、拆解和研究判断威胁的基础。

同样，除了该系统平台外，360家公司的安全保护还可以帮助客户建立安全、持续监控–报警–分析调查–快速处置–态势感知–跟踪可追溯性的业务流程闭环。

另一方面，在态势感知中，外部数据产生的作用也非常大。 这里的“外部数据”是指在网络层面看到的数据。 公司看到了内部的一点，外部曾经发生过，可能有各种各样的关联。 一种技术比优秀的攻击者，甚至apt攻击组织，在进行攻击时，很多被利用的资源和使用过的方法，实际上在外部网络上留下了很小的痕迹。 根据不同的数据维度、时间维度，通过连接这些线索，可以形成威胁信息系统。

360在生产、研究这些信息时，会使用样本数据、dns数据等很多基础数据。 都是几百亿的数据量。 将这些不同维度的安全数据集合起来进行挖掘和分解，在更广的网络行业展开和跟踪。 在这个过程中可以使用外部大数据的系统，将这两个人的系统结合起来，对态势感知实现更好的落地。

韩永刚认为，建立态势感知系统，必须首先确定目标、范围和目的，梳理监测与防护最重要的业务资产或机构，然后应用合理的技术从微观层面获取完善的安全要素数据。 这些数据越得到，对威胁发生的过程、攻击链就越完整。 结合情境感知的系统平台、来自外部安全大数据的信息能力，从中观层面分解数据，发现威胁和异常，结合安全服务落地安全能力。 这些也是360天然独特的特征。 所以，态势感知不仅要结合宏观层面的大屏幕展示和“地图炮”，还必须结合微观层面和中观层面的安全数据、平台、安全能力。