據(jù)悉360安全態(tài)勢感知系統(tǒng)已經(jīng)在全國多地監(jiān)管部門、金融等重要行業(yè)和大型企業(yè)落地實施。360企業(yè)安全集團(tuán)副總裁韓永剛在接受媒體采訪時表示，態(tài)勢感知是一種基于環(huán)境的、動態(tài)的、整體的洞悉安全風(fēng)險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

態(tài)勢感知必備三大核心

韓永剛介紹，目前態(tài)勢感知主要有三大應(yīng)用方向：一類是監(jiān)管機(jī)構(gòu)，更多從國家層面，或者是省市大地域?qū)用妫P(guān)注跟國計民生相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施，對它們的安全態(tài)勢進(jìn)行整體的監(jiān)測與關(guān)注。還有一類是大型行業(yè)，如政府、金融、大型企業(yè)，他們從自己的體系內(nèi)部去做態(tài)勢感知，首先是其內(nèi)部系統(tǒng)的安全運(yùn)營，發(fā)現(xiàn)重要威脅，解決問題，把安全能力，通過態(tài)勢感知這樣的體系和平臺去落地。這些大型機(jī)構(gòu)也會有很多分支或二級單位，也需要通過態(tài)勢感知對這些單位進(jìn)行外部監(jiān)管，以提升整體的安全狀態(tài)的掌握能力。同時與監(jiān)管機(jī)構(gòu)進(jìn)行在事件應(yīng)急處置及威脅情報方面的合作。最后一類是機(jī)構(gòu)或企業(yè)內(nèi)部的態(tài)勢感知，對自己內(nèi)部有價值的核心資產(chǎn)、業(yè)務(wù)系統(tǒng)，從日常的安全工作角度出發(fā)，發(fā)現(xiàn)各類威脅與內(nèi)部異常違規(guī)，保證業(yè)務(wù)系統(tǒng)能夠比較平穩(wěn)、順暢的運(yùn)行，更偏向內(nèi)部安全的運(yùn)營型能力的落地。

“態(tài)勢感知系統(tǒng)是個體系，需要結(jié)合新技術(shù)、數(shù)據(jù)、系統(tǒng)平臺和人的能力”，韓永剛認(rèn)為一個完整的態(tài)勢感知系統(tǒng)需要包含以下幾大核心部分：首先是對整個周邊安全態(tài)勢要素的完整獲取，也就是對數(shù)據(jù)的理解和獲取、采集的能力。比如流量數(shù)據(jù)的還原與監(jiān)控、云端數(shù)據(jù)的理解、掃描類的數(shù)據(jù)、各類日志數(shù)據(jù)等。把來自不同的源頭、不同類型的數(shù)據(jù)融合在一起、產(chǎn)生關(guān)聯(lián)，通過進(jìn)一步分析去發(fā)現(xiàn)問題。這也就要求一個大數(shù)據(jù)平臺能把海量數(shù)據(jù)高效地存儲與計算處理，在此基礎(chǔ)上做深度的安全檢測、事件捕獵、調(diào)查分析，發(fā)現(xiàn)、定位、溯源安全事件。尤其在安全數(shù)據(jù)分析上，是著重應(yīng)該加強(qiáng)的地方。具備多維度的安全分析工具平臺與能力，才能夠真正捕獲威脅與攻擊，甚至溯源攻擊背后的情況。這時深度的多維度數(shù)據(jù)關(guān)聯(lián)分析、基于語義分析的檢測引擎、可進(jìn)行人機(jī)交互式的調(diào)查研判平臺、可視化分析、威脅情報技術(shù)、特定問題的機(jī)器學(xué)習(xí)都成為有力的武器。

態(tài)勢感知先行者

“360之所以成為態(tài)勢感知領(lǐng)域的先行者，安全大數(shù)據(jù)能力最為重要，”韓永剛稱，在為客戶建設(shè)態(tài)勢感知系統(tǒng)過程中，在數(shù)據(jù)層面，360企業(yè)安全會分成兩個層面進(jìn)行。在客戶機(jī)構(gòu)內(nèi)部，幫客戶建立輕量級的安全大數(shù)據(jù)平臺，進(jìn)行基礎(chǔ)數(shù)據(jù)的采集、處理，從流量、系統(tǒng)、應(yīng)用各個層面盡量細(xì)致地把這些數(shù)據(jù)匯集。

同樣的，在這個系統(tǒng)平臺之上，360企業(yè)安全也幫助客戶建立安全持續(xù)監(jiān)測 — 通報預(yù)警— 分析研判—快速處置—態(tài)勢感知—追蹤溯源的業(yè)務(wù)流程閉環(huán)。

另一個層面，在態(tài)勢感知中，外部數(shù)據(jù)產(chǎn)生的作用也非常大。這里的“外部的數(shù)據(jù)”，是指從互聯(lián)網(wǎng)層面上的看的數(shù)據(jù)。企業(yè)看到內(nèi)部的一些單點(diǎn)事件，在外部可能曾經(jīng)發(fā)生過，并有各種關(guān)聯(lián)。一些技術(shù)比較高超的攻擊者，甚至是APT攻擊組織，在進(jìn)行攻擊的時候，其實很多利用的資源，或者是用過的手法，在外部的互聯(lián)網(wǎng)上都會有一些痕跡。通過不同的數(shù)據(jù)維度，時間維度，把這些線索串聯(lián)起來，就能形成威脅情報體系。360在生產(chǎn)、研究這些情報的時候，會用到很多基礎(chǔ)數(shù)據(jù)，比如樣本數(shù)據(jù)、DNS數(shù)據(jù)，都是上百億的數(shù)據(jù)量。把這些不同維度的安全數(shù)據(jù)匯集，再去做挖掘、分析，在更廣的互聯(lián)網(wǎng)領(lǐng)域里去做拓展和溯源。這個過程中會用到外部的大數(shù)據(jù)的體系，把這兩個體系結(jié)合，能夠?qū)B(tài)勢感知實現(xiàn)更好的落地效果。

韓永剛認(rèn)為，建立態(tài)勢感知系統(tǒng)首先要明確目標(biāo)、范圍和目的，梳理清晰要監(jiān)測與防護(hù)的最關(guān)鍵業(yè)務(wù)資產(chǎn)或機(jī)構(gòu)，然后應(yīng)用合理的技術(shù)從微觀層面獲取完整的安全要素數(shù)據(jù)，這些數(shù)據(jù)拿到的越全，對威脅發(fā)生的過程、攻擊鏈條看得就更全。再結(jié)合態(tài)勢感知的系統(tǒng)平臺、來自外部安全大數(shù)據(jù)的情報能力，從中觀層面來分析數(shù)據(jù)、發(fā)現(xiàn)威脅與異常，做到結(jié)合安全服務(wù)來落地安全能力。而這些也是360天然獨(dú)特的優(yōu)勢。所以態(tài)勢感知不只是宏觀層面的大屏展示或“地圖炮”，更應(yīng)該是結(jié)合微觀與中觀層面的安全數(shù)據(jù)、平臺、安全能力。