加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 安全 > 正文

态势感知之网络安全态势认知

发布时间:2022-03-23 13:35:53 所属栏目:安全 来源:互联网
导读:昨天,我们通过态势感知之安德斯雷理论简介,简单介绍了态势感知以及中西方对这个词汇的不同定义,同时简单了解了一下安德斯雷理论模型,这也是我不断跟踪相关知识后,开始着手整理相关知识资料,今天我们将根据卡内基梅隆大学对态势感知的介绍,进一步学
      昨天,我们通过​​态势感知之安德斯雷理论简介​​,简单介绍了态势感知以及中西方对这个词汇的不同定义,同时简单了解了一下安德斯雷理论模型,这也是我不断跟踪相关知识后,开始着手整理相关知识资料,今天我们将根据卡内基梅隆大学对态势感知的介绍,进一步学习了解态势感知方面的知识。
 
      态势感知 (SA)可帮助整个组织的决策者获得可用于在工作过程中做出正确决策的信息和理解。可以专注于帮助个人和组织保护他们在网络领域的资产,也可以更深远。SA 可以从整个组织中获取相关信息、整合这些信息并进行传播,以帮助人们做出更好的决策。
  
     如果不首先了解要保护的内容、原因、内容以及资产已经受到或未受到保护的方式,那么无论是优先级还是有效保护都不会发生。此信息的“内容”部分需要构建和维护详细的资产清单。其余信息是通过组织环境获得的。
 
     政策和治理
     资产保护的支柱提供了良好的政策和治理。组织的期望和业务需求决定了哪些活动是安全问题。规则越严格,就越容易发现违规行为,也就越容易从一开始就防止违规行为。但是,必须使安全从业人员可以访问策略和需求,以实现检测和预防。
 
访问和理解信息是准确确定信息所必需的:
如何预防安全事件和漏洞
当事件或违规发生时
如何回应他们
对如何使用个人资产、由谁以及何时使用个人资产的了解越多,就越有可能完全防止违规行为,并且在安全违规事件发生时越快被发现。
 
安全功能
安全功能代表组织用来保护其资产的方法。安全功能包括技术组件、结构化流程和有机实践。它们涵盖资产、保护和事件的整个生命周期。这些功能通常分布在多个团队中,但它们每个生成的信息对于通知其他功能是必要的。安全功能的活动会主动改变环境,因此会影响其他功能(包括安全和业务)的优先级和有效性。
 
关于态势感知
对 SA 的描述有很多,从Mica Endsley首次定义的模型中的感知、理解、投射和解决四个功能,到“观察、定向、决定和行动”的OODA 循环。这些模型有助于理解态势感知的概念,但在网络安全中的实际应用并不总是显而易见的。
 
追踪什么是
知道应该是什么和知道什么是不同的。第一个是关于收集有关组织意图的信息(组织允许实现其目标的含义)。第二个是关于检查企业的真实情况。安全团队无法直接监控所有网络空间;他们必须使用他们可用的各种工具来创建对地理分散且基本上不可见的网络空间舞台的可见性。
 
总体思路是跟踪:
观察到的设备、进程/应用程序和用户
观察到的设备、进程和应用程序存在哪些已知漏洞
各种系统和设备的使用方式正在发生怎样的变化
系统、设备和用户存在哪些使用模式和周期
此处的方法使用来自传感点的信息,并以某种方式整合该信息,以便支持安全功能的分析师推断何时应该匹配和不匹配。然而,跟踪活动所需的传感架构成本高昂且资源密集。允许流程和分析人员有效地访问和组合信息需要构建一个强大的联合或分布式系统以实现态势感知。
 
推断何时应该和何时不匹配
当某些不应该发生的事情发生时,就会出现安全问题,例如,未经授权的个人访问设备、设置记录设备以窃听网络、在 Web 服务器上运行加密矿工等。其中一些事件是很容易检测它们是否可见。例如,如果在设备上启用了安全日志记录,您可以通过查看安全日志来发现未经授权的用户 ID 何时尝试访问设备。或者,如果所有端点设备都应该使用内部域名系统解析器,则可以通过记录和查看离开企业的网络流量来找到任何不可用的设备。
 
不幸的是,我们感兴趣的许多安全问题都需要推理。例如,虽然安全日志可以跟踪用户 ID 成功登录系统的时间,无法确定登录是由分配给该用户 ID 的个人还是该用户 ID 是否被盗。这种确定需要推理,这更难。
 
组织必须确保有关调查结果的信息由负责所涉及资产的组织部分传递和解决,并确保他们确定在未来防止此类问题的方法。他们可以通过在整个组织内保持良好的沟通渠道并快速传达调查结果和上下文信息以及可操作的情报来做到这一点,以便责任方在出现问题时解决问题。然而,成功需要组织责任、管理关系和明确定义的责任范围。组织政治、地盘之争以及不清楚的产品和流程所有者经常会干扰。
 
态势感知过程
态势感知是从整个组织中获取相关信息、将其整合到可用情报中并重新传播出去以帮助整个组织中的人们做出更好决策的过程。
 
有效的态势感知需要:
人员提供跨业务部门的有效沟通,以及分析不同信息并理解信息的能力,
支持收集、分析和存储大量数据的技术,以及
以匹配优先级并充分利用资源的方式将观察子集与相应的上下文子集映射的能力。
即使在资金最充足、最成熟的组织中,在了解当前状态和应该是什么方面也存在信息差距。因此,有效的态势感知需要了解哪些增强数据将使从业者能够利用他们拥有的信息做出有能力的推断,并了解他们能够做出的推断的局限性。
态势感知之网络安全态势认知

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号