昨天,我们通过安德斯利态势感知理论简介,简要介绍了态势感知以及这个词在中西方的不同定义。同时,我们简单了解了AndersleySlay的理论模型,这也是我在不断追踪相关知识后,开始整理相关知识资料的原因。今天我们将根据卡耐基梅隆大学对态势感知的介绍,进一步了解态势感知。态势感知(SA)可帮助整个组织的决策者获取信息和理解,以便他们在工作过程中做出正确的决策。它可以专注于帮助个人和组织保护他们在网络领域的资产,也可以走得更远。SA从整个组织中捕获相关信息,将其整合并传播,以帮助人们做出更好的决策。保护组织资产即使是最小的组织也有许多资产必须受到保护以免受网络威胁。在人手不足、资金不足和过于危险的环境中,优先保护某些资产是必要的。优先级必须发生在:单个设备和特定网段或业务部门的安全强化风险响应特定职位的招聘组织资产的存在使组织能够开展其日常活动。保护这些资产的优先级应与资产支持的业务功能的重要性和法律后果相称。为了使这些信息影响优先级的设置,安全从业者必须能够将资产映射到他们支持的业务功能,并了解这些功能的重要性。如果不先了解要保护什么、为什么、什么以及如何保护资产,则既不会确定优先级也不会进行有效保护。此信息的“内容”部分需要建立和维护详细的资产清单。其余信息是通过组织环境获得的。政策和治理资产保护的支柱提供良好的政策和治理。组织期望和业务需求决定了哪些活动是安全问题。规则越严格,就越容易发现违规行为并在第一时间加以预防。但是,安全从业人员必须能够访问策略和要求以进行检测和预防。访问和理解信息是准确识别信息所必需的:如何预防安全事件和违规行为当事件或违规行为发生时如何应对他们对个人资产如何、由谁以及何时使用的了解越多,他们就越有可能完全预防违规行为并尽早发现安全漏洞。安全功能安全功能代表组织用来保护其资产的方法。安全功能包括技术组件、结构化流程和有机实践。它们涵盖资产、保护和事件的整个生命周期。这些功能通常分布在多个团队中,但它们各自生成的信息对于通知其他功能是必要的。安全功能的活动会主动改变环境,从而影响其他功能(包括安全和业务)的优先级和有效性。SA关于态势感知的描述有很多,从MicaEndsley最先定义的模型中的感知、理解、投射和解决四大功能,到“观察、定向、决策和行动”的OODA循环。这些模型有助于理解态势感知的概念,但在网络安全中的实际应用并不总是显而易见的。情境意识实际上可以从四个方面来思考:知道它应该是什么。什么是跟踪。推断何时应该匹配以及何时不匹配。用差异做点什么。知道应该发生什么在我们了解企业的??网络安全状况之前,我们需要很好地了解该企业应该发生什么。特别是,有必要了解:内部和面向公众的系统和设备、授权设备的合法用户及其用途、批准的流程和应用程序、允许使用的地方以及它们如何为组织服务。安全人员可用的信息越准确,就越容易推断出何时存在安全问题并采取行动。准确的信息意味着拥有明确定义的安全策略、有效的访问控制、最新的库存和详细的网络地图。挑战在于组织信息通常记录不当、不完整或过时。这种情况导致分析人员通过例如基线来推断信息,基线最多只能提供组织环境的半准确图片。跟踪什么是知道应该是什么不同于知道是什么。第一个是关于收集有关组织意图的信息(组织允许什么来实现其目标)。第二个是检查业务的实际情况。安全团队无法直接监控所有网络空间;他们必须使用各种可用的工具来创建对地理分散且基本上不可见的网络空间领域的可见性。总体思路是跟踪:观察到的设备、进程/应用程序和用户观察到的设备、进程和应用程序中存在哪些已知漏洞各种系统和设备的使用方式正在改变哪些系统、设备和用户正在使用模式和周期这里的方法使用来自传感点的信息,并以支持安全功能的分析师可以推断何时应该匹配和不匹配的方式集成该信息。然而,跟踪活动所需的传感架构成本高昂且资源密集。允许流程和分析师有效地访问和组合信息需要构建一个强大的联合或分布式系统以实现态势感知。推断何时应该和不匹配什么时候应该发生当一些不应该发生的事情发生时,安全问题就会出现,例如未经授权的个人访问设备、设置录音设备以窃听网络、在Web服务器上运行加密矿工等等。其中一些事件如果可见则很容易检测到。例如,如果在设备上启用了安全日志记录,您可以查看安全日志以了解未经授权的用户ID何时试图访问该设备。或者,如果所有端点设备都应使用内部DNS解析器,则可以通过记录和查看离开企业的网络流量来找到任何不可用的设备。不幸的是,我们感兴趣的许多安全问题都需要推理。例如,虽然安全日志可以跟踪用户ID何时成功登录系统,但它无法确定登录是否由分配给用户ID的个人或用户ID是否被盗用。这种确定需要推理,推理更难。对其进行推理的一些方法是:直接违反政策与历史数据的偏差(什么是重大变化)异常值检测分析异常值识别中的异常新产品识别策略、技术和程序(TTP)匹配应该解决的可操作差异没有限于安全问题;它们还涉及运营和效率问题。这里的挑战在于,将“跟踪什么”中的所有信息与“知道应该是什么”中的所有相关信息进行分析在技术上和实践上都是不可能的。决定如何选择应该将哪个观察子集与哪个背景子集进行比较是一个优先事项和资源问题。因此,准确反映业务优先级的上下文、可见性和可用资源非常重要。为差异做点什么如果企业不打算根据其获得的知识采取行动,那么知道应该是什么、跟踪是什么或推断应该是什么没有任何好处。组织通常会针对他们认为明显的安全漏洞采取行动。他们清理恶意软件感染,调查潜在的数据泄露,并报告被盗的资源和个人身份信息。如果组织认为这些差异不代表安全事件,则组织不太可能对应该是什么和应该是什么之间的差异采取行动。这种疏忽可能使推断未来的安全事件变得更加困难。与应有的不匹配的项目越多(即批准的用户、设备和用途),干扰和干扰推理的噪音就越多。组织必须确保负责相关资产的组织部门传达和处理有关调查结果的信息,并确定未来防止此类问题的方法。他们可以通过在整个组织内保持良好的沟通渠道并快速传达调查结果和背景信息以及可操作的情报来做到这一点,以便责任方可以在问题出现时解决问题。然而,成功需要组织问责制、管理关系和明确界定的责任范围。组织政治、地盘争夺战以及不明确的产品和流程负责人经常会造成干扰。态势感知过程态势感知是从整个组织获取相关信息、将其整合为可用情报并传播以帮助整个组织的人员做出更好决策的过程。有效的态势感知需要:人员提供跨业??务部门的有效沟通,以及分析和理解不同信息的能力,支持收集、分析和存储大量信息的技术,以及将集合与相应上下文子集映射的能力。即使在资金最充足和最成熟的组织中,在理解什么是什么和应该是什么方面也存在信息差距。因此,有效的态势感知需要了解哪些增强数据将使从业者能够从他们拥有的信息中做出有效的推论,并了解他们能够做出的推论的局限性。
