随着网络威胁的不断增加,企业网络需要建设稳健、可靠、可信的网络安全环境,以应对不断变化的网络安全挑战,提高企业的安全韧性。同时,企业高层和运维管理人员需要对安全态势的不断监控和评估,并采取相应的措施和策略。
随着工业4.0时代的到来,工业互联网正在迅速发展,为工业产业的升级和转型提供了强大的动力。然而,随着工业互联网的普及和应用,安全问题也日益凸显,给工业互联网的发展带来了巨大的挑战。为了应对这些挑战,工业互联网安全态势感知技术应运而生,成为工业互联网安全的重要组成部分。
一、什么是网络安全态势感知?
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次,并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”,旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
态势是一种状态、 一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性。环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。
网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络安全态势感知是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
深度态势感知是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能”,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解事物原本之意,也能够明白弦外之音。
网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。
二、网络攻防形势升级驱动态势感知变革
网络态势感知产品可通过掌握网络安全状态,发现安全风险,并进行展示、监测和预警。而面对不断变化的网络形势,网络态势感知还需要满足快速应对网络攻击、灵活适应网络环境、高效运维网络安全建设等要求。
1.网络态势感知需要快速应对网络攻击
在网络安全威胁不断演变和进化的情况下,企业需要有一套能够及时掌握网络整体安全态势的系统,建立起全面、快速、准确的安全事件响应机制。这就要求网络态势感知能够具备感知、评估、预警、响应等环节,从而不断升级和提高企业网络安全防御的能力。
2.网络态势感知需要灵活适应网络环境
网络态势感知需要灵活适应网络环境的变化,以确保安全事件能够在最短时间内得到响应和处理。网络环境是动态变化的,包括网络拓扑、入网设备、网络应用、流通数据等,网络安全态势也是时刻变化的,同时,不同的行业属性环境其网络结构也存在差异。因此网络态势感知需要根据变化的网络环境灵活采集和分析,快速适应网络环境的变化。
3.网络态势感知需要高效运维网络安全
保障企业网络的稳健、可靠、可信,安全运营人员责任重大,他们需要兼顾大量的业务系统、网络设备、安全设备的运维工作和安全告警处置工作,必须做到高效运维,高效处置事件。同时,也要应对未知威胁、潜在威胁。因此,安全运营人员需要一个准确易用的集中运营管理平台,提高业务连续性。
三、案例背景和问题与难点
近年来,国家对工业互联网的发展给予了高度重视。《工业互联网安全分类分级管理办法(公开征求意见稿)》、《网络安全事件报告管理办法(征求意见稿)》等政策相继出台,推动工业互联网的发展和应用。同时,工业互联网行业也进入了一个快速发展的阶段,各种新技术、新产品不断涌现。然而,随着行业的发展,安全问题也逐渐凸显出来,成为制约工业互联网进一步发展的重要因素。
问题与难点
01、安全威胁多样化
- 工业互联网面临着来自内部和外部的安全威胁,包括网络攻击、恶意软件、钓鱼攻击等。这些威胁手段的不断升级和变化,使得工业互联网安全形势愈发严峻。
02、数据处理困难
- 工控系统产生的大量实时数据需要高效、准确的处理和分析,以支持安全态势感知。然而,目前的数据处理技术往往存在数据质量问题、处理效率不足等问题,难以满足实时性和准确性要求。
03、产品功能单一
- 现有的工控安全态势感知产品功能相对单一,缺乏针对不同领域和需求的定制化解决方案。
04、性能不稳定
- 由于技术水平和数据处理能力的限制,现有工控安全态势感知产品的性能往往不稳定,难以满足实时性和准确性要求。
05、安全事件报告不足
- 目前,许多工控系统在遭受攻击或出现安全事件时,往往无法及时、全面地报告安全事件,导致无法及时采取应对措施,甚至可能扩大安全事件的损失。
06、缺乏统一的事件管理平台
- 由于工控系统涉及的领域广泛,不同领域的安全事件管理往往存在差异。同时,现有的安全事件管理平台往往无法满足对工控系统安全事件的特殊需求,导致管理效率低下。
07、威胁情报共享不足
- 在工控系统中,威胁情报的共享对于预防和应对安全事件至关重要。然而,目前威胁情报的共享机制尚不健全,限制了工控态势感知行业的发展。
四、解决方案(德迅云安全态势感知)
态势感知态势感知采用先进的大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。
产品优势
主动监测
通过对安全设备的日志采集和数据抽取,监测安全数据态势、安全威胁态势、资产安全态势、网络攻击态势、有害程序态势。
精准防护
通过事件分级分类、分析研判等方式,精确识别系统安全风险并能生成告警。智能分析
对所有设备日志进行分析,提供专业报告的查看和导出功能,并给出加固建议。通过全文检索和数据详情,实现所有日志的统一查询。
可视化态势
态势总览和态势大屏,展示系统监控资产信息和各种系统安全态势,帮助租户直观了解系统的资产情况、威胁告警、有害程序等。
产品功能
态势总览:
- 展示系统资产、弱点、威胁告警等各种类型统计信息,综合展示系统安全态势。
资产管理:
- 监测资产安全态势,展示进程、账号、端口、软件等资产指纹信息和资产暴露面,获取每个资产的告警、漏洞、被攻击情况。
告警管理:
- 通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。
弱点分析:
- 列表展示系统漏洞等级和状态,支持查看漏洞详情,包括CVE编号、漏洞工作原理、修复建议等。
日志库:
- 列表展示日志类型、事件类型、日志来源等信息,支持日志搜索和查看原始日志。
系统设置:
- 支持告警规则设置、日报/周报设置、资产授权。
态势大屏:
- 移动云的态势感知,在升级高级版后,无需额外的费用,即可享用一款通用大屏,提供大屏界面帮助用户对安全威胁实时感知。
结语
随着工业互联网的快速发展,态势感知技术将在未来发挥更加重要的作用。德迅云安全基于对当前行业现状、技术发展趋势,对未来工业互联网安全态势感知技术的发展趋势和方向作出展望:
1.智能化: 未来的工业互联网安全态势感知技术将更加智能化,能够自动识别和预测安全威胁,提前采取防范措施,提高工业互联网的安全性和可靠性。
2.集成化: 未来的工业互联网安全态势感知技术将更加集成化,能够将各种安全设备和系统进行统一管理和监控,提高安全管理的效率和效果。
3.云端化: 未来的工业互联网安全态势感知技术将更加云端化,能够利用云计算技术实现大规模的数据处理和分析,提高安全监测的准确性和效率。
4.微服务化: 未来的工业互联网安全态势感知技术将更加微服务化,能够将安全服务以微服务的形式提供给用户,提高服务的灵活性和可扩展性。
5.开放生态化: 未来的工业互联网安全态势感知技术将更加开放生态化,能够与各种工业互联网平台、应用和服务进行集成和交互,形成开放、共享、合作的生态圈。
目前网络安全态势感知的研究仍处于较为高速发展的阶段,随着各种相关技术和研究的不断完善,网络安全态势感知技术将走向成熟和实用,为保障网络安全起到越来越重要的作用。
