提升感知能力

网络空间中威胁与挑战无处不在，一切都在瞬息万变，有变化必须有感知，只有知变才能应变，提升感知能力就是要能实时、全面地发现威胁，无死角地感知威胁，要体系化评估点、线、面风险及其影响。感知能力的建设主要分为以下两个方面，一方面是加深纵向上感知能力的挖掘，主要分为边和端，边指网络，从网络七层上加强对威胁的检测和防护。比如TCP协议，由于在设计时的缺陷，syn flood是其最大的弱点。因此相应的攻击特征也较为明显，如非法类型选项、选项缺失、选项长度为0等，在新的STCP协议已考虑此因素并加以改善。端指终端和服务器，要深入到服务器的命令、代码、进程、内存、堆栈等，同时要注重攻击的本质，从本质上感知，例如sql注入，其攻击类型有很多，但基本都需要database()、user()等命令。另一方面是加强横向上感知能力的扩展，要分析整个环境中的信息来源和去向，综合分析所有行为，横向感知风险，从攻击者出发，融合网络安全、系统安全、应用安全，把各种工具连通起来，综合分析，由点串成线，形成面，建立多维度的一体化感知，可称其为攻击网，能更好地发现威胁和评估影响，利用图数据库形成的攻击链路图也是此道理。在感知能力的建设上，来源于单一厂家的感知能力有一定的局限性，很难面面俱到，因此，可采用多厂商合作机制，引入不同的检测和防御技术，再将多个安全产品能力以原生化方式进行有机融合。从横向扩展方面来讲，XDR完全符合，这也是为什么XDR被业内广泛接受并誉为未来方向的原因。当然良好的威胁情报、专业的人才队伍、清晰的资产清单都对感知能力的提升至关重要。此外，要充分运用大数据技术，提升感知的时效性，良好的技术架构，可以达到千亿级数据、秒级数据延迟，有效缩短攻击发现时长，降低事件的风险。

加强分析能力

加强分析能力建设，不仅仅要分析出攻击，还原完整体系化的攻击链条，更应该向找出根本原因倾斜，加强追因溯源能力的建设，应对多变的安全威胁，强化防御能力，提升对全局性安全风险的判断。分析能力的建设包括以下两种。

第一，建设分析工具普及威胁猎人的分析能力应成为重点，对于缺乏经验的安全人员来说，可能因无法对大量可用信息进行有效整合和处理，难以评估感知到的攻击可能造成的影响，建设分析工具，让分析人员学习高级威胁猎人的分析能力并共享分析能力。目前大多数情况，只能做到感知攻击的存在，但对于何时开始的攻击、受害点位、攻击者真实身份、意图等不清楚。良好的分析能力，有利于安全分析人员快速定位、研判和处置问题，尽可能快地发现攻击痕迹，分析攻击者手段并“师夷长技以制夷”。

第二，建设高效的追踪溯源能力，并还原攻击路径，在防御系统被绕过或失效的情况下，仍能快速发现入侵事件并掌握攻击过程全貌，遏制攻击扩散，降低事件影响，弥补传统的安全防线容易被绕过和规避的问题，以及无法在被攻击过程中感知威胁的缺陷。追因溯源能力的建设可分为以下两种，对内而言，需要分析是否存在内部原因，包括开发质量、人员安全意识、供应链安全、漏洞挖掘能力等，亦或者暴露了太多可被利用的风险因素；对外而言，需要结合威胁情报，判断攻击者的身份和意图，以不变应万变。基于分析能力的分析结果，可指引下一阶段的优先建设方向，是加强情报收集能力、保证情报质量，还是攻击面管理缺乏，强化攻击面管理，亦或者是供应链与开发安全。当然还需要基于分析能力，去量化评估整体感知风险能力，并提出改进建议，推动整体安全纵深防御体系走向成熟。

构建预测能力

态势感知的预测能力是指根据历史信息和知识，结合当前状态对网络未来一定时间内的发展趋势进行预测，从而实现积极主动的动态安全防御。当前，技术的快速繁殖导致网络架构随之变化，多面威胁的快速演化，攻击监测特征的数量和类型呈指数级增长，影响态势的理解和预测，难以形成并维持最新的有效认知机制。态势预测并非简单的线性过程，相反具有非线性时间序列的特点，传统的预测模型方法已经不适用，当前的研究方向主要是智能预测，比如可以借助混沌神经网络对时间序列数据进行处理，通过模型预测会发生什么。另外，可以借助威胁情报，结合事前预警技术，分析流量信息，了解对手的战术、行为、工具、程序和意图，做到未雨绸缪，防患于未然。总的来说，是基于对客观存在的事实，经过逻辑化和结构化关联处理，有了一定的体系化认知和理解后，做出的合理判断。是对一定空间和时间内的元素进行感知，并对这些元素进行分析和理解，最终预测这些元素在未来的发展状态。强大的感知和分析能力，有利于更好地认知和理解安全态势，帮助确定影响安全态势的要素集合，最终预测其发展趋势。

建设自动化决策能力

自动化决策是在对系统以往发生和正在发生的事件进行分析的基础上，对系统未来和当下事件变化规律做出最优判定。可分为自动化能力和决策能力，自动化能力主要指通过平台将基于规则和阈值的重复性工作进行固化，自动地完成繁琐的工作，比如比较常见的一键安装部署，在安全方面，可自动化的校验告警流程的有效性，确保及时、有效、全面地发现风险；可将人工分析研判的经验自动化留存和重放，同类告警只需人工分析一次；可将处置能力进行应用集成，将研判结果对接处置设备，实现自动处置。这方面SOAR为我们提供了解决方案，SOAR结合了安全事件响应、安全编排与自动化、共享威胁情报，可大幅度缩短MTTR。决策能力主要指系统可结合事件的各种因素如内外部环境、目标系统重要性、攻击手段等，自动进行整体考虑和分析，通过机器学习不断学习历史数据特征，挖掘更多的潜在规律，提高决策水平和响应速度，甚至具有一定的AI思维能力，从而做出更优决策。虽然目前的机器学习还不具备思维能力和推理能力，但随着人工智能技术的不断发展，基于深度学习的ChatGPT让我们看到了这种可能，例如，研究人员可以通过训练ChatGPT来识别和模拟人类的情感和思维过程，从而使其更加智能化和人性化。相信在未来，在面临海量数据，以及层出不穷的安全漏洞和攻击，利用AI来解决安全问题会成为一种常见的方法和手段，也是一种必然的选择。

图    态势感知与安全运营解决方案

新兴技术的落地应用使得传统网络安全边界消失，并带来新的安全风险，以云计算为例，云计算使得IT基础资源集中在云端，传统网络边界消失，并且面临虚拟化安全问题，因此遭受攻击后的影响和破坏性更大。同时随着安全情报、大数据、人工智能、云计算等技术的逐渐成熟和发展，赋予了态势感知基于非特征检测技术的能力，安全态势的感知也会越来越全面和准确，并逐步向自动响应、追查、威胁诱捕等主动防御方向转变，通过提升感知能力、分析能力、预测能力和决策能力，构建主动防御、执行监控、应急响应、溯源取证、风险预警等安全能力，最终达到有效检测和防御新型安全威胁的目的，实现安全运营的闭环管理。当然万丈高楼平地起，数据的质量，数据的实时性、准确性、完整性，系统的稳定性、可维护性等都很重要。需要确保从日志采集、解析到告警产生全流程不出现数据遗漏，保证已经覆盖的攻击行为只要出现一定会有告警。低质量的数据会误导做出错误的决策，特别是在数据驱动的组织中，可能需要相应的制度来约束，可按照“谁创建、谁负责，谁加工、谁负责，谁提供、谁负责”，尽可能前移管控点，从源头上控制数据质量。最后，我想说，不管是态势感知，还是安全运营，本质是为了保护，保护我们的资产、数据、敏感信息、品牌声誉等，因此，我们需要树立起企业家园的意识，像守护我们的家园一样守护我们的企业，做到人人都是第一道防线，人人都是最后一道防线，人人都是唯一一道防线。