----------------------------------------------------------
*********** OPENING ***********
先说两件事
----------------------------------------------------------
第一件:
我做了个假的自动回复消息,大家都在积极回复。
以目前人群回复的情况来看,但凡回复消息的,绝大多数都是先回复2 。
回复3的一般都是发现回复了2和1之后没什么恐怖的事情发生才会回复3,你们还真是抠门啊。
----------------------------------------------------------
第二件事:【渗透+风险模型+威胁情报】下篇暂时无法更新
事出有因:
1、我写东西不习惯直接上手,而是习惯先在本子上写手稿,昨天半夜写了一个多小时的下篇手稿,今天早上出门扔垃圾被我一起带走了。等我琢磨过来回去找的时候垃圾桶已经被一个阿婆翻过了,只留下风中石化的我 ~
2、熟人都知道,我这个人记性奇差(所以习惯手稿),加上半夜赶工,有些东西记不起来了,不想随便凑一篇,所以等我记忆恢复了,想起昨天晚上写了什么之后再来续写。
----------------------------------------------------------
今天就先更一篇关于态势感知的文章。
这是一篇真正意义上的杂谈,没打底稿,想到哪写到哪。
----------------------------------------------------------
【1】起源
态势感知是一个相当宽泛的概念,从前三四年开始接触,至今听到的模样可谓五花八门。期间一两年也曾因大家做到绝望而冷了一段时间,直到今年因威胁情报大热,所以大家觉得可以把态势感知拿出来加两个蛋重新炒一下,又能下一盘菜了。
据说态势感知的起源是在1995年,Mica R.Endsley的论文(《oward a Theory of Situation Awareness in Dynamic Systems》)中提到了“利用当前数据趋势预测未来事件”的思路,这一思路即使利用大规模的已有数据进行必要的关联计算和分析,形成未来态势的感知能力,从而进行预警。
态势感知的概念可能如此,但类似于态势感知的场景应用一定远远早于这个时间。
至少,从华尔街的地位被确立之后,就一定有一群人在各种模型中导入历史数据,用于推测人们当前的经济活动,并尝试从中牟利。他们之所以这样做的原因并不难理解。对这些华尔街精英们来说,他们坚信 —— “人性是驱动历史重复的齿轮”。
只要人性不变,历史就会不断的 Repeat 。
【2】狭义理解
态势感知可理解的范围过于宽广,这里只说安全行业里对态势感知的狭义理解。
差不多的含义也就是 —— 通过对历史事件的分析,并在掌控现有目标资产、业务和人员的前提下,跟踪和分析当前事件以实现对其走势的跟踪和提前防治。
这不是什么标准概念,而是融合了我在这个行业里见过的很多态势感知概念的精髓。
【3】黑天鹅
最早欧洲人以为,天鹅都是白色的 —— 你看,《天鹅湖》不也都是穿着白衣。
直到那个月黑风高的杀人夜 …… 一群绿色的光亮点在湖面飘逸着,走近才发现,原来是一群黑色的鸭子 —— 哦不,黑色的天鹅。
现在呢,黑天鹅就是指着市场上总是存在着不可预知的事情 —— 多用于股票市场,比如,2015年中国牛市的绿色6月。
所以这个词应该是对任何带有“感知”和“预测”字眼的最大打击和讽刺。因为不可预测的终究是难以预测的。
这也是为什么大家都会说风险是不可消除只可降低的,因为黑天鹅无处不在。
所以,任何感知系统不可不信,但也不可迷信。
【4】“态势”不是“事件”
“小李,隔壁老王趁你上班去你家了”—— 这是事件;
“小李,我感觉隔壁老王看你老婆的眼神不太对,你要多关注” —— 这是态势;
其实,想聊态势感知,路口右转找黄半仙最合适 —— 大师们从来都会告诉你“10日之内定有血光之灾”,而不是告诉你“3天5小时27分之后,你家出门第二个红绿灯右转时,一辆时速 8km/小时 的儿童三轮车正好撞上你的痔疮”。
所以可以说,事件是必然性的结果,即便是预测事件也应该是精确度较高的一种推测 —— 这更像是用数学公式推算出一个确定性的数字。而态势是趋势,加上感知两个字后那就是对趋势的预测。
这就引发了很重要的一个怪异现状。
很多宣称的态势感知,其所作的不是趋势分析和预测,而是对现有事件的告警和说明,这两者之间说远其实是很远的,说近,则很可能就是一层窗户纸。那么,这层窗户纸怎么破。
看看Google的流感趋势预测。Google会先“发现”近期很多人在搜索流感相关关键词并标注他们的区域,根据区域的变化来“跟踪”流感的走向,加上不同州的人群分布情况以及历史上流感的可参考数据来“预测”将会受到流感影响的人数和持续时间等。
实际上,可以看到,预测很可能是基于对所发现事实的跟踪,并辅以历史数据进行的推测。
说到本行的话,应该就是这样:
1、不要光告诉我哪个区域出现了多少次攻击;
2、我更希望知道攻击的走势是如何(跟着技术走、还是跟着目标走、还是跟着敏感事件走?);
3、根据我们这个团队的历史响应情况来看,响应上会存在多少盲点以及无法及时跟进而导致的事件;
4、这些导致的事件最可能发生在什么区域;
5、最终的影响如何(历史上来看,挂了一片,下岗一堆等等);
以此,我会决定是否需要对攻击进行深度分析和跟踪,是否需要调配更多人员,是否需要在哪些区域提前部署力量等等。
【5】“态势”与“情报”
情报是一种基于公开或非公开信息的必然性较高的预测。
古代战神汉尼拔便是情报大师,他所被人津津乐道的坎尼会战实际上只是兵法上的胜利。
其实在坎尼会战之前发生的特拉西梅诺湖之战,才是利用双方信息不对称及战法结合的经典战役,汉尼拔不但提前调查了地形、预测了气候而且还巧妙的躲过了罗马人的侦查,并一举拿下3万多罗马兵。
另外,还有更多关于情报的有趣案例,可能都和战争或多或少有些关系,可查看:【历史上有哪些通过公开的信息做出精彩情报分析的真实案例(http://www.zhihu.com/question/29547695)】。
由这些实例可知,情报是用于辅助决策的半成品,而好的情报甚至可以直接用于决策。
那最大的问题则在于,可感知到的态势是否可用于辅助决策或直接决策?
这点实在就是“仁者见智、智者见仁”了。
而在我看来,好的态势预测并非不能用于决策,例如上一章所说的例子就是一个比较贴切现实的仿真。
【6】自说自话的罗生门
态势感知与情报和事件不太一样的地方应该是 —— 态势感知是反映趋势的、是动态的、可预测的,所以它需要更多的事件、更多的情报以及很多很多的历史数据才可以完成的。
因为态势感知更需要通过大局来跟踪和决策,所以虽然都是决策,而态势感知更像是战略决策,情报更有可能是战术决策,必要的时候,战术是需要服从战略的。
但是,一旦需要聚合多类、多条元素来完成一个态势的跟踪和分析,罗生门就不可避免。
《大数据时代》里已经给出了很多的例子,因为需要分析数据的基数庞大,加上噪声数据,很可能大家分析出来的结果是千差万别的 —— 所有人都会向自己有利的方向去挖掘和分析。
比如,2013年有一组数据
(上图截取自我的某个PPT,看过的人看到我这个解读可能要大呼上当了,提前做好准备,颤抖吧,骚年~)
这里提取了61万个被黑网站及这些网站被挂上的被黑页面,然后按照被黑页面的特征进行分类,被黑页面相同或相似度极高的话,则认为这些黑页来自同一个黑客(或团队),那么,这算下来的话,61万个站点实际上只被挂上了6769个被黑页面(即,存在着一个黑页挂到很多个网站上的情况),然后根据这个数字来勾画出上面这样一张图 —— 这张图里,横轴每个点代表了一个被黑页面,纵轴代表了这个被黑页面挂到了多少个被黑网站上面(因为整个数据图较大,所以这里只截取了部分)。
这样还不够,如果这里我再划一条线,某一个黑客黑掉的网站少于3000个在线下,多于3000个则在线的上方,则得出两组数据:
-
6150个黑客黑掉了近7万个站点
-
而619个黑客黑掉了54万个站点
接下来就有意思了,我可以有多种解读维度:
-
我可以说,少数的黑客干了更多的坏事(就好象巴莱特的2/8定律一样);
-
或者我说,勤奋的黑客很少,只有619个(这样就以“黑掉这些站很轻松,只是需要耗费体力而不是智力”为前提)
-
我还能说,少数黑客发现了多数问题并吃了第一口蛋糕,而多数人只是script kids,只能拾人牙慧去搞那些“少数黑客”看不上的站(但实际上,那7网站站更有价值还是那54万网站更有价值,谁都不知道)
-
还有一种性价比论,即,如果我掌握了那619个人的作战方法,恐怕我就可以避免88.5%(54万除以61万)被黑了,而处理619个的代价要远小于6150个(但实际上,这和上面一条是有潜在冲突的,如果619个黑客真的是高级黑的话,恐怕处理6150个的代价会更小一些)
-
当然,更不要脸的说法就是 —— 只有特么的屌丝黑客才会去黑站挂黑页,哈哈哈哈 ……
所以,造成这一切的根本是在于,任何单一的数字如果不能挖掘到底的话,都是非对称的、不公平的评价,所以,数据的分析和解读,应该遵循“一挖到底、挖无可挖”的地步,虽然这很难,但却可以在最大程度上说服自己,以及那些高级黑。
【7】还不是尾声
其实,很多分析和整体思路的构建上还有很多槽点和坑。
但今天我是没有办法再一一列举出来了,有些东西我也还在持续研究,等我有了什么新的感悟后,再来继续吧 ~
本文始发于微信公众号(Piz0n):杂谈态势感知
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论