日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
態(tài)勢(shì)感知之網(wǎng)絡(luò)安全態(tài)勢(shì)感知

昨天,我們通過??態(tài)勢(shì)感知之安德斯雷理論簡介??,簡單介紹了態(tài)勢(shì)感知以及中西方對(duì)這個(gè)詞匯的不同定義,同時(shí)簡單了解了一下安德斯雷理論模型,這也是我不斷跟蹤相關(guān)知識(shí)后,開始著手整理相關(guān)知識(shí)資料,今天我們將根據(jù)卡內(nèi)基梅隆大學(xué)對(duì)態(tài)勢(shì)感知的介紹,進(jìn)一步學(xué)習(xí)了解態(tài)勢(shì)感知方面的知識(shí)。

創(chuàng)新互聯(lián)公司成立十多年來,這條路我們正越走越好,積累了技術(shù)與客戶資源,形成了良好的口碑。為客戶提供網(wǎng)站制作、成都網(wǎng)站建設(shè)、網(wǎng)站策劃、網(wǎng)頁設(shè)計(jì)、申請(qǐng)域名、網(wǎng)絡(luò)營銷、VI設(shè)計(jì)、網(wǎng)站改版、漏洞修補(bǔ)等服務(wù)。網(wǎng)站是否美觀、功能強(qiáng)大、用戶體驗(yàn)好、性價(jià)比高、打開快等等,這些對(duì)于網(wǎng)站建設(shè)都非常重要,創(chuàng)新互聯(lián)公司通過對(duì)建站技術(shù)性的掌握、對(duì)創(chuàng)意設(shè)計(jì)的研究為客戶提供一站式互聯(lián)網(wǎng)解決方案,攜手廣大客戶,共同發(fā)展進(jìn)步。

態(tài)勢(shì)感知 (SA)可幫助整個(gè)組織的決策者獲得可用于在工作過程中做出正確決策的信息和理解??梢詫W⒂趲椭鷤€(gè)人和組織保護(hù)他們?cè)诰W(wǎng)絡(luò)領(lǐng)域的資產(chǎn),也可以更深遠(yuǎn)。SA 可以從整個(gè)組織中獲取相關(guān)信息、整合這些信息并進(jìn)行傳播,以幫助人們做出更好的決策。

保護(hù)組織資產(chǎn)

即使是最小的組織也有許多資產(chǎn),也必須保護(hù)其免受網(wǎng)絡(luò)威脅。在人手不足、資金不足和過度危險(xiǎn)的環(huán)境中,優(yōu)先保護(hù)某些資產(chǎn)是必要的。

優(yōu)先級(jí)必須發(fā)生在:

  • 單個(gè)設(shè)備和特定網(wǎng)段或業(yè)務(wù)單元的安全加固
  • 對(duì)風(fēng)險(xiǎn)的回應(yīng)
  • 招聘特定職位

組織資產(chǎn)的存在是為了使組織能夠開展其日常活動(dòng)。保護(hù)這些資產(chǎn)的優(yōu)先級(jí)應(yīng)與資產(chǎn)支持的業(yè)務(wù)功能的重要性和法律后果相對(duì)應(yīng)。為了讓這些信息影響優(yōu)先級(jí)的設(shè)置,安全從業(yè)人員必須能夠?qū)①Y產(chǎn)映射到他們支持的業(yè)務(wù)功能,并了解這些功能的重要性。

如果不首先了解要保護(hù)的內(nèi)容、原因、內(nèi)容以及資產(chǎn)已經(jīng)受到或未受到保護(hù)的方式,那么無論是優(yōu)先級(jí)還是有效保護(hù)都不會(huì)發(fā)生。此信息的“內(nèi)容”部分需要構(gòu)建和維護(hù)詳細(xì)的資產(chǎn)清單。其余信息是通過組織環(huán)境獲得的。

政策和治理

資產(chǎn)保護(hù)的支柱提供了良好的政策和治理。組織的期望和業(yè)務(wù)需求決定了哪些活動(dòng)是安全問題。規(guī)則越嚴(yán)格,就越容易發(fā)現(xiàn)違規(guī)行為,也就越容易從一開始就防止違規(guī)行為。但是,必須使安全從業(yè)人員可以訪問策略和需求,以實(shí)現(xiàn)檢測(cè)和預(yù)防。

訪問和理解信息是準(zhǔn)確確定信息所必需的:

  • 如何預(yù)防安全事件和漏洞
  • 當(dāng)事件或違規(guī)發(fā)生時(shí)
  • 如何回應(yīng)他們

對(duì)如何使用個(gè)人資產(chǎn)、由誰以及何時(shí)使用個(gè)人資產(chǎn)的了解越多,就越有可能完全防止違規(guī)行為,并且在安全違規(guī)事件發(fā)生時(shí)越快被發(fā)現(xiàn)。

安全功能

安全功能代表組織用來保護(hù)其資產(chǎn)的方法。安全功能包括技術(shù)組件、結(jié)構(gòu)化流程和有機(jī)實(shí)踐。它們涵蓋資產(chǎn)、保護(hù)和事件的整個(gè)生命周期。這些功能通常分布在多個(gè)團(tuán)隊(duì)中,但它們每個(gè)生成的信息對(duì)于通知其他功能是必要的。安全功能的活動(dòng)會(huì)主動(dòng)改變環(huán)境,因此會(huì)影響其他功能(包括安全和業(yè)務(wù))的優(yōu)先級(jí)和有效性。

關(guān)于態(tài)勢(shì)感知

對(duì) SA 的描述有很多,從Mica Endsley首次定義的模型中的感知、理解、投射和解決四個(gè)功能,到“觀察、定向、決定和行動(dòng)”的OODA 循環(huán)。這些模型有助于理解態(tài)勢(shì)感知的概念,但在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用并不總是顯而易見的。

實(shí)際上可以從四個(gè)方面來考慮態(tài)勢(shì)感知:

  • 知道應(yīng)該是什么。
  • 跟蹤是什么。
  • 推斷什么時(shí)候應(yīng)該和什么時(shí)候不匹配。
  • 對(duì)差異做一些事情。

知道應(yīng)該是什么

在我們了解企業(yè)的網(wǎng)絡(luò)安全狀態(tài)之前,需要很好地了解該企業(yè)應(yīng)該發(fā)生的事情。

特別是需要知道:

  • 內(nèi)部和面向公眾的系統(tǒng)和設(shè)備的合法用戶
  • 授權(quán)設(shè)備及其用途
  • 批準(zhǔn)的流程和應(yīng)用程序,在哪里被允許,以及它們?nèi)绾螢榻M織服務(wù)

安全人員可獲得的信息越準(zhǔn)確,就越容易推斷何時(shí)存在安全問題并對(duì)其采取措施。準(zhǔn)確的信息意味著擁有明確定義的安全策略、有效的訪問控制、最新的清單和詳細(xì)的網(wǎng)絡(luò)圖。挑戰(zhàn)在于組織信息通常記錄不充分、不完整或過時(shí)。這種情況導(dǎo)致分析師通過例如基線推斷信息,這充其量只能提供組織環(huán)境的半準(zhǔn)確圖。

追蹤什么是

知道應(yīng)該是什么和知道什么是不同的。第一個(gè)是關(guān)于收集有關(guān)組織意圖的信息(組織允許實(shí)現(xiàn)其目標(biāo)的含義)。第二個(gè)是關(guān)于檢查企業(yè)的真實(shí)情況。安全團(tuán)隊(duì)無法直接監(jiān)控所有網(wǎng)絡(luò)空間;他們必須使用他們可用的各種工具來創(chuàng)建對(duì)地理分散且基本上不可見的網(wǎng)絡(luò)空間舞臺(tái)的可見性。

總體思路是跟蹤:

  • 觀察到的設(shè)備、進(jìn)程/應(yīng)用程序和用戶
  • 觀察到的設(shè)備、進(jìn)程和應(yīng)用程序存在哪些已知漏洞
  • 各種系統(tǒng)和設(shè)備的使用方式正在發(fā)生怎樣的變化
  • 系統(tǒng)、設(shè)備和用戶存在哪些使用模式和周期

此處的方法使用來自傳感點(diǎn)的信息,并以某種方式整合該信息,以便支持安全功能的分析師推斷何時(shí)應(yīng)該匹配和不匹配。然而,跟蹤活動(dòng)所需的傳感架構(gòu)成本高昂且資源密集。允許流程和分析人員有效地訪問和組合信息需要構(gòu)建一個(gè)強(qiáng)大的聯(lián)合或分布式系統(tǒng)以實(shí)現(xiàn)態(tài)勢(shì)感知。

推斷何時(shí)應(yīng)該和何時(shí)不匹配

當(dāng)某些不應(yīng)該發(fā)生的事情發(fā)生時(shí),就會(huì)出現(xiàn)安全問題,例如,未經(jīng)授權(quán)的個(gè)人訪問設(shè)備、設(shè)置記錄設(shè)備以竊聽網(wǎng)絡(luò)、在 Web 服務(wù)器上運(yùn)行加密礦工等。其中一些事件是很容易檢測(cè)它們是否可見。例如,如果在設(shè)備上啟用了安全日志記錄,您可以通過查看安全日志來發(fā)現(xiàn)未經(jīng)授權(quán)的用戶 ID 何時(shí)嘗試訪問設(shè)備?;蛘?,如果所有端點(diǎn)設(shè)備都應(yīng)該使用內(nèi)部域名系統(tǒng)解析器,則可以通過記錄和查看離開企業(yè)的網(wǎng)絡(luò)流量來找到任何不可用的設(shè)備。

不幸的是,我們感興趣的許多安全問題都需要推理。例如,雖然安全日志可以跟蹤用戶 ID 成功登錄系統(tǒng)的時(shí)間,無法確定登錄是由分配給該用戶 ID 的個(gè)人還是該用戶 ID 是否被盜。這種確定需要推理,這更難。

一些推理方法是:

  • 直接違反政策
  • 與歷史數(shù)據(jù)的偏差(什么是顯著變化)
  • 異常值檢測(cè)分析中出現(xiàn)異常異常值
  • 新品鑒定
  • 戰(zhàn)術(shù)、技術(shù)和程序 (TTP)匹配

應(yīng)該解決的可操作差異不僅限于安全問題;它們還包括業(yè)務(wù)和效率問題。這里的挑戰(zhàn)是,根據(jù)“知道應(yīng)該是什么”的所有相關(guān)信息分析來自“跟蹤什么”的所有信息在技術(shù)上是不可能的或?qū)嶋H上是不可行的。決定如何選擇應(yīng)該將哪個(gè)觀察子集與哪個(gè)上下文子集進(jìn)行比較是優(yōu)先級(jí)和資源的問題。因此,可用的上下文、可見性和資源準(zhǔn)確反映業(yè)務(wù)優(yōu)先級(jí)非常重要。

對(duì)差異做點(diǎn)什么

如果企業(yè)不打算根據(jù)其獲得的知識(shí)采取行動(dòng),那么了解應(yīng)該是什么、跟蹤是什么或推斷應(yīng)該是什么都沒有任何好處。組織通常會(huì)對(duì)他們認(rèn)為明顯的安全漏洞采取措施。他們清理惡意軟件感染,調(diào)查潛在的數(shù)據(jù)泄露,并報(bào)告被盜資源和個(gè)人識(shí)別信息。如果組織認(rèn)為這些差異不代表安全事件,則組織不太可能對(duì)應(yīng)該是什么與應(yīng)該是什么之間的差異采取行動(dòng)。這樣的疏忽可能使推斷未來的安全事件變得更加困難。與應(yīng)有的內(nèi)容不匹配的項(xiàng)目越多(即批準(zhǔn)的用戶、設(shè)備和使用情況),干擾和干擾推理的噪音就越多。

組織必須確保有關(guān)調(diào)查結(jié)果的信息由負(fù)責(zé)所涉及資產(chǎn)的組織部分傳遞和解決,并確保他們確定在未來防止此類問題的方法。他們可以通過在整個(gè)組織內(nèi)保持良好的溝通渠道并快速傳達(dá)調(diào)查結(jié)果和上下文信息以及可操作的情報(bào)來做到這一點(diǎn),以便責(zé)任方在出現(xiàn)問題時(shí)解決問題。然而,成功需要組織責(zé)任、管理關(guān)系和明確定義的責(zé)任范圍。組織政治、地盤之爭以及不清楚的產(chǎn)品和流程所有者經(jīng)常會(huì)干擾。

態(tài)勢(shì)感知過程

態(tài)勢(shì)感知是從整個(gè)組織中獲取相關(guān)信息、將其整合到可用情報(bào)中并重新傳播出去以幫助整個(gè)組織中的人們做出更好決策的過程。

有效的態(tài)勢(shì)感知需要:

  • 人員提供跨業(yè)務(wù)部門的有效溝通,以及分析不同信息并理解信息的能力,
  • 支持收集、分析和存儲(chǔ)大量數(shù)據(jù)的技術(shù),以及
  • 以匹配優(yōu)先級(jí)并充分利用資源的方式將觀察子集與相應(yīng)的上下文子集映射的能力。

即使在資金最充足、最成熟的組織中,在了解當(dāng)前狀態(tài)和應(yīng)該是什么方面也存在信息差距。因此,有效的態(tài)勢(shì)感知需要了解哪些增強(qiáng)數(shù)據(jù)將使從業(yè)者能夠利用他們擁有的信息做出有能力的推斷,并了解他們能夠做出的推斷的局限性。


網(wǎng)站題目:態(tài)勢(shì)感知之網(wǎng)絡(luò)安全態(tài)勢(shì)感知
分享地址:http://www.dlmjj.cn/article/dpjiiph.html