文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

态势感知之网络安全态势感知

2024-12-02 05:01

关注

态势感知 (SA)可帮助整个组织的决策者获得可用于在工作过程中做出正确决策的信息和理解。可以专注于帮助个人和组织保护他们在网络领域的资产,也可以更深远。SA 可以从整个组织中获取相关信息、整合这些信息并进行传播,以帮助人们做出更好的决策。

保护组织资产

即使是最小的组织也有许多资产,也必须保护其免受网络威胁。在人手不足、资金不足和过度危险的环境中,优先保护某些资产是必要的。

优先级必须发生在:

组织资产的存在是为了使组织能够开展其日常活动。保护这些资产的优先级应与资产支持的业务功能的重要性和法律后果相对应。为了让这些信息影响优先级的设置,安全从业人员必须能够将资产映射到他们支持的业务功能,并了解这些功能的重要性。

如果不首先了解要保护的内容、原因、内容以及资产已经受到或未受到保护的方式,那么无论是优先级还是有效保护都不会发生。此信息的“内容”部分需要构建和维护详细的资产清单。其余信息是通过组织环境获得的。

政策和治理

资产保护的支柱提供了良好的政策和治理。组织的期望和业务需求决定了哪些活动是安全问题。规则越严格,就越容易发现违规行为,也就越容易从一开始就防止违规行为。但是,必须使安全从业人员可以访问策略和需求,以实现检测和预防。

访问和理解信息是准确确定信息所必需的:

对如何使用个人资产、由谁以及何时使用个人资产的了解越多,就越有可能完全防止违规行为,并且在安全违规事件发生时越快被发现。

安全功能

安全功能代表组织用来保护其资产的方法。安全功能包括技术组件、结构化流程和有机实践。它们涵盖资产、保护和事件的整个生命周期。这些功能通常分布在多个团队中,但它们每个生成的信息对于通知其他功能是必要的。安全功能的活动会主动改变环境,因此会影响其他功能(包括安全和业务)的优先级和有效性。

关于态势感知

对 SA 的描述有很多,从Mica Endsley首次定义的模型中的感知、理解、投射和解决四个功能,到“观察、定向、决定和行动”的OODA 循环。这些模型有助于理解态势感知的概念,但在网络安全中的实际应用并不总是显而易见的。

实际上可以从四个方面来考虑态势感知:

知道应该是什么

在我们了解企业的网络安全状态之前,需要很好地了解该企业应该发生的事情。

特别是需要知道:

安全人员可获得的信息越准确,就越容易推断何时存在安全问题并对其采取措施。准确的信息意味着拥有明确定义的安全策略、有效的访问控制、最新的清单和详细的网络图。挑战在于组织信息通常记录不充分、不完整或过时。这种情况导致分析师通过例如基线推断信息,这充其量只能提供组织环境的半准确图。

追踪什么是

知道应该是什么和知道什么是不同的。第一个是关于收集有关组织意图的信息(组织允许实现其目标的含义)。第二个是关于检查企业的真实情况。安全团队无法直接监控所有网络空间;他们必须使用他们可用的各种工具来创建对地理分散且基本上不可见的网络空间舞台的可见性。

总体思路是跟踪:

此处的方法使用来自传感点的信息,并以某种方式整合该信息,以便支持安全功能的分析师推断何时应该匹配和不匹配。然而,跟踪活动所需的传感架构成本高昂且资源密集。允许流程和分析人员有效地访问和组合信息需要构建一个强大的联合或分布式系统以实现态势感知。

推断何时应该和何时不匹配

当某些不应该发生的事情发生时,就会出现安全问题,例如,未经授权的个人访问设备、设置记录设备以窃听网络、在 Web 服务器上运行加密矿工等。其中一些事件是很容易检测它们是否可见。例如,如果在设备上启用了安全日志记录,您可以通过查看安全日志来发现未经授权的用户 ID 何时尝试访问设备。或者,如果所有端点设备都应该使用内部域名系统解析器,则可以通过记录和查看离开企业的网络流量来找到任何不可用的设备。

不幸的是,我们感兴趣的许多安全问题都需要推理。例如,虽然安全日志可以跟踪用户 ID 成功登录系统的时间,无法确定登录是由分配给该用户 ID 的个人还是该用户 ID 是否被盗。这种确定需要推理,这更难。

一些推理方法是:

应该解决的可操作差异不仅限于安全问题;它们还包括业务和效率问题。这里的挑战是,根据“知道应该是什么”的所有相关信息分析来自“跟踪什么”的所有信息在技术上是不可能的或实际上是不可行的。决定如何选择应该将哪个观察子集与哪个上下文子集进行比较是优先级和资源的问题。因此,可用的上下文、可见性和资源准确反映业务优先级非常重要。

对差异做点什么

如果企业不打算根据其获得的知识采取行动,那么了解应该是什么、跟踪是什么或推断应该是什么都没有任何好处。组织通常会对他们认为明显的安全漏洞采取措施。他们清理恶意软件感染,调查潜在的数据泄露,并报告被盗资源和个人识别信息。如果组织认为这些差异不代表安全事件,则组织不太可能对应该是什么与应该是什么之间的差异采取行动。这样的疏忽可能使推断未来的安全事件变得更加困难。与应有的内容不匹配的项目越多(即批准的用户、设备和使用情况),干扰和干扰推理的噪音就越多。

组织必须确保有关调查结果的信息由负责所涉及资产的组织部分传递和解决,并确保他们确定在未来防止此类问题的方法。他们可以通过在整个组织内保持良好的沟通渠道并快速传达调查结果和上下文信息以及可操作的情报来做到这一点,以便责任方在出现问题时解决问题。然而,成功需要组织责任、管理关系和明确定义的责任范围。组织政治、地盘之争以及不清楚的产品和流程所有者经常会干扰。

态势感知过程

态势感知是从整个组织中获取相关信息、将其整合到可用情报中并重新传播出去以帮助整个组织中的人们做出更好决策的过程。

有效的态势感知需要:

即使在资金最充足、最成熟的组织中,在了解当前状态和应该是什么方面也存在信息差距。因此,有效的态势感知需要了解哪些增强数据将使从业者能够利用他们拥有的信息做出有能力的推断,并了解他们能够做出的推断的局限性。

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯