态势感知 (SA)可帮助整个组织的决策者获得可用于在工作过程中做出正确决策的信息和理解。可以专注于帮助个人和组织保护他们在网络领域的资产,也可以更深远。SA 可以从整个组织中获取相关信息、整合这些信息并进行传播,以帮助人们做出更好的决策。
保护组织资产
即使是最小的组织也有许多资产,也必须保护其免受网络威胁。在人手不足、资金不足和过度危险的环境中,优先保护某些资产是必要的。
优先级必须发生在:
- 单个设备和特定网段或业务单元的安全加固
- 对风险的回应
- 招聘特定职位
组织资产的存在是为了使组织能够开展其日常活动。保护这些资产的优先级应与资产支持的业务功能的重要性和法律后果相对应。为了让这些信息影响优先级的设置,安全从业人员必须能够将资产映射到他们支持的业务功能,并了解这些功能的重要性。
如果不首先了解要保护的内容、原因、内容以及资产已经受到或未受到保护的方式,那么无论是优先级还是有效保护都不会发生。此信息的“内容”部分需要构建和维护详细的资产清单。其余信息是通过组织环境获得的。
政策和治理
资产保护的支柱提供了良好的政策和治理。组织的期望和业务需求决定了哪些活动是安全问题。规则越严格,就越容易发现违规行为,也就越容易从一开始就防止违规行为。但是,必须使安全从业人员可以访问策略和需求,以实现检测和预防。
访问和理解信息是准确确定信息所必需的:
- 如何预防安全事件和漏洞
- 当事件或违规发生时
- 如何回应他们
对如何使用个人资产、由谁以及何时使用个人资产的了解越多,就越有可能完全防止违规行为,并且在安全违规事件发生时越快被发现。
安全功能
安全功能代表组织用来保护其资产的方法。安全功能包括技术组件、结构化流程和有机实践。它们涵盖资产、保护和事件的整个生命周期。这些功能通常分布在多个团队中,但它们每个生成的信息对于通知其他功能是必要的。安全功能的活动会主动改变环境,因此会影响其他功能(包括安全和业务)的优先级和有效性。
关于态势感知
对 SA 的描述有很多,从Mica Endsley首次定义的模型中的感知、理解、投射和解决四个功能,到“观察、定向、决定和行动”的OODA 循环。这些模型有助于理解态势感知的概念,但在网络安全中的实际应用并不总是显而易见的。
实际上可以从四个方面来考虑态势感知:
- 知道应该是什么。
- 跟踪是什么。
- 推断什么时候应该和什么时候不匹配。
- 对差异做一些事情。
知道应该是什么
在我们了解企业的网络安全状态之前,需要很好地了解该企业应该发生的事情。
特别是需要知道:
- 内部和面向公众的系统和设备的合法用户
- 授权设备及其用途
- 批准的流程和应用程序,在哪里被允许,以及它们如何为组织服务
安全人员可获得的信息越准确,就越容易推断何时存在安全问题并对其采取措施。准确的信息意味着拥有明确定义的安全策略、有效的访问控制、最新的清单和详细的网络图。挑战在于组织信息通常记录不充分、不完整或过时。这种情况导致分析师通过例如基线推断信息,这充其量只能提供组织环境的半准确图。
追踪什么是
知道应该是什么和知道什么是不同的。第一个是关于收集有关组织意图的信息(组织允许实现其目标的含义)。第二个是关于检查企业的真实情况。安全团队无法直接监控所有网络空间;他们必须使用他们可用的各种工具来创建对地理分散且基本上不可见的网络空间舞台的可见性。
总体思路是跟踪:
- 观察到的设备、进程/应用程序和用户
- 观察到的设备、进程和应用程序存在哪些已知漏洞
- 各种系统和设备的使用方式正在发生怎样的变化
- 系统、设备和用户存在哪些使用模式和周期
此处的方法使用来自传感点的信息,并以某种方式整合该信息,以便支持安全功能的分析师推断何时应该匹配和不匹配。然而,跟踪活动所需的传感架构成本高昂且资源密集。允许流程和分析人员有效地访问和组合信息需要构建一个强大的联合或分布式系统以实现态势感知。
推断何时应该和何时不匹配
当某些不应该发生的事情发生时,就会出现安全问题,例如,未经授权的个人访问设备、设置记录设备以窃听网络、在 Web 服务器上运行加密矿工等。其中一些事件是很容易检测它们是否可见。例如,如果在设备上启用了安全日志记录,您可以通过查看安全日志来发现未经授权的用户 ID 何时尝试访问设备。或者,如果所有端点设备都应该使用内部域名系统解析器,则可以通过记录和查看离开企业的网络流量来找到任何不可用的设备。
不幸的是,我们感兴趣的许多安全问题都需要推理。例如,虽然安全日志可以跟踪用户 ID 成功登录系统的时间,无法确定登录是由分配给该用户 ID 的个人还是该用户 ID 是否被盗。这种确定需要推理,这更难。
一些推理方法是:
- 直接违反政策
- 与历史数据的偏差(什么是显着变化)
- 异常值检测分析中出现异常异常值
- 新品鉴定
- 战术、技术和程序 (TTP)匹配
应该解决的可操作差异不仅限于安全问题;它们还包括业务和效率问题。这里的挑战是,根据“知道应该是什么”的所有相关信息分析来自“跟踪什么”的所有信息在技术上是不可能的或实际上是不可行的。决定如何选择应该将哪个观察子集与哪个上下文子集进行比较是优先级和资源的问题。因此,可用的上下文、可见性和资源准确反映业务优先级非常重要。
对差异做点什么
如果企业不打算根据其获得的知识采取行动,那么了解应该是什么、跟踪是什么或推断应该是什么都没有任何好处。组织通常会对他们认为明显的安全漏洞采取措施。他们清理恶意软件感染,调查潜在的数据泄露,并报告被盗资源和个人识别信息。如果组织认为这些差异不代表安全事件,则组织不太可能对应该是什么与应该是什么之间的差异采取行动。这样的疏忽可能使推断未来的安全事件变得更加困难。与应有的内容不匹配的项目越多(即批准的用户、设备和使用情况),干扰和干扰推理的噪音就越多。
组织必须确保有关调查结果的信息由负责所涉及资产的组织部分传递和解决,并确保他们确定在未来防止此类问题的方法。他们可以通过在整个组织内保持良好的沟通渠道并快速传达调查结果和上下文信息以及可操作的情报来做到这一点,以便责任方在出现问题时解决问题。然而,成功需要组织责任、管理关系和明确定义的责任范围。组织政治、地盘之争以及不清楚的产品和流程所有者经常会干扰。
态势感知过程
态势感知是从整个组织中获取相关信息、将其整合到可用情报中并重新传播出去以帮助整个组织中的人们做出更好决策的过程。
有效的态势感知需要:
- 人员提供跨业务部门的有效沟通,以及分析不同信息并理解信息的能力,
- 支持收集、分析和存储大量数据的技术,以及
- 以匹配优先级并充分利用资源的方式将观察子集与相应的上下文子集映射的能力。
即使在资金最充足、最成熟的组织中,在了解当前状态和应该是什么方面也存在信息差距。因此,有效的态势感知需要了解哪些增强数据将使从业者能够利用他们拥有的信息做出有能力的推断,并了解他们能够做出的推断的局限性。