從概念到架構——詳細解析態勢感知系統

2018年，全球知名的社交平臺Facebook一年出現兩次大型數據泄露事件，總泄露客戶信息高達到7900萬條。而安德瑪、萬豪集團、華住集團等也相繼有媒體爆出嚴重的信息泄露事件。但上述事件僅僅是網絡安全事件的冰山一角，全球網絡安全形勢日趨嚴峻，影響的範圍也更加普遍。根據IDC市場調研發現，僅有13%的企業級用戶使用了自動化防護技術，且應用程度有限。

企業級用戶一旦遭受攻擊威脅將直接影響業務正常運營，形成難以計量的嚴重後果。而企業和組織對自身業務及其對應的安全威脅的感知與發現能力不足，是網絡安全問題不斷、安全響應和處置嚴重滯後的關鍵短板。

安全態勢感知能夠理解爲客戶的安全大腦，是一個集檢測、預警、響應處置爲一體的大數據安全分析平臺。其以全流量分析爲核心，結合威脅報、行爲分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術，實現威脅可視化、攻擊與可疑流量可視化等功能。可有效幫助客戶在高級威脅入侵以後，損失發生以前及時發現威脅。

態勢感知(Situational Awareness/Situation Awareness,SA)的概念最先在軍事領域被提出。目前是大數據安全領域規模增加最迅速的產品。態勢感知的市場規模從2017年開始，就在以每一年25%的速度增加。目前的態勢感知平臺分爲政府部門使用的監管平臺和企業使用的實施監測預警平臺。而國外通常不談態勢感知系統，多稱爲威脅管理、威脅發現產品，並把網絡安全態勢感知做爲由多個系統、工具整合實現的狀態效果。

目前的態勢感知平臺分爲政府部門使用的監管平臺和企業使用的實施監測預警平臺。但在不一樣的行業中，也有不一樣的核心技術需求：

• 金融行業有着更多的業務場景，注重關聯分析能力、威脅告警精確度、用戶行爲分析能力；
• 運營商的SOC（Security Operation Center）除了關注自身的安全，也會注重利用自己的數據資源優點，拓寬行業市場；
• 能源行業的IT種類繁多，很是注意安全生產，所以看重產品的兼容性、可連續性；
• 政府機構關注對外部攻擊防範、高級威脅檢測。

但總的來講，態勢感知（SA）目前理論上主要分爲如下三個部分：

對環境元素的感知
對狀態的的理解
對將來狀態的預測

爲了能夠更好地理解態勢感知，咱們能夠先來看一下態勢感知會涉及到的一些專業術語：

攻擊者視角：站在黑客攻擊場景上獲取的攻擊告警、威脅等運營數據
防護者視角：站在甲方安全視角上主動獲取到的防護引擎部署狀況、漏洞信息等運營數據
告警事件：由DDoS檢測引擎、主機安全檢測引擎、全流量檢測引擎發現的高價值安全事件
威脅事件：經過京東雲提供的基於安全威脅模型大數據關聯的新型攻擊事件，包含實時分析事件、離線分析事件
引擎覆蓋率：由網絡入侵檢測引擎、DDoS基礎防禦檢測引擎和主機安全檢測引擎啓動覆蓋率組成，網絡入侵檢測引擎啓動覆蓋率=已開啓NIDS監控的公網IP數量/當前用戶下全部公網IP數量，主機安全檢測引擎啓動覆蓋率=已安裝主機安全軟件雲服務器數量/當前用戶下全部雲服務器數量，DDoS基礎防禦啓動覆蓋率默認爲100%，用戶沒法手工調整。權重爲1：1：1，引擎開啓監控的覆蓋率越高，其捕捉安全事件的能力越強，故使用安全引擎覆蓋率量化衡量其開啓率。最佳實踐爲100%
主機漏洞：主機系統方面漏洞
網站漏洞：主要針對web網站相關的漏洞

雲環境下的安全態勢感知

一般企業和政府機構在面臨安全問題時，就像暗夜中的武俠與刺客。雖然雙方各有高招，但奈何「看不見」、「摸不着」，多數時候只能靠着感受或被刺傷後才能發現對方的存在。

藉助京東在大數據上的優點，京東雲Cloud Situation Awareness（CSA） V4.0在公有云計算的環境下，在用戶充分受權的狀況下，收集各個安全組件的海量數據，經過大數據關聯分析和機器學習技術，從全局視角提高用戶對安全威脅的發現識別、理解分析和響應處置，最終幫助用戶提升安全決策的能力。

CSA產品優點

安全感知能力

經過收集雲上安全組件，全面感知已知/未知威脅的能力——針對自動化攻擊，經過大數據實時關聯分析技術，使用安全威脅模型獲取黑客入侵的蛛絲馬跡。

態勢感知大數據分析處理工做流

安全理解能力

經過雲上安全組件提供的海量日誌，從中關聯分析出安全運維人員能理解的安全事件的能力——針對APT攻擊，經過大數據離線關聯分析技術，監控長期潛伏的高級黑客攻擊事件。

7天告警事件分析

安全預測能力

經過機器學習或者深度學習等AI技術，預測雲上資產將要發生的威脅的能力——經過威脅情報、動態行爲分析、機器學習異常檢測具有未知威脅發現的安全能力。

京東云爲用戶提供的大數據安全分析產品，經過數據建模、行爲學習、情報關聯分析，可全面洞悉安全全景、發現入侵和攻擊威脅，幫助客戶建設本身的安全監控和防護體系。爲用戶帶來：全方位態勢和可視化感知，不管是企業或是政府機構，均可以切實地體會到「安全感」。

典型用戶架構

對比傳統安全，態勢感知利用大數據，可對高級攻擊者使用的0day漏洞攻擊進行防護；同時，可對各類潛在威脅及時識別彙報；從網絡層到主機層再到應用層，讓安全成爲一個總體，加強全局的可見性。

相比公有云中小型租戶的低門檻、易操做需求，對於公有云大型租戶而言未知威脅檢測能力和深度應急響應能力是關鍵。

傳統的SOC，關聯分析和數據存儲，都使用的相似Oracle等關係型數據庫錯數據存儲，關聯分析也是經過傳統SQL語句查詢來實現的。但京東雲採用新型的SOC安全管理平臺，使用先進的大數據存儲和分析技術，在毫秒級的查詢響應時間，秒級的關聯分析。可實現企業架構靈活部署、安全數據全面接入，爲用戶提供全面的威脅情報。

企業級租戶架構圖

適合於政務部門的網絡安全態勢感知系統，實質就是努力實現對政務部門網絡系統的總體安全狀態的7*24小時實時監控，從資產、攻擊、漏洞、運行、威脅和風險各個維度全方位感知整個網絡系統的安全狀態與發展趨勢。

經過專有云態勢感知設備和公有云太適合感知進行聯動，統一威脅情報管理，可有效提高威脅入侵行爲的排查效率。定製化安全大屏再將數字轉化爲信息，直觀呈現網絡安全狀態也可有效保證安全事件可以獲得及時的關注並進行及時處置。

政務級租戶架構圖

總結
Data All in One / SOC on Cloud / Build Security Capacity
京東雲安全態勢感知解決方案以大數據技術架構爲核心開發的集安全要素獲取、分析、處理、跟蹤、預測爲一體的全流程安全解決方案。結合機器學習、雲端情報聯動等技術，實現對總體網絡的安全態勢感知。但咱們也相信，隨着網絡惡意攻擊的「商業化」，雲上的安全態勢感知系統還將會迎來更多的升級與變化。

---

點擊「京東雲」，可瞭解更多安全產品信息哦~

歡迎點擊「京東雲」瞭解更多精彩