態勢感知支撐體系與價值迴歸

當前態勢感知現狀反思，現狀一個很重要的追求是界面的華麗，國內很大的一批工程實踐其實是大規模的互聯網探測掃描結果或者開源的威脅情報經過可視化的手段展現出來，這種傾向性將態勢感知庸俗化。

現狀更多的態勢感知是被他華麗的可視化所掩蓋，實際上咱們來看一種更好的表現形式未必帶來生產力，在2010年咱們經過一個儀表盤的方式，觀測咱們後端樣本分析自動化流水線的時候，能夠給工程師更好的視覺感覺和運維效率。當咱們嘗試經過一個沙盤式進行巡遊遍歷的時候，咱們發現雖然他的接受度更好，可是毫無疑問他的生產力降低了，更好的表現力並不能帶來肯定性的生產力。

咱們在態勢感知的整個領域空間，陷於迷惘以後，咱們能夠講，咱們須要向傳統空間尋找一些威脅知識的共性和靈感，應該說咱們當前很大程度上誇大了網絡空間的威脅的特殊性，而忽略了他相應的共性，但實際上咱們看到兩個空間是打通的，那咱們在傳統空間中有一句很熟悉的正經格言：威脅是能力和意圖的乘積。而在網絡空間中，好比說咱們以APT爲例，毫無疑問A就是他的能力，P就是他的意圖，所以APT就是能力和意圖的乘積等於威脅的過程，所以在這樣的一個過程當中，實際上網絡空間威脅之因此被如此看中，並不簡單的在於他的特殊性，而在於他達成的與傳統空間威脅的一個等效性的做用效果。就像咱們以前比較巴比倫行動、震網行動同樣。而咱們進一步看，把烏克蘭停電再加上此次仿「必加」勒索***烏克蘭基礎設施的事件，作一系列的要素對比的話，咱們能夠看到，隨着整個網絡空間的接觸面積的加大，經過網絡空間達成物理空間的做業效果實際上已經具備了相應的更低的相關成本。

那麼在這種背景下網絡空間的規律認知不是一個獨有全新空間的規律認知，而是基於他和傳統空間以及傳統威脅所對應的共性規律基礎上的差別性認知，好比說咱們在《網絡防護與態勢感知》這本書中能夠看到，對比傳統戰爭和網絡戰爭他一樣是基於領域、軍事政策、數學定義、必要資源等一系列要素所對應的歸納。那咱們須要在這樣的一個共性基礎上來看待問題需求，咱們能夠當作傳統的做戰意義上的態勢感知，其實正在爲咱們網絡意義上的態勢感知提供了一種很是成熟的前置化的實驗基礎，同時咱們又能夠在共性要素上來看待傳統空間中已經解決了哪些危機，具備哪些特色。而網絡空間中帶來了哪些新問題。而這裏面咱們想進一步迴歸態勢本源那咱們就要看當前咱們對於態勢感知的一個技術要求。咱們迴歸到態勢感知最經典的1995年的概念的話，是在必定時間、空間內觀察環境中的元素，理解這些元素中的意義，並預測這些元素在近期將來的狀態。那咱們能夠從觀察、理解、預測三個步驟思考咱們須要達成的行動，而在這裏面咱們須要看到的是，若是把觀察、理解、預測做爲一個第一階段要求、第二階段要求、第三階段要求的話，那麼實際上咱們是基於網絡安全的基本需求和手工做業造成一個可視化和操做化的列表結果，而這個列表結果在大規模的感知數據支撐下的系統實現就是態勢感知系統。那麼也就是說，態勢感知不是一個展現系統，其本質上註定是個業務系統。

那麼做爲業務系統的支撐改善咱們的採集和對象處理，那麼這裏來說在一樣有傳統的採集和對象處理相關聯的，已經有理SIEM系統和SOC系統，那咱們今天看到的SIEM、SOC疊加的更好的可視化手段稱爲態勢感知的時候，那麼態勢感知是SIEM加SOC的整容版嗎？那實際上咱們細想一下SOC是爲了管理記憶存在的離散的安全環境產生的，SIEM是爲了匯聚離散的系統日誌、應用日誌和安全日誌的所產生的，他們的一個共性是先有安全產品和感知能力，然後有相關的管理系統。那麼也就是說他們的存在是既有能力造成的事實，而不是基於一個自身安全價值需求而要求底層能力的重構，所以態勢感知和SIEM、SOC的核心區別是態勢感知要求造成怎樣的感知數據支撐並反過來要求相關的安全能力環境予以相應的變化。咱們已傳統的IDS爲例，實際上它是規則匹配加上必定的擴展結果對應的五元組結果的日誌，那麼也就意味着全部不被匹配到的數據將不被記錄，那麼這就不符合當今在大量的***在首次投放前不能被檢測這一既定事實。而咱們今天來看，若是咱們把一個局部性質、匹配性質的採集轉化成一個無條件採集，把這種五元組的簡單採集轉化爲十三元組的全要素採集並擴展相應的字段。那我能夠看到他就在相應的協議體系甚至是更細粒度的這種應用層協議上能夠造成全要素加全向量的提取，從而來支持響應的態勢。

那麼從這裏面來看以全要素採集和全對象解析爲基礎，如何來提升***者的成本呢？由於實際上檢測是一種有條件的方式，他就意味着放行或容忍不被匹配的事件，而解析和記錄是一個無條件的事件，那麼就意味着不管***者的行爲是否在整個規則體系中被發現，他都將被有效的記錄，從而使整個數據是能夠有效的回溯和相應的迴歸。同時來看，在整個主機側的採集和網絡側的採集造成大量文件對象以後，該進行怎樣的處理？

當前沙箱有呈現合規化產品的傾向，那麼也就是簡單的把沙箱視爲一個鑑定器來使用，而忽略了沙箱本質是以漏洞觸發、行爲解釋和威脅情報生產爲核心目的的設備存在，更況且沙箱自己是對沙箱環境中條件運行結果的記錄，所以，他所能造成的必然是整個代碼行爲相對局部的一個子集。咱們能夠看到不管是「震網」的USB擺渡仍是「方程式」這種主機做業模塊的搭建，對相應的這些樣本沙箱註定沒法取得好的鑑定效果和解析結果。所以沙箱既是一個必要性的環節又是一個極容易致使惰性的一個環節。若是沙箱的數據沒有被有效利用，若是沙箱被當作一個引擎，那麼實際上咱們就南轅北轍了。

那麼爲了同時彌補沙箱相應的缺損，咱們能夠看到動靜態手段須要更好的結合。傳統的威脅檢測引擎須要從一個威脅的檢測器轉化爲一個檢測的分析器，就像我剛纔所說的，檢測是一種有條件手段，而分析是一種無條件手段。咱們就能夠看到不管引擎是否能造成對威脅對象的結果和標註能力，他都會造成細粒度的格式解析和向量提取而且從向量裏進行相應的標籤知識轉化，這樣咱們就在下一代威脅檢測引擎的實踐中爲整個的態勢感知提供了更好的一種數據架構能力，從而使原有的簡單的區分有毒格式和無毒格式轉化爲可識別格式和不可識別格式，而且進行總體識別一切格式和解析一切格式這樣的工做努力。那這樣的話，就把傳統引擎從一個單一對象輸入單一結果輸出轉化爲複合對象輸入和一個解析的向量結構體輸出的這樣一個響應的特色。

剛纔已經講了，對於流量側的處理對於對象側的處理，而在於端點側的處理來看，那他就不僅是生成相應的文件向量而要造成相應的系統環境向量，在這種系統的環境向量中在一個整個一個資產體系中造成向量大數據空間。

態勢感知確實是以決策爲核心的，不管是自動化的決策仍是人爲的決策當然重要，但預見力未必能有效轉化，從2015年到2016年的多篇文檔中，對於相似「Wanna Cry」使用網絡軍火的這種外譯，包括對於勒索軟件的多種傳播方式以及他所帶來的蠕蟲回巢都作出了預見，但當咱們回想起這些預見力的時候，除了轉化爲安全廠商自身的產品驅動力以外，是否達成的咱們想要達成的社會價值效果？能夠說沒有。那麼這裏就說明在整個資源使用中，是否能使用到最佳時點是重要的，這種過前式的預見每每並不能帶來效果，而偏偏實在4月14號到5月12號之間，當咱們已經檢測到了使用「永恆之藍」漏洞的相關黑產工具的時候，若是咱們在這個時候集中釋放消息預警，相比之下反而是有效的，而偏偏在於過前預警容易致使在現實問題上出現必定的麻木性。

進一步來看，若是從安全廠商來看，在響應「Wanna Cry」的過程當中，咱們均可以看到能夠說有一條緊鑼密鼓的響應時間鏈，從15月12號下午一直延展到接近三週的整個時間內，在這個過程當中，咱們能夠看出一系列工具的發佈，十餘篇文獻的編寫和大量的現場的應急響應工做，耗費了巨大的應急成本。在這個過程當中，個人我的觀點來看，咱們國家總體對此次響應工做是有效的，偏偏反應咱們當前所面臨的無效的防禦。勒索軟件不是一種應該大面積經過響應來抵禦的事件。怎麼樣纔能有效的抵禦呢？假定他破快的很是完全，加密的很是完全，刪除的很是完全，難道要經過交贖金來響應嗎？這是難以想象的！

假裝「必加」事件自己就不是勒索***，而是假裝成勒索***的數據破壞，一旦破壞達成的話，他的響應成本是不可估量的。所以，當前來看，好比說勒索病毒，他必然會進行批量化的文件的讀取和處理，一旦一種惡意行爲具備一種形式化的歸納就能夠創建總體的防禦，咱們能夠看勒索病毒是能夠經過激勵型防禦，包括***的MBR寫入是能夠進行激勵型防禦，那麼加入說都能這樣在威脅發展之中即便沒有獲得有效的支撐經過激勵型防禦帶來有效的防護性就是整個態勢感知的成本收斂。

國內的能力型安全廠商基於安全實踐共同推相應的滑動標尺模型，那麼在滑動標尺中安全體系有架構安全、被動防護、積極防護、威脅情報來構成。有效防禦在基於底層收窄了須要態勢感知作出動做的決策事件數量，同時他也構成了態勢感知所造成的情報下行的有效落地手段，而態勢感知是基於上層的高價值的奢侈的頂層資源，若是沒有有效防禦使下層的事件數量迅速的有效的收斂的話，那麼態勢感知將是無異議的。

過去來看，咱們是基於大規模的互聯網掃描來造成相應的態勢，那咱們能夠說他是一個脆弱性視角，那麼若是咱們把這種流量側的檢測數據疊加到感知系統中，那能夠說他是個事件性視角。但實際上，咱們進一步從更廣闊的認識的角度來看這個問題的話。在整個網絡空間中，其實就和社會的認知論同樣，存在着主體，包括***者、防護者、安全廠商等等，存在的客體就是相關的資產以及***方使用的相關資源以及公共資源，存在的關係，主體和主體之間，比說***者和被***者之間存在的關係就是意圖，那麼***方所擁有的基礎設施和發起的***到達防護方的資產這種關係就叫作事件。因此說咱們到底是以事件爲核心的、以脆弱性爲核心的態勢感知，仍是以資產價值評價、資產威脅的有效性爲核心的態勢感知。我認爲，應該是以資產爲中心並連帶擴展他關聯的主體關係的這樣的一個態勢感知，這更逼近咱們的目的更逼近事件的本質。

從咱們過去來看威脅檢測的話，是單純的把惡意代碼也好，***數據流量也好，當成一個單純的技術事件來處理，在現在「大玩家」入場的狀況下，那麼實際上網絡***者自己以及他相應的意圖就變得更爲重要。所以威脅檢測須要向威脅認知來提高，從咱們來認知威脅的話，咱們把他分紅：載荷（相關的惡意代碼和工具）、行爲（經過這些惡意代碼和工具作了什麼）、***者使用的相關資源不管是投放點，仍是他所使用的裝備好比說***平臺，***者自己是一個什麼樣的性質，他是爲什麼目的發動***，被***的人是誰，受到的資產有哪些，以及對他相應的量損。這樣的話就造成一個N維度的威脅認知，再也不是傳統的事件記錄所能歸納，他須要一個知識體系來支撐。

那咱們以南亞次大陸對我方發動的一系列網絡***，過去咱們已經公開了兩篇報告並有一些相應的內部報告，那麼實際上咱們能夠維持一個威脅認知的圖譜來理清相應的威脅。那麼他就使整個態勢感知透過了傳統的統計意義開始深達本質。毫無疑問今天的網絡威脅再也不是簡單的以事件次數累計爲統計，那些號稱在重大的時間階段防護住了上億次的***，其實很大比例是其餘政府職能部門和安全企業承擔安保任務的掃描包。而真正意義上的像APT這種威脅的，徹底不能用事件數量這種維度來進行統計，而是要有效的評價量損、朔源、和威脅關聯。

爲何咱們今天的態勢感知更多的就是基於互聯網的廣泛性威脅探測和可視化疊加？爲何他遠離咱們的關鍵基礎設施和重要的保護目標？很大程度上是咱們缺乏相應的敵情相應，咱們認爲物理隔離加好人假定加規定推演實際上就能夠保證咱們的安全，但事實上就等因而斷開了內網安全體系的有效連接能力，而聽任***者進來能夠隨心所欲。在這種背景下，總書記在419網信工做座談會上特地告誡咱們物理隔離防線可被跨網***，所以，若是創建一個面向基礎設施和重要目標的態勢感知體系，他須要在有效敵情響應下來創建，他須要立足於：內網已被***、供應鏈被上游控制、運營商網絡關鍵路由節點被控制、物流倉儲能夠被***和劫持、關鍵人員可被定位摸底、內部人員有敵特的派駐人員或發展人員。須要立足於戰時的高烈度對抗、平時的持續性對抗、和平戰的無點性對抗和高成本對抗。

態勢感知歷來不是單純的防護技術，他自己就是從軍事領域過分來的技術，那咱們從美方的「COME DADA」計劃上來看，是經過在運營商已經造成持久數據化探測體系，在這個數據獲取的能力以內來探索他的***目標和安全廠商之間的通信來判別本身的***是否已經被用戶感受到和暴露。因此說態勢感知也好，人工智能也好，威脅情報也好，歷來任何的安全技術都是***雙方的公共地帶。