在智能時(shí)代安全防護(hù)下，除多種身份認(rèn)證外，我們還需態(tài)勢(shì)感知輔助身份識(shí)別。態(tài)勢(shì)感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢(shì)，以作出正確響應(yīng)。“全天候、全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”對(duì)態(tài)勢(shì)感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述。本文節(jié)選汪德嘉博士《身份危機(jī)》一書中的態(tài)勢(shì)感知章節(jié)，與大家分享態(tài)勢(shì)感知如何保護(hù)身份認(rèn)證安全!

　　態(tài)勢(shì)感知的概念最早是由美國(guó)空軍提出，是為提升空戰(zhàn)能力，分析空戰(zhàn)環(huán)境信息、快速判斷當(dāng)前及未來形勢(shì)，以作出正確反應(yīng)而進(jìn)行的研究探索。上世紀(jì)90年代這個(gè)概念被引入了信息安全領(lǐng)域，最知名的2003年開始的美國(guó)的愛因斯坦計(jì)劃(正式名稱國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)The National Cybersecurity Protection System)，2013年已經(jīng)開始第三期的建設(shè)，美國(guó)CERT及后續(xù)DHS(國(guó)土安全部)對(duì)態(tài)勢(shì)感知進(jìn)行了不斷探索。美國(guó)國(guó)家安全系統(tǒng)委員會(huì)對(duì)態(tài)勢(shì)感知的定義是：“在一定的時(shí)間和空間范圍內(nèi)，企業(yè)的安全態(tài)勢(shì)及其威脅環(huán)境的感知。理解這兩者的含義以及意味的風(fēng)險(xiǎn)，并對(duì)他們未來的狀態(tài)進(jìn)行預(yù)測(cè)。”態(tài)勢(shì)感知是偏重于檢測(cè)和響應(yīng)分析能力的建設(shè)，這確實(shí)是現(xiàn)實(shí)最迫切的安全需要。

　　態(tài)勢(shì)感知需求

　　面對(duì)新的安全形勢(shì)，傳統(tǒng)安全體系遭遇瓶頸，需要進(jìn)一步提升安全運(yùn)營(yíng)水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)。從美國(guó)對(duì)愛因斯坦計(jì)劃的持續(xù)不斷投入，可以看到網(wǎng)絡(luò)空間安全的態(tài)勢(shì)感知，對(duì)于國(guó)家、行業(yè)有多么重要的意義。我國(guó)的網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻，截止2016年底，僅360公司就累計(jì)監(jiān)測(cè)到針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的APT組織36個(gè)，最近仍處于活躍狀態(tài)的APT組織至少有13個(gè)，這些組織的攻擊目標(biāo)涵蓋了政府機(jī)關(guān)、高校、科研機(jī)構(gòu)以及關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)/企業(yè)。今年爆發(fā)的WannaCry勒索蠕蟲，更讓我們看到了網(wǎng)絡(luò)武器民用化之后可能造成的巨大災(zāi)害。

　　從現(xiàn)實(shí)中的網(wǎng)絡(luò)安全建設(shè)看，多年來我們一直偏重于架構(gòu)安全(漏洞管理、系統(tǒng)加固、安全域劃分等)和被動(dòng)防御能力(IPS、WAF、AV等)的建設(shè)，雖取得了一定的成果，也遇到發(fā)展瓶頸。簡(jiǎn)單通過購買更多的安全設(shè)備已經(jīng)不能使安全能力有提升，需要進(jìn)一步提升安全運(yùn)營(yíng)水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)。在之前建立了一定自動(dòng)化防御能力的基礎(chǔ)上，開始增加在非特征技術(shù)檢測(cè)能力上的投入，以及事件響應(yīng)分析能力的建設(shè);并通過對(duì)事件的深度分析及信息情報(bào)共享，建立預(yù)測(cè)預(yù)警并針對(duì)性改善安全系統(tǒng)，最終達(dá)到有效檢測(cè)、防御新型攻擊威脅之目的。2017年4月19日，習(xí)總書記在網(wǎng)絡(luò)安全和信息工作座談會(huì)上的講話中，明確提出建設(shè)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”，正是針對(duì)了這些現(xiàn)實(shí)中的網(wǎng)絡(luò)安全問題。

　　態(tài)勢(shì)感知保護(hù)身份認(rèn)證安全

　　網(wǎng)絡(luò)安全與戰(zhàn)爭(zhēng)一樣，本質(zhì)是攻防雙方的對(duì)抗，攻防之戰(zhàn)，速度為王，作為防守方的目標(biāo)是縮短攻擊者的自由攻擊時(shí)間。態(tài)勢(shì)感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢(shì)，以作出正確響應(yīng)。“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”對(duì)態(tài)勢(shì)感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述。全天候全方位，可以理解為時(shí)間維度和檢測(cè)內(nèi)容維度。

　　在時(shí)間維度上，需要利用已有實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的檢測(cè)技術(shù)，還需要通過更長(zhǎng)時(shí)間數(shù)據(jù)來分析發(fā)現(xiàn)異常行為特別是失陷情況。

　　在內(nèi)容維度上，也需要覆蓋網(wǎng)絡(luò)流量、終端行為、內(nèi)容載荷三個(gè)方面。要完整提供以下5類檢測(cè)能力，或者說至少4類(參照Gartner：Five Stylesof Advanced Threat Defense)：

　　(1)基于流量特征的實(shí)時(shí)檢測(cè)(WAF、IPS、NGFW等)

　　(2)基于流量日志的異常分析機(jī)制(流量傳感器、Hunting、UEBA)

　　(3)針對(duì)內(nèi)容的靜態(tài)、動(dòng)態(tài)分析機(jī)制(沙箱)

　　(4)基于終端行為特征的實(shí)時(shí)檢測(cè)(ESP)

　　(5)基于終端行為日志的異常分析機(jī)制(EDR、Hunting、UEBA)

　　“態(tài)”指是從全局角度看到的現(xiàn)狀，包括組織自身的威脅狀態(tài)和整體的安全環(huán)境，需要基于之前提到的5種檢測(cè)能力盡可能的發(fā)現(xiàn)攻擊事件或攻擊線索，同時(shí)需要對(duì)涉及到的報(bào)警提供進(jìn)一步的分析，回答以下的問題：是真實(shí)的攻擊嗎?是否可能誤報(bào)?是否把掃描識(shí)別為真實(shí)攻擊?是什么性質(zhì)的攻擊?定向或者隨機(jī)?可能的影響范圍和危害，緩解或者清除的方法及難度。無法正確的回答這些問題，只是簡(jiǎn)單的將報(bào)警在地圖上呈現(xiàn)就無法體現(xiàn)有現(xiàn)實(shí)價(jià)值的“態(tài)”，無法確定是否可以進(jìn)入處置流程。

　　“勢(shì)”，即未來的狀態(tài)。要能預(yù)測(cè)組織未來的安全狀態(tài)，需要對(duì)現(xiàn)階段所面臨的攻擊事件特別是定向攻擊事件有深入的了解：是新的攻擊團(tuán)隊(duì)還是已知團(tuán)伙，攻擊者的意圖，攻擊者的技戰(zhàn)術(shù)水平及特點(diǎn)，是否屬于一次大型戰(zhàn)役的一部分。了解這些信息，同時(shí)通過信息和情報(bào)共享，對(duì)同行業(yè)或相似部門的相關(guān)此類信息也有所了解，就能夠預(yù)測(cè)未來可能處于的安全狀態(tài)以及需要防御的重點(diǎn)，即預(yù)測(cè)預(yù)防能力。

　　要完成態(tài)勢(shì)感知的建設(shè)目標(biāo)，需要具備以下三大核心要素：流量數(shù)據(jù)采集、威脅情報(bào)和安全分析師。

　　流量數(shù)據(jù)采集相對(duì)而言實(shí)施難度較小，同時(shí)還有著不可替代的價(jià)值：通過流量日志進(jìn)行安全狩獵或者異常檢測(cè)、分析攻擊事件的影響范圍、回溯完整的攻擊鏈和TTP(戰(zhàn)術(shù)、技術(shù)和過程)。因此流量數(shù)據(jù)是態(tài)勢(shì)感知中必須考慮的一環(huán)。

　　威脅情報(bào)是隨著新型威脅防御快速成長(zhǎng)的一個(gè)領(lǐng)域，在態(tài)勢(shì)感知建設(shè)中有著決定性的作用。最經(jīng)常被提到的一類是可機(jī)讀情報(bào)(MRTI)，主要是賦能給安全產(chǎn)品，增強(qiáng)或升級(jí)其安全能力。

　　為了幫助安全分析師完成對(duì)事件的分析，威脅情報(bào)領(lǐng)域內(nèi)提供了專業(yè)的情報(bào)分析工具(情報(bào)分析平臺(tái)/關(guān)聯(lián)分析平臺(tái))，分析師通過這樣的平臺(tái)可以方便的完成過去付出極大體力和腦力也難以進(jìn)行的工作：判定一個(gè)攻擊是否屬于已知攻擊，查找和攻擊相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施(域名、主機(jī))及樣本，了解這些基礎(chǔ)設(shè)施和樣本的詳情，判定攻擊是否和某個(gè)已知團(tuán)伙相關(guān)并了解這個(gè)攻擊團(tuán)伙的基本情況。威脅情報(bào)中還有一類TTP類型的情報(bào)，屬于人讀的情報(bào)，主要針對(duì)已發(fā)生的重要安全事件，分析攻擊者的攻擊范圍、攻擊目的、具體的技戰(zhàn)術(shù)手法和攻擊過程，并提煉出防御建議。

　　流量數(shù)據(jù)和威脅情報(bào)都很重要，但它們能發(fā)揮多大作用，最終還是要依賴與人的力量，其中最重要的是安全分析師，是安全運(yùn)營(yíng)中的高級(jí)人才。安全分析師的成長(zhǎng)需要較好的環(huán)境(如數(shù)據(jù)和情報(bào))、以及大量的實(shí)戰(zhàn)機(jī)會(huì)，難以大批量培養(yǎng)。安全分析師是態(tài)勢(shì)感知必須倚重的重要部分，是確定態(tài)勢(shì)感知項(xiàng)目成敗的又一個(gè)關(guān)鍵因素。成功的態(tài)勢(shì)項(xiàng)目必須考慮到如何引入或培養(yǎng)這樣的人才，并通過提供好的工具和流程來支撐他們高效的完成任務(wù)。

　　態(tài)勢(shì)感知是綜合性的安全能力建設(shè)，流量數(shù)據(jù)、威脅情報(bào)以及安全分析師是影響項(xiàng)目成敗的關(guān)鍵因素，另外大數(shù)據(jù)平臺(tái)、可視化、資產(chǎn)管理等也很重要。

　　如何建設(shè)態(tài)勢(shì)感知

　　針對(duì)嚴(yán)峻的移動(dòng)應(yīng)用安全和移動(dòng)終端安全問題，提出了終端威脅感知的解決方案，可為政府、金融、運(yùn)營(yíng)商、電商等獨(dú)立運(yùn)營(yíng)APP的企業(yè)客戶提供移動(dòng)威脅的實(shí)時(shí)監(jiān)測(cè)和預(yù)警防控功能。同時(shí)，對(duì)這些企業(yè)的APP用戶在登錄、支付等關(guān)鍵業(yè)務(wù)環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)提示，及時(shí)攔截危險(xiǎn)業(yè)務(wù)。主要功能為：威脅感知、威脅概覽、終端環(huán)境安全檢測(cè)、攻擊監(jiān)測(cè)、程序運(yùn)行監(jiān)測(cè)。

　　終端威脅感知平臺(tái)通過對(duì)移動(dòng)終端環(huán)境威脅、終端應(yīng)用威脅、終端程序運(yùn)行數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、計(jì)算、深入挖掘和關(guān)聯(lián)分析，向用戶提供實(shí)時(shí)的威脅信息和威脅預(yù)警，同時(shí)可對(duì)已知威脅進(jìn)行溯源追蹤，精準(zhǔn)定位威脅源頭，對(duì)潛在威脅進(jìn)行有效防御威。對(duì)攻擊手段擊手段、攻擊目標(biāo)等進(jìn)行威脅分析，對(duì)攻擊應(yīng)用攻擊應(yīng)用、版本設(shè)備等信息進(jìn)行威脅管控，對(duì)攻擊地域、攻擊系統(tǒng)、攻擊時(shí)間分布等進(jìn)行威脅統(tǒng)計(jì)，同時(shí)采用可視化技術(shù)手段，形成終端威脅的綜合態(tài)綜合態(tài)勢(shì)圖，借助威脅可視化為安全管理人員提供輔助決策信息。

　　結(jié)語

　　面對(duì)新的安全形勢(shì)，傳統(tǒng)安全體系遭遇瓶頸，移動(dòng)終端的安全也成為身份認(rèn)證安全的隱患之一，需要進(jìn)一步提升安全運(yùn)營(yíng)水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)。態(tài)勢(shì)感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢(shì)，以作出正確響應(yīng)。從而充分做到身份認(rèn)證在事前、事中、事后都可以得到充分保障。

　　目前國(guó)內(nèi)網(wǎng)上銀行的安全認(rèn)證方式呈現(xiàn)多樣化發(fā)展，從之前更多依賴簡(jiǎn)單的帳號(hào)密碼，逐漸新增了數(shù)字證書、動(dòng)態(tài)密碼、一次性密碼等新的認(rèn)證方式。2008年至今各大銀行在安全認(rèn)證方面不斷加大力度，工行推出了手機(jī)短信認(rèn)證服務(wù)、浦發(fā)推出了“移動(dòng)數(shù)字證書+動(dòng)態(tài)密碼”認(rèn)證新方式等。接下來的章節(jié)中將與大家分享銀行身份認(rèn)證技術(shù)以及所面臨的危機(jī)，敬請(qǐng)期待!