威胁情报驱动：态势感知绝不是单纯的“地图炮”

在战场上，指挥官的每一个战略决策都必须遵照目前敌我双方的态势来制定，否则将失一令而军破身死的悲剧便很可能会出现在自己的身上。从古至今，尤其是在战场上，态势感知能力都非常重要。

（战事沙盘示意图 来源于网络）

攻防之间的态势变化
说到底，网络安全同样是一个战场。曾经的那么几十年间，IT基础设施非常简单，所谓网络资产、流量、攻击手法“肉眼可见”。那个时候，大家的服务器都部署在自己的机房里，路由器、交换机这些资产清晰可见，公司对它们掌握绝对的话语权。

同时，黑客的攻击手法也相对单一，从病毒的制作到传播，其周期也非常长，企业只需要对防御设备设定好规则，黑客攻击并不是那么容易。所以，所谓的态势感知无非就掌握在安全人员脑袋里。就像一家不到20人的初创企业，跟他们谈ERP是没有太大意义的，因为老板就是ERP。

不过，随着黑与白之间战斗的白热化，态势感知的重要性就凸现出来了。云计算的出现让服务器可以部署在云端，移动互联、IoT的出现让企业的网络中可以接入几何倍数增加的设备。很多时候，企业自己都不知道有哪些资产，也不知道它们到底部署在哪里。

另一方面，攻击者已经演进到了分工明确的黑客团队合伙作案，攻击技术更加先进、攻击手段更加高明、攻击方法更加多样。攻击者甚至可以是小白，他们只需要在网上用很低廉的价格，就可以买到工具或者服务，动动鼠标就能发起致命的网络攻击。如果用沙盘来模拟攻防双方的态势的话，双方的落点布局一定是犬牙交错。

360企业安全集团董事长齐向东举过这样一个例子，四万名攻击者与四万名防御者同时针对一万个关键基础设施展开攻防。通常而言，攻击者只需要攻破其中一个系统就齐活了，但防御一方因事先难以知道攻击者的动向，必须同时防御这一万个基础设施，那么平均到一个基础设施的防御人员就只有四个。攻击一旦开始，攻防力量对比很可能是四万对四，结果可想而知。

更糟糕的是，在实战攻防中，情况还要更加复杂，可能还有大量的资产不知道在哪里，可能还有大量不知道的漏洞、不知道的攻击手法。在充满大量X因素的安全态势下，想要做好安全防御的难度可想而知。

态势感知是数据驱动安全的极致体现
但准确地说，“态势感知”这个词并不起源于网络安全领域，它应该来源于战场，美国空军在上世纪80年代把它系统地提出来，却因为网络安全火遍全球。

自“419”讲话中提到要“全天候、全方位感知网络安全态势”后，在安全业界，“态势感知”骤然变成了热词。到现在，几乎所有的国内安全厂商都推出了各自的态势感知产品或者解决方案。

Gartner在2011年对态势感知的定义如下：
态势感知是对威胁情报及资产漏洞信息的集成和分析，形成一幅对业务系统安全状态的准实时视图。
包括四方面的能力：
1）资产状态信息的收集——包括资产的配置状态、漏洞状态、连接情况和关键度；
2）威胁行为信息的收集——包括外部威胁行为、用户行为、对手的信息，以及目标参数的风险级别；
3）分析——支持风险估计、响应优先级划分、调查与即席查询；
4）汇报——包括长期存储，以及预置和即席报表生成。

从这个定义来看，态势感知的核心就是大数据，也是数据驱动安全的极致体现。所以360在建设态势感知系统时有个很大优势，即海量互联网大数据和企业全量数据搜集。

360态势感知系统基于360的互联网安全大数据与态势感知技术，能够有效地持续监测互联网DDoS攻击、漏洞、网站安全状况、僵尸木马蠕虫以及高级威胁，从而掌握网络安全隐患和实时了解攻击态势，协助有关监管部门预警通报监测到的网络威胁活动，并为追踪溯源提供线索。
威胁情报是态势感知的核心能力之一
在整个态势感知的闭环过程中，威胁情报起到了非常大的作用。脱离威胁情报的支持，安全人员对着地图炮也做不了太多的事情。威胁情报的作用主要体现在以下两个方面。

第一，基于可机读威胁情报起步：
及时发现失陷主机是防范重大损失实际发生的关键，IOC情报依赖DNS日志或者上网行为日志就可以进行检测分析，并且提供攻击类型、团伙、攻击方式、危害以及处置建议等上下文信息，结合企业内部数据、辅助安全人员完成对威胁的检测、分析、研判和处置。

其主要过程是，360威胁情报中心将威胁情报下发到系统中后，与检测到的特定事件或者异常行为进行关联分析和数据挖掘，结合规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构，从而快速对事件定性，并且锁定失陷主机、远控木马或者其他潜在的威胁。

第二，通过TTP情报（攻击者的战术、技术和攻击过程），进一步增强异常分析能力：
TTP情报（战术、技术、攻击过程）是提供给安全分析师及安全运营者使用的情报，关注于恶意软件、漏洞、攻击事件，着重分析其目的、危害、机制、影响范围以及检测防范机制。分析师可以快速了解攻击者的技战术特点，增强对威胁的研判和狩猎能力。
全方位、全天候态势感知能力
在威胁情报的帮助下，360态势感知系统可以提供僵木蠕毒活动感知、DDoS攻击感知、网站安全感知、高级威胁态势感知等全天候、全方位的态势感知能力。

例如在捕获某次勒索软件攻击的过程中，某网安部门在部署360态势感知系统后，结合360威胁情报中心实时下发的定制化威胁情报，与城域网流量数据进行匹配，通过规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构，成功捕获了该勒索软件，如下图：

360态势感知系统具备以下显著优势：

第一，严格坚持业务导向，做到底数摸得清、告警报的准、重点抓得到、监管推的动、成效看得见、警力受得了、指挥臂使指、配侦效果好、情报促协同、源头看得见，并以此为基础为不同用户量身定制态势感知系统功能。

第二，纯正的大数据基因。360态势感知系统采用了Sec-LDM驱动的数据治理融合技术、业务导向的大数据分析建模技术、可视化直观呈现技术+ 智能解读技术。

第三，伙伴式的大型项目实施能力。360利用强大的实施运营团队为不同用户组建专门实施保障团队，并针对该解决方案的项目专业分工明确，在项目实施阶段最大程度保证项目进度及质量。

第四，以攻防为核心的动态防御能力。360态势感知系统可通过攻防态势板块，对攻击方、受害方以及网络空间战场态势进行全方位、多维度分析研判及预测，对攻击者身份、能力、活动规律动态画像，并可对攻击战场实时还原，场景重现。

第五，内嵌智能、开放的态势大脑引擎。360态势感知系统设计理念从IT思维转变为DT思维，以大数据为驱动，建设低门槛、可视化的分析建模工具，打造众创建模，汇聚众智的安全生态平台。

第六，强大的追踪溯源与情报输出能力。360态势感知系统具备虚实映射能力，可最大化发挥数据价值，同时利用人工智能引擎AlphaD推荐的侦查方向和侦查手段，能够能够洞察敌情，输出案件线索，为侦查打击提供情报支持。

来源 360企业安全