态势感知支撑体系与价值回归

当前态势感知现状反思，现状一个很重要的追求是界面的华丽，国内很大的一批工程实践其实是大规模的互联网探测扫描结果或者开源的威胁情报经过可视化的手段展现出来，这种倾向性将态势感知庸俗化。

现状更多的态势感知是被他华丽的可视化所掩盖，实际上咱们来看一种更好的表现形式未必带来生产力，在2010年咱们经过一个仪表盘的方式，观测咱们后端样本分析自动化流水线的时候，能够给工程师更好的视觉感觉和运维效率。当咱们尝试经过一个沙盘式进行巡游遍历的时候，咱们发现虽然他的接受度更好，可是毫无疑问他的生产力降低了，更好的表现力并不能带来肯定性的生产力。

咱们在态势感知的整个领域空间，陷于迷惘以后，咱们能够讲，咱们须要向传统空间寻找一些威胁知识的共性和灵感，应该说咱们当前很大程度上夸大了网络空间的威胁的特殊性，而忽略了他相应的共性，但实际上咱们看到两个空间是打通的，那咱们在传统空间中有一句很熟悉的正经格言：威胁是能力和意图的乘积。而在网络空间中，好比说咱们以APT为例，毫无疑问A就是他的能力，P就是他的意图，所以APT就是能力和意图的乘积等于威胁的过程，所以在这样的一个过程当中，实际上网络空间威胁之因此被如此看中，并不简单的在于他的特殊性，而在于他达成的与传统空间威胁的一个等效性的做用效果。就像咱们以前比较巴比伦行动、震网行动同样。而咱们进一步看，把乌克兰停电再加上此次仿“必加”勒索***乌克兰基础设施的事件，作一系列的要素对比的话，咱们能够看到，随着整个网络空间的接触面积的加大，经过网络空间达成物理空间的做业效果实际上已经具备了相应的更低的相关成本。

那么在这种背景下网络空间的规律认知不是一个独有全新空间的规律认知，而是基于他和传统空间以及传统威胁所对应的共性规律基础上的差别性认知，好比说咱们在《网络防护与态势感知》这本书中能够看到，对比传统战争和网络战争他一样是基于领域、军事政策、数学定义、必要资源等一系列要素所对应的归纳。那咱们须要在这样的一个共性基础上来看待问题需求，咱们能够当作传统的做战意义上的态势感知，其实正在为咱们网络意义上的态势感知提供了一种很是成熟的前置化的实验基础，同时咱们又能够在共性要素上来看待传统空间中已经解决了哪些危机，具备哪些特色。而网络空间中带来了哪些新问题。而这里面咱们想进一步回归态势本源那咱们就要看当前咱们对于态势感知的一个技术要求。咱们回归到态势感知最经典的1995年的概念的话，是在必定时间、空间内观察环境中的元素，理解这些元素中的意义，并预测这些元素在近期将来的状态。那咱们能够从观察、理解、预测三个步骤思考咱们须要达成的行动，而在这里面咱们须要看到的是，若是把观察、理解、预测做为一个第一阶段要求、第二阶段要求、第三阶段要求的话，那么实际上咱们是基于网络安全的基本需求和手工做业造成一个可视化和操做化的列表结果，而这个列表结果在大规模的感知数据支撑下的系统实现就是态势感知系统。那么也就是说，态势感知不是一个展现系统，其本质上注定是个业务系统。

那么做为业务系统的支撑改善咱们的采集和对象处理，那么这里来说在一样有传统的采集和对象处理相关联的，已经有理SIEM系统和SOC系统，那咱们今天看到的SIEM、SOC叠加的更好的可视化手段称为态势感知的时候，那么态势感知是SIEM加SOC的整容版吗？那实际上咱们细想一下SOC是为了管理记忆存在的离散的安全环境产生的，SIEM是为了汇聚离散的系统日志、应用日志和安全日志的所产生的，他们的一个共性是先有安全产品和感知能力，然后有相关的管理系统。那么也就是说他们的存在是既有能力造成的事实，而不是基于一个自身安全价值需求而要求底层能力的重构，所以态势感知和SIEM、SOC的核心区别是态势感知要求造成怎样的感知数据支撑并反过来要求相关的安全能力环境予以相应的变化。咱们已传统的IDS为例，实际上它是规则匹配加上必定的扩展结果对应的五元组结果的日志，那么也就意味着全部不被匹配到的数据将不被记录，那么这就不符合当今在大量的***在首次投放前不能被检测这一既定事实。而咱们今天来看，若是咱们把一个局部性质、匹配性质的采集转化成一个无条件采集，把这种五元组的简单采集转化为十三元组的全要素采集并扩展相应的字段。那我能够看到他就在相应的协议体系甚至是更细粒度的这种应用层协议上能够造成全要素加全向量的提取，从而来支持响应的态势。

那么从这里面来看以全要素采集和全对象解析为基础，如何来提升***者的成本呢？由于实际上检测是一种有条件的方式，他就意味着放行或容忍不被匹配的事件，而解析和记录是一个无条件的事件，那么就意味着不管***者的行为是否在整个规则体系中被发现，他都将被有效的记录，从而使整个数据是能够有效的回溯和相应的回归。同时来看，在整个主机侧的采集和网络侧的采集造成大量文件对象以后，该进行怎样的处理？

当前沙箱有呈现合规化产品的倾向，那么也就是简单的把沙箱视为一个鉴定器来使用，而忽略了沙箱本质是以漏洞触发、行为解释和威胁情报生产为核心目的的设备存在，更况且沙箱自己是对沙箱环境中条件运行结果的记录，所以，他所能造成的必然是整个代码行为相对局部的一个子集。咱们能够看到不管是“震网”的USB摆渡仍是“方程式”这种主机做业模块的搭建，对相应的这些样本沙箱注定没法取得好的鉴定效果和解析结果。所以沙箱既是一个必要性的环节又是一个极容易致使惰性的一个环节。若是沙箱的数据没有被有效利用，若是沙箱被当作一个引擎，那么实际上咱们就南辕北辙了。

那么为了同时弥补沙箱相应的缺损，咱们能够看到动静态手段须要更好的结合。传统的威胁检测引擎须要从一个威胁的检测器转化为一个检测的分析器，就像我刚才所说的，检测是一种有条件手段，而分析是一种无条件手段。咱们就能够看到不管引擎是否能造成对威胁对象的结果和标注能力，他都会造成细粒度的格式解析和向量提取而且从向量里进行相应的标签知识转化，这样咱们就在下一代威胁检测引擎的实践中为整个的态势感知提供了更好的一种数据架构能力，从而使原有的简单的区分有毒格式和无毒格式转化为可识别格式和不可识别格式，而且进行总体识别一切格式和解析一切格式这样的工做努力。那这样的话，就把传统引擎从一个单一对象输入单一结果输出转化为复合对象输入和一个解析的向量结构体输出的这样一个响应的特色。

刚才已经讲了，对于流量侧的处理对于对象侧的处理，而在于端点侧的处理来看，那他就不仅是生成相应的文件向量而要造成相应的系统环境向量，在这种系统的环境向量中在一个整个一个资产体系中造成向量大数据空间。

态势感知确实是以决策为核心的，不管是自动化的决策仍是人为的决策当然重要，但预见力未必能有效转化，从2015年到2016年的多篇文档中，对于相似“Wanna Cry”使用网络军火的这种外译，包括对于勒索软件的多种传播方式以及他所带来的蠕虫回巢都作出了预见，但当咱们回想起这些预见力的时候，除了转化为安全厂商自身的产品驱动力以外，是否达成的咱们想要达成的社会价值效果？能够说没有。那么这里就说明在整个资源使用中，是否能使用到最佳时点是重要的，这种过前式的预见每每并不能带来效果，而偏偏实在4月14号到5月12号之间，当咱们已经检测到了使用“永恒之蓝”漏洞的相关黑产工具的时候，若是咱们在这个时候集中释放消息预警，相比之下反而是有效的，而偏偏在于过前预警容易致使在现实问题上出现必定的麻木性。

进一步来看，若是从安全厂商来看，在响应“Wanna Cry”的过程当中，咱们均可以看到能够说有一条紧锣密鼓的响应时间链，从15月12号下午一直延展到接近三周的整个时间内，在这个过程当中，咱们能够看出一系列工具的发布，十余篇文献的编写和大量的现场的应急响应工做，耗费了巨大的应急成本。在这个过程当中，个人我的观点来看，咱们国家总体对此次响应工做是有效的，偏偏反应咱们当前所面临的无效的防御。勒索软件不是一种应该大面积经过响应来抵御的事件。怎么样才能有效的抵御呢？假定他破快的很是完全，加密的很是完全，删除的很是完全，难道要经过交赎金来响应吗？这是难以想象的！

假装“必加”事件自己就不是勒索***，而是假装成勒索***的数据破坏，一旦破坏达成的话，他的响应成本是不可估量的。所以，当前来看，好比说勒索病毒，他必然会进行批量化的文件的读取和处理，一旦一种恶意行为具备一种形式化的归纳就能够创建总体的防御，咱们能够看勒索病毒是能够经过激励型防御，包括***的MBR写入是能够进行激励型防御，那么加入说都能这样在威胁发展之中即便没有获得有效的支撑经过激励型防御带来有效的防护性就是整个态势感知的成本收敛。

国内的能力型安全厂商基于安全实践共同推相应的滑动标尺模型，那么在滑动标尺中安全体系有架构安全、被动防护、积极防护、威胁情报来构成。有效防御在基于底层收窄了须要态势感知作出动做的决策事件数量，同时他也构成了态势感知所造成的情报下行的有效落地手段，而态势感知是基于上层的高价值的奢侈的顶层资源，若是没有有效防御使下层的事件数量迅速的有效的收敛的话，那么态势感知将是无异议的。

过去来看，咱们是基于大规模的互联网扫描来造成相应的态势，那咱们能够说他是一个脆弱性视角，那么若是咱们把这种流量侧的检测数据叠加到感知系统中，那能够说他是个事件性视角。但实际上，咱们进一步从更广阔的认识的角度来看这个问题的话。在整个网络空间中，其实就和社会的认知论同样，存在着主体，包括***者、防护者、安全厂商等等，存在的客体就是相关的资产以及***方使用的相关资源以及公共资源，存在的关系，主体和主体之间，比说***者和被***者之间存在的关系就是意图，那么***方所拥有的基础设施和发起的***到达防护方的资产这种关系就叫作事件。因此说咱们到底是以事件为核心的、以脆弱性为核心的态势感知，仍是以资产价值评价、资产威胁的有效性为核心的态势感知。我认为，应该是以资产为中心并连带扩展他关联的主体关系的这样的一个态势感知，这更逼近咱们的目的更逼近事件的本质。

从咱们过去来看威胁检测的话，是单纯的把恶意代码也好，***数据流量也好，当成一个单纯的技术事件来处理，在现在“大玩家”入场的状况下，那么实际上网络***者自己以及他相应的意图就变得更为重要。所以威胁检测须要向威胁认知来提高，从咱们来认知威胁的话，咱们把他分红：载荷（相关的恶意代码和工具）、行为（经过这些恶意代码和工具作了什么）、***者使用的相关资源不管是投放点，仍是他所使用的装备好比说***平台，***者自己是一个什么样的性质，他是为什么目的发动***，被***的人是谁，受到的资产有哪些，以及对他相应的量损。这样的话就造成一个N维度的威胁认知，再也不是传统的事件记录所能归纳，他须要一个知识体系来支撑。

那咱们以南亚次大陆对我方发动的一系列网络***，过去咱们已经公开了两篇报告并有一些相应的内部报告，那么实际上咱们能够维持一个威胁认知的图谱来理清相应的威胁。那么他就使整个态势感知透过了传统的统计意义开始深达本质。毫无疑问今天的网络威胁再也不是简单的以事件次数累计为统计，那些号称在重大的时间阶段防护住了上亿次的***，其实很大比例是其余政府职能部门和安全企业承担安保任务的扫描包。而真正意义上的像APT这种威胁的，彻底不能用事件数量这种维度来进行统计，而是要有效的评价量损、朔源、和威胁关联。

为何咱们今天的态势感知更多的就是基于互联网的广泛性威胁探测和可视化叠加？为何他远离咱们的关键基础设施和重要的保护目标？很大程度上是咱们缺乏相应的敌情相应，咱们认为物理隔离加好人假定加规定推演实际上就能够保证咱们的安全，但事实上就等因而断开了内网安全体系的有效连接能力，而听任***者进来能够随心所欲。在这种背景下，总书记在419网信工做座谈会上特地告诫咱们物理隔离防线可被跨网***，所以，若是创建一个面向基础设施和重要目标的态势感知体系，他须要在有效敌情响应下来创建，他须要立足于：内网已被***、供应链被上游控制、运营商网络关键路由节点被控制、物流仓储能够被***和劫持、关键人员可被定位摸底、内部人员有敌特的派驻人员或发展人员。须要立足于战时的高烈度对抗、平时的持续性对抗、和平战的无点性对抗和高成本对抗。

态势感知历来不是单纯的防护技术，他自己就是从军事领域过分来的技术，那咱们从美方的“COME DADA”计划上来看，是经过在运营商已经造成持久数据化探测体系，在这个数据获取的能力以内来探索他的***目标和安全厂商之间的通信来判别本身的***是否已经被用户感受到和暴露。因此说态势感知也好，人工智能也好，威胁情报也好，历来任何的安全技术都是***双方的公共地带。