日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
態(tài)勢感知之網(wǎng)絡安全態(tài)勢感知

昨天,我們通過??態(tài)勢感知之安德斯雷理論簡介??,簡單介紹了態(tài)勢感知以及中西方對這個詞匯的不同定義,同時簡單了解了一下安德斯雷理論模型,這也是我不斷跟蹤相關知識后,開始著手整理相關知識資料,今天我們將根據(jù)卡內(nèi)基梅隆大學對態(tài)勢感知的介紹,進一步學習了解態(tài)勢感知方面的知識。

創(chuàng)新互聯(lián)公司成立十多年來,這條路我們正越走越好,積累了技術與客戶資源,形成了良好的口碑。為客戶提供網(wǎng)站制作、成都網(wǎng)站建設、網(wǎng)站策劃、網(wǎng)頁設計、申請域名、網(wǎng)絡營銷、VI設計、網(wǎng)站改版、漏洞修補等服務。網(wǎng)站是否美觀、功能強大、用戶體驗好、性價比高、打開快等等,這些對于網(wǎng)站建設都非常重要,創(chuàng)新互聯(lián)公司通過對建站技術性的掌握、對創(chuàng)意設計的研究為客戶提供一站式互聯(lián)網(wǎng)解決方案,攜手廣大客戶,共同發(fā)展進步。

態(tài)勢感知 (SA)可幫助整個組織的決策者獲得可用于在工作過程中做出正確決策的信息和理解??梢詫W⒂趲椭鷤€人和組織保護他們在網(wǎng)絡領域的資產(chǎn),也可以更深遠。SA 可以從整個組織中獲取相關信息、整合這些信息并進行傳播,以幫助人們做出更好的決策。

保護組織資產(chǎn)

即使是最小的組織也有許多資產(chǎn),也必須保護其免受網(wǎng)絡威脅。在人手不足、資金不足和過度危險的環(huán)境中,優(yōu)先保護某些資產(chǎn)是必要的。

優(yōu)先級必須發(fā)生在:

  • 單個設備和特定網(wǎng)段或業(yè)務單元的安全加固
  • 對風險的回應
  • 招聘特定職位

組織資產(chǎn)的存在是為了使組織能夠開展其日?;顒印1Wo這些資產(chǎn)的優(yōu)先級應與資產(chǎn)支持的業(yè)務功能的重要性和法律后果相對應。為了讓這些信息影響優(yōu)先級的設置,安全從業(yè)人員必須能夠?qū)①Y產(chǎn)映射到他們支持的業(yè)務功能,并了解這些功能的重要性。

如果不首先了解要保護的內(nèi)容、原因、內(nèi)容以及資產(chǎn)已經(jīng)受到或未受到保護的方式,那么無論是優(yōu)先級還是有效保護都不會發(fā)生。此信息的“內(nèi)容”部分需要構(gòu)建和維護詳細的資產(chǎn)清單。其余信息是通過組織環(huán)境獲得的。

政策和治理

資產(chǎn)保護的支柱提供了良好的政策和治理。組織的期望和業(yè)務需求決定了哪些活動是安全問題。規(guī)則越嚴格,就越容易發(fā)現(xiàn)違規(guī)行為,也就越容易從一開始就防止違規(guī)行為。但是,必須使安全從業(yè)人員可以訪問策略和需求,以實現(xiàn)檢測和預防。

訪問和理解信息是準確確定信息所必需的:

  • 如何預防安全事件和漏洞
  • 當事件或違規(guī)發(fā)生時
  • 如何回應他們

對如何使用個人資產(chǎn)、由誰以及何時使用個人資產(chǎn)的了解越多,就越有可能完全防止違規(guī)行為,并且在安全違規(guī)事件發(fā)生時越快被發(fā)現(xiàn)。

安全功能

安全功能代表組織用來保護其資產(chǎn)的方法。安全功能包括技術組件、結(jié)構(gòu)化流程和有機實踐。它們涵蓋資產(chǎn)、保護和事件的整個生命周期。這些功能通常分布在多個團隊中,但它們每個生成的信息對于通知其他功能是必要的。安全功能的活動會主動改變環(huán)境,因此會影響其他功能(包括安全和業(yè)務)的優(yōu)先級和有效性。

關于態(tài)勢感知

對 SA 的描述有很多,從Mica Endsley首次定義的模型中的感知、理解、投射和解決四個功能,到“觀察、定向、決定和行動”的OODA 循環(huán)。這些模型有助于理解態(tài)勢感知的概念,但在網(wǎng)絡安全中的實際應用并不總是顯而易見的。

實際上可以從四個方面來考慮態(tài)勢感知:

  • 知道應該是什么。
  • 跟蹤是什么。
  • 推斷什么時候應該和什么時候不匹配。
  • 對差異做一些事情。

知道應該是什么

在我們了解企業(yè)的網(wǎng)絡安全狀態(tài)之前,需要很好地了解該企業(yè)應該發(fā)生的事情。

特別是需要知道:

  • 內(nèi)部和面向公眾的系統(tǒng)和設備的合法用戶
  • 授權設備及其用途
  • 批準的流程和應用程序,在哪里被允許,以及它們?nèi)绾螢榻M織服務

安全人員可獲得的信息越準確,就越容易推斷何時存在安全問題并對其采取措施。準確的信息意味著擁有明確定義的安全策略、有效的訪問控制、最新的清單和詳細的網(wǎng)絡圖。挑戰(zhàn)在于組織信息通常記錄不充分、不完整或過時。這種情況導致分析師通過例如基線推斷信息,這充其量只能提供組織環(huán)境的半準確圖。

追蹤什么是

知道應該是什么和知道什么是不同的。第一個是關于收集有關組織意圖的信息(組織允許實現(xiàn)其目標的含義)。第二個是關于檢查企業(yè)的真實情況。安全團隊無法直接監(jiān)控所有網(wǎng)絡空間;他們必須使用他們可用的各種工具來創(chuàng)建對地理分散且基本上不可見的網(wǎng)絡空間舞臺的可見性。

總體思路是跟蹤:

  • 觀察到的設備、進程/應用程序和用戶
  • 觀察到的設備、進程和應用程序存在哪些已知漏洞
  • 各種系統(tǒng)和設備的使用方式正在發(fā)生怎樣的變化
  • 系統(tǒng)、設備和用戶存在哪些使用模式和周期

此處的方法使用來自傳感點的信息,并以某種方式整合該信息,以便支持安全功能的分析師推斷何時應該匹配和不匹配。然而,跟蹤活動所需的傳感架構(gòu)成本高昂且資源密集。允許流程和分析人員有效地訪問和組合信息需要構(gòu)建一個強大的聯(lián)合或分布式系統(tǒng)以實現(xiàn)態(tài)勢感知。

推斷何時應該和何時不匹配

當某些不應該發(fā)生的事情發(fā)生時,就會出現(xiàn)安全問題,例如,未經(jīng)授權的個人訪問設備、設置記錄設備以竊聽網(wǎng)絡、在 Web 服務器上運行加密礦工等。其中一些事件是很容易檢測它們是否可見。例如,如果在設備上啟用了安全日志記錄,您可以通過查看安全日志來發(fā)現(xiàn)未經(jīng)授權的用戶 ID 何時嘗試訪問設備?;蛘?,如果所有端點設備都應該使用內(nèi)部域名系統(tǒng)解析器,則可以通過記錄和查看離開企業(yè)的網(wǎng)絡流量來找到任何不可用的設備。

不幸的是,我們感興趣的許多安全問題都需要推理。例如,雖然安全日志可以跟蹤用戶 ID 成功登錄系統(tǒng)的時間,無法確定登錄是由分配給該用戶 ID 的個人還是該用戶 ID 是否被盜。這種確定需要推理,這更難。

一些推理方法是:

  • 直接違反政策
  • 與歷史數(shù)據(jù)的偏差(什么是顯著變化)
  • 異常值檢測分析中出現(xiàn)異常異常值
  • 新品鑒定
  • 戰(zhàn)術、技術和程序 (TTP)匹配

應該解決的可操作差異不僅限于安全問題;它們還包括業(yè)務和效率問題。這里的挑戰(zhàn)是,根據(jù)“知道應該是什么”的所有相關信息分析來自“跟蹤什么”的所有信息在技術上是不可能的或?qū)嶋H上是不可行的。決定如何選擇應該將哪個觀察子集與哪個上下文子集進行比較是優(yōu)先級和資源的問題。因此,可用的上下文、可見性和資源準確反映業(yè)務優(yōu)先級非常重要。

對差異做點什么

如果企業(yè)不打算根據(jù)其獲得的知識采取行動,那么了解應該是什么、跟蹤是什么或推斷應該是什么都沒有任何好處。組織通常會對他們認為明顯的安全漏洞采取措施。他們清理惡意軟件感染,調(diào)查潛在的數(shù)據(jù)泄露,并報告被盜資源和個人識別信息。如果組織認為這些差異不代表安全事件,則組織不太可能對應該是什么與應該是什么之間的差異采取行動。這樣的疏忽可能使推斷未來的安全事件變得更加困難。與應有的內(nèi)容不匹配的項目越多(即批準的用戶、設備和使用情況),干擾和干擾推理的噪音就越多。

組織必須確保有關調(diào)查結(jié)果的信息由負責所涉及資產(chǎn)的組織部分傳遞和解決,并確保他們確定在未來防止此類問題的方法。他們可以通過在整個組織內(nèi)保持良好的溝通渠道并快速傳達調(diào)查結(jié)果和上下文信息以及可操作的情報來做到這一點,以便責任方在出現(xiàn)問題時解決問題。然而,成功需要組織責任、管理關系和明確定義的責任范圍。組織政治、地盤之爭以及不清楚的產(chǎn)品和流程所有者經(jīng)常會干擾。

態(tài)勢感知過程

態(tài)勢感知是從整個組織中獲取相關信息、將其整合到可用情報中并重新傳播出去以幫助整個組織中的人們做出更好決策的過程。

有效的態(tài)勢感知需要:

  • 人員提供跨業(yè)務部門的有效溝通,以及分析不同信息并理解信息的能力,
  • 支持收集、分析和存儲大量數(shù)據(jù)的技術,以及
  • 以匹配優(yōu)先級并充分利用資源的方式將觀察子集與相應的上下文子集映射的能力。

即使在資金最充足、最成熟的組織中,在了解當前狀態(tài)和應該是什么方面也存在信息差距。因此,有效的態(tài)勢感知需要了解哪些增強數(shù)據(jù)將使從業(yè)者能夠利用他們擁有的信息做出有能力的推斷,并了解他們能夠做出的推斷的局限性。


網(wǎng)頁標題:態(tài)勢感知之網(wǎng)絡安全態(tài)勢感知
文章網(wǎng)址:http://m.5511xx.com/article/dpjiiph.html