在智能時代安全防護下，除多種身份認證外，我們還需態(tài)勢感知輔助身份識別。態(tài)勢感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢，以作出正確響應(yīng)?！叭旌蛉轿桓兄W(wǎng)絡(luò)安全態(tài)勢”對態(tài)勢感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述。本文節(jié)選汪德嘉博士《身份危機》一書中的態(tài)勢感知章節(jié)，與大家分享態(tài)勢感知如何保護身份認證安全！

態(tài)勢感知的概念最早是由美國空軍提出，是為提升空戰(zhàn)能力，分析空戰(zhàn)環(huán)境信息、快速判斷當(dāng)前及未來形勢，以作出正確反應(yīng)而進行的研究探索。上世紀90年代這個概念被引入了信息安全領(lǐng)域，最知名的2003年開始的美國的愛因斯坦計劃（正式名稱國家網(wǎng)絡(luò)空間安全保護系統(tǒng)The National Cybersecurity Protection System），2013年已經(jīng)開始第三期的建設(shè)，美國CERT及后續(xù)DHS（國土安全部）對態(tài)勢感知進行了不斷探索。美國國家安全系統(tǒng)委員會對態(tài)勢感知的定義是：“在一定的時間和空間范圍內(nèi)，企業(yè)的安全態(tài)勢及其威脅環(huán)境的感知。理解這兩者的含義以及意味的風(fēng)險，并對他們未來的狀態(tài)進行預(yù)測。”態(tài)勢感知是偏重于檢測和響應(yīng)分析能力的建設(shè)，這確實是現(xiàn)實最迫切的安全需要。

態(tài)勢感知需求

面對新的安全形勢，傳統(tǒng)安全體系遭遇瓶頸，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設(shè)。從美國對愛因斯坦計劃的持續(xù)不斷投入，可以看到網(wǎng)絡(luò)空間安全的態(tài)勢感知，對于國家、行業(yè)有多么重要的意義。我國的網(wǎng)絡(luò)安全形勢非常嚴峻，截止2016年底，僅360公司就累計監(jiān)測到針對中國境內(nèi)目標(biāo)發(fā)動攻擊的APT組織36個，最近仍處于活躍狀態(tài)的APT組織至少有13個，這些組織的攻擊目標(biāo)涵蓋了政府機關(guān)、高校、科研機構(gòu)以及關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)/企業(yè)。今年爆發(fā)的WannaCry勒索蠕蟲，更讓我們看到了網(wǎng)絡(luò)武器民用化之后可能造成的巨大災(zāi)害。

從現(xiàn)實中的網(wǎng)絡(luò)安全建設(shè)看，多年來我們一直偏重于架構(gòu)安全（漏洞管理、系統(tǒng)加固、安全域劃分等）和被動防御能力（IPS、WAF、AV等）的建設(shè)，雖取得了一定的成果，也遇到發(fā)展瓶頸。簡單通過購買更多的安全設(shè)備已經(jīng)不能使安全能力有提升，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設(shè)。在之前建立了一定自動化防御能力的基礎(chǔ)上，開始增加在非特征技術(shù)檢測能力上的投入，以及事件響應(yīng)分析能力的建設(shè)；并通過對事件的深度分析及信息情報共享，建立預(yù)測預(yù)警并針對性改善安全系統(tǒng)，最終達到有效檢測、防御新型攻擊威脅之目的。2017年4月19日，習(xí)總書記在網(wǎng)絡(luò)安全和信息工作座談會上的講話中，明確提出建設(shè)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”，正是針對了這些現(xiàn)實中的網(wǎng)絡(luò)安全問題。

態(tài)勢感知保護身份認證安全

網(wǎng)絡(luò)安全與戰(zhàn)爭一樣，本質(zhì)是攻防雙方的對抗，攻防之戰(zhàn)，速度為王，作為防守方的目標(biāo)是縮短攻擊者的自由攻擊時間。態(tài)勢感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢，以作出正確響應(yīng)。“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”對態(tài)勢感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述。全天候全方位，可以理解為時間維度和檢測內(nèi)容維度。

在時間維度上，需要利用已有實時或準(zhǔn)實時的檢測技術(shù)，還需要通過更長時間數(shù)據(jù)來分析發(fā)現(xiàn)異常行為特別是失陷情況。

在內(nèi)容維度上，也需要覆蓋網(wǎng)絡(luò)流量、終端行為、內(nèi)容載荷三個方面。要完整提供以下5類檢測能力，或者說至少4類（參照Gartner：Five Stylesof Advanced Threat Defense）：

（1）基于流量特征的實時檢測（WAF、IPS、NGFW等）

（2）基于流量日志的異常分析機制（流量傳感器、Hunting、UEBA）

（3）針對內(nèi)容的靜態(tài)、動態(tài)分析機制（沙箱）

（4）基于終端行為特征的實時檢測(ESP)

（5）基于終端行為日志的異常分析機制(EDR、Hunting、UEBA)

“態(tài)”指是從全局角度看到的現(xiàn)狀，包括組織自身的威脅狀態(tài)和整體的安全環(huán)境，需要基于之前提到的5種檢測能力盡可能的發(fā)現(xiàn)攻擊事件或攻擊線索，同時需要對涉及到的報警提供進一步的分析，回答以下的問題：是真實的攻擊嗎？是否可能誤報？是否把掃描識別為真實攻擊？是什么性質(zhì)的攻擊？定向或者隨機？可能的影響范圍和危害，緩解或者清除的方法及難度。無法正確的回答這些問題，只是簡單的將報警在地圖上呈現(xiàn)就無法體現(xiàn)有現(xiàn)實價值的“態(tài)”，無法確定是否可以進入處置流程。

“勢”，即未來的狀態(tài)。要能預(yù)測組織未來的安全狀態(tài)，需要對現(xiàn)階段所面臨的攻擊事件特別是定向攻擊事件有深入的了解：是新的攻擊團隊還是已知團伙，攻擊者的意圖，攻擊者的技戰(zhàn)術(shù)水平及特點，是否屬于一次大型戰(zhàn)役的一部分。了解這些信息，同時通過信息和情報共享，對同行業(yè)或相似部門的相關(guān)此類信息也有所了解，就能夠預(yù)測未來可能處于的安全狀態(tài)以及需要防御的重點，即預(yù)測預(yù)防能力。

要完成態(tài)勢感知的建設(shè)目標(biāo)，需要具備以下三大核心要素：流量數(shù)據(jù)采集、威脅情報和安全分析師。

流量數(shù)據(jù)采集相對而言實施難度較小，同時還有著不可替代的價值：通過流量日志進行安全狩獵或者異常檢測、分析攻擊事件的影響范圍、回溯完整的攻擊鏈和TTP（戰(zhàn)術(shù)、技術(shù)和過程）。因此流量數(shù)據(jù)是態(tài)勢感知中必須考慮的一環(huán)。

威脅情報是隨著新型威脅防御快速成長的一個領(lǐng)域，在態(tài)勢感知建設(shè)中有著決定性的作用。最經(jīng)常被提到的一類是可機讀情報（MRTI），主要是賦能給安全產(chǎn)品，增強或升級其安全能力。

為了幫助安全分析師完成對事件的分析，威脅情報領(lǐng)域內(nèi)提供了專業(yè)的情報分析工具（情報分析平臺／關(guān)聯(lián)分析平臺），分析師通過這樣的平臺可以方便的完成過去付出極大體力和腦力也難以進行的工作：判定一個攻擊是否屬于已知攻擊，查找和攻擊相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（域名、主機）及樣本，了解這些基礎(chǔ)設(shè)施和樣本的詳情，判定攻擊是否和某個已知團伙相關(guān)并了解這個攻擊團伙的基本情況。威脅情報中還有一類TTP類型的情報，屬于人讀的情報，主要針對已發(fā)生的重要安全事件，分析攻擊者的攻擊范圍、攻擊目的、具體的技戰(zhàn)術(shù)手法和攻擊過程，并提煉出防御建議。

流量數(shù)據(jù)和威脅情報都很重要，但它們能發(fā)揮多大作用，最終還是要依賴與人的力量，其中最重要的是安全分析師，是安全運營中的高級人才。安全分析師的成長需要較好的環(huán)境（如數(shù)據(jù)和情報）、以及大量的實戰(zhàn)機會，難以大批量培養(yǎng)。安全分析師是態(tài)勢感知必須倚重的重要部分，是確定態(tài)勢感知項目成敗的又一個關(guān)鍵因素。成功的態(tài)勢項目必須考慮到如何引入或培養(yǎng)這樣的人才，并通過提供好的工具和流程來支撐他們高效的完成任務(wù)。

態(tài)勢感知是綜合性的安全能力建設(shè)，流量數(shù)據(jù)、威脅情報以及安全分析師是影響項目成敗的關(guān)鍵因素，另外大數(shù)據(jù)平臺、可視化、資產(chǎn)管理等也很重要。

如何建設(shè)態(tài)勢感知

針對嚴峻的移動應(yīng)用安全和移動終端安全問題，提出了終端威脅感知的解決方案，可為政府、金融、運營商、電商等獨立運營APP的企業(yè)客戶提供移動威脅的實時監(jiān)測和預(yù)警防控功能。同時，對這些企業(yè)的APP用戶在登錄、支付等關(guān)鍵業(yè)務(wù)環(huán)節(jié)進行風(fēng)險提示，及時攔截危險業(yè)務(wù)。主要功能為：威脅感知、威脅概覽、終端環(huán)境安全檢測、攻擊監(jiān)測、程序運行監(jiān)測。

終端威脅感知平臺通過對移動終端環(huán)境威脅、終端應(yīng)用威脅、終端程序運行數(shù)據(jù)進行采集、存儲、計算、深入挖掘和關(guān)聯(lián)分析，向用戶提供實時的威脅信息和威脅預(yù)警，同時可對已知威脅進行溯源追蹤，精準(zhǔn)定位威脅源頭，對潛在威脅進行有效防御威。對攻擊手段擊手段、攻擊目標(biāo)等進行威脅分析，對攻擊應(yīng)用攻擊應(yīng)用、版本設(shè)備等信息進行威脅管控，對攻擊地域、攻擊系統(tǒng)、攻擊時間分布等進行威脅統(tǒng)計，同時采用可視化技術(shù)手段，形成終端威脅的綜合態(tài)綜合態(tài)勢圖，借助威脅可視化為安全管理人員提供輔助決策信息。

結(jié)束：面對新的安全形勢，傳統(tǒng)安全體系遭遇瓶頸，移動終端的安全也成為身份認證安全的隱患之一，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設(shè)。態(tài)勢感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢，以作出正確響應(yīng)。從而充分做到身份認證在事前、事中、事后都可以得到充分保障。

目前國內(nèi)網(wǎng)上銀行的安全認證方式呈現(xiàn)多樣化發(fā)展，從之前更多依賴簡單的帳號密碼，逐漸新增了數(shù)字證書、動態(tài)密碼、一次性密碼等新的認證方式。2008年至今各大銀行在安全認證方面不斷加大力度，工行推出了手機短信認證服務(wù)、浦發(fā)推出了“移動數(shù)字證書+動態(tài)密碼”認證新方式等。接下來的章節(jié)中將與大家分享銀行身份認證技術(shù)以及所面臨的危機，敬請期待！