昨天,我们通过安德斯雷理论介绍的情况感知,简要介绍了情况感知和词汇的不同定义,同时简要了解安德斯雷理论模型,这是我不断跟踪相关知识,开始整理相关知识,今天我们将根据卡内基梅隆大学的情况感知,进一步了解情况感知的知识。
态势感知 (SA)它可以帮助整个组织的决策者获得信息和理解,以便在工作过程中做出正确的决策。它可以专注于帮助个人和组织保护他们在网络领域的资产,也可以更深入。SA 可以从整个组织获取相关信息,整合和传播,帮助人们做出更好的决策。
保护组织资产
即使是最小的组织也有很多资产,必须保护它免受网络威胁。在人力不足、资金不足、过度危险的环境中,有必要优先保护部分资产。
必须发生优先级:
- 安全加固单个设备、特定网段或业务单元
- 回应风险
- 招聘特定职位
组织资产的存在是为了使组织能够开展其日常活动。保护这些资产的优先级应与资产支持的业务功能的重要性和法律后果相对应。为了使这些信息影响优先级的设置,安全从业人员必须能够将资产映射到他们支持的业务功能中,并了解这些功能的重要性。
如果您不首先了解要保护的内容、原因、内容和资产已经或未受保护的方式,则不会发生优先级或有效保护。本信息的内容部分需要建立和维护详细的资产清单。其余的信息是通过组织环境获得的。
政策和治理
资产保护的支柱提供了良好的政策和治理。组织的期望和业务需求决定了哪些活动是安全的。规则越严格,就越容易发现违规行为,从一开始就越容易防止违规行为。然而,安全从业人员必须访问策略和需求,以实现测试和预防。
准确确定信息需要访问和理解信息:
- 如何预防安全事件和漏洞
- 当事件或违规发生时
- 如何回应他们
你对如何使用个人资产、谁以及何时使用个人资产了解得越多,就越有可能完全预防违规行为,并在发生安全违规行为时被发现得越快。
安全功能
安全功能代表组织保护其资产的方法。安全功能包括技术组件、结构化过程和有机实践。它们涵盖了资产、保护和事件的整个生命周期。这些功能通常分布在多个团队中,但每个生成的信息都需要通知其他功能。安全功能活动会主动改变环境,从而影响其他功能(包括安全和业务)的优先级和有效性。
关于态势感知
对 SA 有很多描述,从Mica Endsley感知、理解、投影和解决四个功能在第一个定义模型中,到观察、定向、决策和行动OODA 循环。这些模型有助于理解情况感知的概念,但在网络安全中的实际应用并不总是明显的。
其实情况感知可以从四个方面考虑:
- 知道应该是什么。
- 跟踪是什么。
- 推断什么时候应该与什么时候不匹配。
- 对差异做点什么。
知道应该是什么
在了解企业的网络安全状态之前,我们需要了解企业应该发生什么。
特别需要知道:
- 内部和公共系统和设备的合法用户
- 授权设备及其用途
- 在哪里允许批准的流程和应用程序,以及它们如何为组织服务
安全人员获得的信息越准确,就越容易推断何时存在安全问题并采取措施。准确的信息意味着有明确的安全策略、有效的访问控制、最新的列表和详细的网络地图。挑战是组织信息通常记录不足、不完整或过时。这种情况导致分析师通过基线推断信息,如基线,最多只能提供组织环境的半准确图。
追踪什么是
知道应该是什么,知道什么是不同的。一是收集有关组织意图的信息(组织允许实现其目标的含义)。二是检查企业的真实情况。安全团队不能直接监控所有网络空间;他们必须使用他们可用的各种工具来创建地理分散和基本不可见的网络空间舞台的可见性。
总体思路是跟踪:
- 设备、工艺/应用程序和用户
- 已知的设备、工艺和应用程序存在哪些漏洞
- 各种系统和设备的使用正在发生什么变化?
- 使用模式和周期是什么,系统、设备和用户
这里的方法使用传感点的信息,并以某种方式整合信息,以便支持安全功能的分析师推断何时应匹配和不匹配。然而,跟踪活动所需的传感架构成本高,资源密集。为了实现情况感知,需要建立一个强大的联合或分布式系统,允许流程和分析师有效地访问和组合信息。
什么时候推断应该不匹配
当不应该发生的事情发生时,就会出现安全问题,如未经授权的个人访问设备、设置记录设备窃听网络、 Web 加密矿工在服务器上运行。其中一些事件很容易检测它们是否可见。例如,如果在设备上使用安全日志记录,您可以查看未经授权的用户 ID 何时尝试访问设备。或者,如果所有终端设备都应该使用内部域名系统分析器,则可以通过记录和查看离开企业的网络流量来找到任何不可用的设备。
不幸的是,我们感兴趣的许多安全问题都需要推理。例如,尽管安全日志可以跟踪用户 ID 无法确定成功登录系统的时间。登录是分配给用户的 ID个人或用户 ID 是否被盗。这种决定需要推理,这更难。
推理方法有:
- 直接违反政策
- 偏离历史数据(什么是显著变化)
- 异常值检测分析中异常值
- 新品鉴定
- 战术、技术和程序(TTP)匹配
应解决的可操作差异不仅限于安全问题;它们还包括业务和效率问题。这里的挑战是,根据知道应该是什么的所有相关信息分析,所有来自跟踪什么的信息在技术上是不可能的或实际上是不可行的。决定如何选择哪个观察子集与哪个上下文子集进行比较是一个优先级和资源问题。因此,准确反映业务优先级是非常重要的。
对差异做点什么?
如果企业不打算根据自己的知识采取行动,了解应该是什么、跟踪或推断应该是什么都没有好处。组织通常会采取措施来解决他们认为明显的安全漏洞。他们清理恶意软件感染,调查潜在数据泄露,并报告被盗资源和个人识别信息。如果组织认为这些差异并不意味着安全事件,那么组织就不太可能采取行动来解决应该是什么和应该是什么之间的差异。这种疏忽可能会使未来的安全事件更难推断。与应有内容不匹配的项目越多(即批准的用户、设备和使用),干扰和干扰推理的噪音就越大。
组织必须确保有关调查结果的信息由有关资产的组织部分传递和解决,并确保他们确定在未来预防此类问题的方法。他们可以通过在整个组织中保持良好的沟通渠道,快速传达调查结果、上下文和可操作的信息来解决问题。然而,成功需要组织责任、管理关系和明确,成功需要组织责任、管理关系和明确的责任范围。组织政治、领土纠纷和不清楚的产品和过程的所有者经常受到干扰。
态势感知过程
情境感知是一个从整个组织中获取相关信息、整合到可用信息中并重新传播的过程,以帮助整个组织中的人们做出更好的决策。
需要有效的态势感知:
- 提供跨业务部门的有效沟通,以及分析不同信息和理解信息的能力,
- 支持收集、分析和存储大量数据的技术
- 观察子集与相应的上下文子集映射能力,匹配优先级,充分利用资源。
即使在资金最充足、最成熟的组织中,在了解当前状态和应该是什么方面也存在信息差距。因此,有效的情况感知需要了解哪些增强数据将使从业者能够利用他们的信息做出有能力的推断,并了解他们能够做出的推断的局限性。