1.明确态势感知平台需求背景:
1)安全防御防外为主 --> 防内为主,安全审计需求增多;
2)安全审计需求增加
3)新型犯罪增多,需要新技术解决新问题
2.态势感知大致分为感知、理解、预测三个层次,伴随网络兴起升级为“网络态势感知”。详细一点可以分为态势察觉:主动探测+被动监听采集实现多维度多层次数据源收集
态势理解和评估:对数据源进行预处理、数据融合,并进行多层次多维度态势评估
态势预测:运用数据分析模型实现态势预测,并通过可视化技术集中呈现,提供决策数据,知指导进行安全防御体系的敏捷调整和持续运营
安全决策:高层领导、部门领导、安全经理和运维人员在内,四层网络安全态势管理模式
3.态势感知的能力:
1)网络空间安全持续监控能力,及时发现各种攻击威胁与异常
2)威胁调查分析机可视化能力,对威胁相关的影响范围、攻击路径、目的、手段进行快速判断,支撑有效的安全决策和响应
3)建立安全预警机制,完善风险控制、应急响应和整体安全防护水平
4.应用方向:
1)监管机构:国家或省市层面,关键信息基础设施安全态势进行整体监控与关注
2)大型行业:1.体系内部建立态势感知,应用于内部安全运营,发现重要威胁,解决问题,让安全能力落地 2.利用态势感知对多分支或二级单位进行外部监管,提升整体安全状态掌握,同时与监控机构进行事件应急处置及威胁情报的合作
3)大型机构或企业:从日常安全工作角度出发,对有价值核心资产、业务系统安全状态进行感知,发现各类威胁与内部异常违规,保证业务系统能够平稳、顺畅运行,更偏内部安全运营能力落地
5.建设目的:
监测:提供网络安全持续监控能力,及时发现攻击威胁及异常,尤其是针对性攻击
分析、响应:建立威胁可视化及分析能力,对威胁影响范围、攻击路径、目的、手段进行快速判研,进行有效安全决策和响应
预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息
防御:利用掌握攻击者相关目的、技战术,攻击工具等情报,完善防御体系
6.应用价值:
应对关键性威胁:快速发现实现主机;主机web安全保障
提升分析研判能力:1)分析研判保障事件正确响应处置、逐步完善防御架构
2)依赖外部威胁情报和本地流量日志进行有效分析研判
信息与情报共享:1)实现本行业、本领域网络安全监控预警和信息通报
2)研判分析和情报共享是预警、预测的基础
履行行业监管职能:边界流量探针、云监控和外部情报监测等优选监测手段,实现对行业监管
7.真正的态势感知为了安全能力落地,及安全客观、监测、预警机响应于一体
用户需要能够实现全网安全可视、检测、预警机响应安全平台,高效感知内部安全风险,提供最终响应处置;
在外部,需要能够收集大量外部威胁情报,辅助高级安全事件分析;
在网络内部,各个子域关键节点上,通过探针湖泊安全设备,精准采集有效检测信息;
将外部威胁情报和内部真实数据汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部高级威胁进行检测、判断、响应,并通过可视化最终感知网络是否安全,如何处置;
真正态势感知应该基于环境、动态、整体洞悉安全风险的能力,安全大数据为基础,全具视角提升安全威胁发现识别、理解分析、响应处置能力的一种方式,实现安全能力落地。威胁发现来源数据是基础,基于流量检测、人工智能等技术进行检测分析是核心,进行可视呈现是必要,儿最终响应处置落地能力是关键
8.第一步:几个问题:
提出背景是什么?
解决了用户什么问题,是不是用户想要的?
有什么商业价值?
背后的商业模式和运营模式是什么?
需求管理-业务学习:要点–分析需求,明确要做什么
查询资料–查询态势感知平台,考核管理系统等方面资料,熟悉知识体系
竞品分析–寻找类似产品,了解产品,能解决什么问题
人员沟通–与一线人员沟通需求,或与用户聊聊需求
9.第二步:
梳理流程:要点–了解业务,明白业务内容;梳理业务流程,明晰业务前后端或上下级数据交互情况;解构所有流程,梳理主业务与子业务关系
主流程–核心业务:设定考核指标、统计方式
子流程–支撑核心业务,考核算法需要高度可拓展
10. 第三步:
框架设计:要点–构思框架,描述产品形态
怎么“做”–功能导图:立足需求,抽象立体功能。需求分类、功能结构重组,搭建产品信息架构(IA),引入专业人员提升产品专业度及行业边界
–产品原型:是它对已拥有明确思路和需求范围的产品构思重现过程,需要快速重现和迭代
信息加工:把复杂的产品需求精化为立体功能结构框架,更具可行性和落地性
方向–全方位数据分析:用户最关心的指标、最反映管理现状的指标、最能预测未来趋势指标、可获得指标
11.第四步:迭代规划
12.数据来源:定期收集相关数据、数据驱动的安全数据、在符合隐私法规及推荐实践情况下开发大数据应用程序
13.参考:“安全智能中的大数据分析”
14.非功能性需求:性能需求:响应时间、吞吐量、资源利用率
安全性:保密性、防泄漏、权限控制、防攻击
可维护性与可拓展性:模块性、可复用性、易分析性
可靠性:易恢复性、容错性、成熟性
易用性:易学习性、易操作性、用户错误防御机制、用户界面美观等
————————————————
版权声明:本文为CSDN博主「樱彩华」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_41679537/article/details/110474846