昨天，我們通過??態勢感知之安德斯雷理論簡介??，簡單介紹了態勢感知以及中西方對這個詞匯的不同定義，同時簡單了解了一下安德斯雷理論模型，這也是我不斷跟蹤相關知識后，開始著手整理相關知識資料，今天我們將根據卡內基梅隆大學對態勢感知的介紹，進一步學習了解態勢感知方面的知識。

態勢感知 (SA)可幫助整個組織的決策者獲得可用于在工作過程中做出正確決策的信息和理解。可以專注于幫助個人和組織保護他們在網絡領域的資產，也可以更深遠。SA 可以從整個組織中獲取相關信息、整合這些信息并進行傳播，以幫助人們做出更好的決策。

保護組織資產

即使是最小的組織也有許多資產，也必須保護其免受網絡威脅。在人手不足、資金不足和過度危險的環境中，優先保護某些資產是必要的。

優先級必須發生在：

• 單個設備和特定網段或業務單元的安全加固
• 對風險的回應
• 招聘特定職位

組織資產的存在是為了使組織能夠開展其日常活動。保護這些資產的優先級應與資產支持的業務功能的重要性和法律后果相對應。為了讓這些信息影響優先級的設置，安全從業人員必須能夠將資產映射到他們支持的業務功能，并了解這些功能的重要性。

如果不首先了解要保護的內容、原因、內容以及資產已經受到或未受到保護的方式，那么無論是優先級還是有效保護都不會發生。此信息的“內容”部分需要構建和維護詳細的資產清單。其余信息是通過組織環境獲得的。

政策和治理

資產保護的支柱提供了良好的政策和治理。組織的期望和業務需求決定了哪些活動是安全問題。規則越嚴格，就越容易發現違規行為，也就越容易從一開始就防止違規行為。但是，必須使安全從業人員可以訪問策略和需求，以實現檢測和預防。

訪問和理解信息是準確確定信息所必需的：

• 如何預防安全事件和漏洞
• 當事件或違規發生時
• 如何回應他們

對如何使用個人資產、由誰以及何時使用個人資產的了解越多，就越有可能完全防止違規行為，并且在安全違規事件發生時越快被發現。

安全功能

安全功能代表組織用來保護其資產的方法。安全功能包括技術組件、結構化流程和有機實踐。它們涵蓋資產、保護和事件的整個生命周期。這些功能通常分布在多個團隊中，但它們每個生成的信息對于通知其他功能是必要的。安全功能的活動會主動改變環境，因此會影響其他功能(包括安全和業務)的優先級和有效性。

關于態勢感知

對 SA 的描述有很多，從Mica Endsley首次定義的模型中的感知、理解、投射和解決四個功能，到“觀察、定向、決定和行動”的OODA 循環。這些模型有助于理解態勢感知的概念，但在網絡安全中的實際應用并不總是顯而易見的。

實際上可以從四個方面來考慮態勢感知：

• 知道應該是什么。
• 跟蹤是什么。
• 推斷什么時候應該和什么時候不匹配。
• 對差異做一些事情。

知道應該是什么

在我們了解企業的網絡安全狀態之前，需要很好地了解該企業應該發生的事情。

特別是需要知道：

• 內部和面向公眾的系統和設備的合法用戶
• 授權設備及其用途
• 批準的流程和應用程序，在哪里被允許，以及它們如何為組織服務

安全人員可獲得的信息越準確，就越容易推斷何時存在安全問題并對其采取措施。準確的信息意味著擁有明確定義的安全策略、有效的訪問控制、最新的清單和詳細的網絡圖。挑戰在于組織信息通常記錄不充分、不完整或過時。這種情況導致分析師通過例如基線推斷信息，這充其量只能提供組織環境的半準確圖。

追蹤什么是

知道應該是什么和知道什么是不同的。第一個是關于收集有關組織意圖的信息(組織允許實現其目標的含義)。第二個是關于檢查企業的真實情況。安全團隊無法直接監控所有網絡空間;他們必須使用他們可用的各種工具來創建對地理分散且基本上不可見的網絡空間舞臺的可見性。

總體思路是跟蹤：

• 觀察到的設備、進程/應用程序和用戶
• 觀察到的設備、進程和應用程序存在哪些已知漏洞
• 各種系統和設備的使用方式正在發生怎樣的變化
• 系統、設備和用戶存在哪些使用模式和周期

此處的方法使用來自傳感點的信息，并以某種方式整合該信息，以便支持安全功能的分析師推斷何時應該匹配和不匹配。然而，跟蹤活動所需的傳感架構成本高昂且資源密集。允許流程和分析人員有效地訪問和組合信息需要構建一個強大的聯合或分布式系統以實現態勢感知。

推斷何時應該和何時不匹配

當某些不應該發生的事情發生時，就會出現安全問題，例如，未經授權的個人訪問設備、設置記錄設備以竊聽網絡、在 Web 服務器上運行加密礦工等。其中一些事件是很容易檢測它們是否可見。例如，如果在設備上啟用了安全日志記錄，您可以通過查看安全日志來發現未經授權的用戶 ID 何時嘗試訪問設備。或者，如果所有端點設備都應該使用內部域名系統解析器，則可以通過記錄和查看離開企業的網絡流量來找到任何不可用的設備。

不幸的是，我們感興趣的許多安全問題都需要推理。例如，雖然安全日志可以跟蹤用戶 ID 成功登錄系統的時間，無法確定登錄是由分配給該用戶 ID 的個人還是該用戶 ID 是否被盜。這種確定需要推理，這更難。

一些推理方法是：

• 直接違反政策
• 與歷史數據的偏差(什么是顯著變化)
• 異常值檢測分析中出現異常異常值
• 新品鑒定
• 戰術、技術和程序 (TTP)匹配

應該解決的可操作差異不僅限于安全問題;它們還包括業務和效率問題。這里的挑戰是，根據“知道應該是什么”的所有相關信息分析來自“跟蹤什么”的所有信息在技術上是不可能的或實際上是不可行的。決定如何選擇應該將哪個觀察子集與哪個上下文子集進行比較是優先級和資源的問題。因此，可用的上下文、可見性和資源準確反映業務優先級非常重要。

對差異做點什么

如果企業不打算根據其獲得的知識采取行動，那么了解應該是什么、跟蹤是什么或推斷應該是什么都沒有任何好處。組織通常會對他們認為明顯的安全漏洞采取措施。他們清理惡意軟件感染，調查潛在的數據泄露，并報告被盜資源和個人識別信息。如果組織認為這些差異不代表安全事件，則組織不太可能對應該是什么與應該是什么之間的差異采取行動。這樣的疏忽可能使推斷未來的安全事件變得更加困難。與應有的內容不匹配的項目越多(即批準的用戶、設備和使用情況)，干擾和干擾推理的噪音就越多。

組織必須確保有關調查結果的信息由負責所涉及資產的組織部分傳遞和解決，并確保他們確定在未來防止此類問題的方法。他們可以通過在整個組織內保持良好的溝通渠道并快速傳達調查結果和上下文信息以及可操作的情報來做到這一點，以便責任方在出現問題時解決問題。然而，成功需要組織責任、管理關系和明確定義的責任范圍。組織政治、地盤之爭以及不清楚的產品和流程所有者經常會干擾。

態勢感知過程

態勢感知是從整個組織中獲取相關信息、將其整合到可用情報中并重新傳播出去以幫助整個組織中的人們做出更好決策的過程。

有效的態勢感知需要：

• 人員提供跨業務部門的有效溝通，以及分析不同信息并理解信息的能力，
• 支持收集、分析和存儲大量數據的技術，以及
• 以匹配優先級并充分利用資源的方式將觀察子集與相應的上下文子集映射的能力。

即使在資金最充足、最成熟的組織中，在了解當前狀態和應該是什么方面也存在信息差距。因此，有效的態勢感知需要了解哪些增強數據將使從業者能夠利用他們擁有的信息做出有能力的推斷，并了解他們能夠做出的推斷的局限性。