Situación de seguridad-popularización del conocimiento
Es difícil lidiar con problemas de seguridad complejos confiando solo en una o unas pocas tecnologías de seguridad. El enfoque del personal de seguridad de la red también ha evolucionado desde resolver problemas de seguridad únicos hasta estudiar el estado de seguridad de toda la red. y sus tendencias cambiantes.
La conciencia situacional de ciberseguridad es un medio de análisis cuantitativo y medición precisa de la seguridad de la red mediante la obtención, comprensión, evaluación y predicción de las tendencias de desarrollo futuro de muchos factores que afectan la seguridad de la red. La conciencia situacional se ha convertido en el foco de la tecnología de seguridad en la era de la ciberseguridad 2.0 y juega un papel muy importante para garantizar la seguridad de la red.
1. El concepto básico de conciencia situacional
1.1 La definición general de conciencia situacional
Con los diferentes campos de investigación de la conciencia situacional de seguridad de redes, las personas tienen diferentes opiniones sobre la conciencia situacional diferentes definiciones y interpretaciones, entre las que ha sido muy reconocida la definición general de conciencia situacional en entornos dinámicos dada por el Dr. Endsley:
La conciencia situacional es percibir una gran cantidad de elementos ambientales en un entorno. tiempo y espacio, comprender su significado y predecir su estado reciente.
De esta definición, podemos extraer tres elementos de la conciencia situacional: percepción, comprensión y predicción, lo que significa que la conciencia situacional se puede dividir en tres niveles de procesamiento de la información, a saber:
Percepción: Percepción y adquisición de pistas o elementos importantes en el entorno;
Comprensión: Integración de datos e información percibidos y análisis de su correlación;
Predicción: Basado en la comprensión del entorno Percepción y comprensión de la información y predicción de tendencias futuras de desarrollo del conocimiento relevante.
1.2 Concepto de conciencia situacional de seguridad de red
Actualmente no existe una definición unificada y completa de conciencia situacional de seguridad de red. Combinado con la definición general de conciencia situacional, podemos dar una descripción básica de la conciencia situacional de seguridad de la red, a saber:
La conciencia situacional de ciberseguridad es un análisis integral de los elementos de seguridad de la red, evaluación del estado de seguridad de la red, predicción de su tendencia de desarrollo, y presentarla a los usuarios de forma visual y proporcionar los informes y contramedidas correspondientes.
Según el modelo conceptual anterior, el proceso de conocimiento de la situación de seguridad de la red se puede dividir en los siguientes cuatro procesos:
1) Recopilación de datos: a través de varias herramientas de detección, detectar y recopilar información que afecta la seguridad del sistema Varios factores, que es la premisa del conocimiento de la situación;
2) Comprensión de la situación: procesar y fusionar los datos de varios elementos de seguridad de la red mediante clasificación, fusión, análisis de correlación y otros medios, y integrar la información fusionada. Realizar un análisis integral para obtener la situación general de seguridad que afecta a la red, que es la base del conocimiento de la situación;
3) Evaluación de la situación: realizar un análisis cualitativo y cuantitativo del estado de seguridad actual y los enlaces débiles de la red y proporcionar las contramedidas correspondientes son el núcleo del conocimiento de la situación;
4) Predicción de la situación: el objetivo del conocimiento de la situación es predecir la tendencia de desarrollo de la seguridad de la red a través de la salida de datos mediante la evaluación de la situación. .
La conciencia situacional de ciberseguridad debe tener profundidad y amplitud, analizando la seguridad del sistema en múltiples niveles, ángulos y granularidades y proporcionando contramedidas, que deben presentarse al público en forma de mapas, tablas, informes de seguridad, etc. usuario.
2. Modelos de análisis comunes de conciencia situacional
En el proceso de análisis de conciencia situacional de seguridad de la red, se utilizarán muchos modelos de análisis maduros. Aunque los métodos analíticos de estos modelos varían, la mayoría contiene tres elementos: percepción, comprensión y predicción.
2.1 Empezar con la percepción: modelo Endsley
En el modelo Endsley, la conciencia situacional comienza con la percepción.
La percepción incluye el estado, los atributos y la dinámica de elementos importantes en el entorno de la red, así como el proceso de organizarlos.
La comprensión es la integración e interpretación de la información de estos elementos importantes. No es solo el juicio y el análisis de un único objeto de análisis, sino también la integración y clasificación de múltiples objetos relacionados. Al mismo tiempo, la comprensión se actualiza y evoluciona constantemente a medida que cambia la situación, y constantemente se incorpora nueva información para formar nuevas comprensiones.
A partir de la comprensión del estado y los cambios de los elementos de la situación, predice el estado y los cambios de cada elemento de la situación.
2.2 Confrontación cíclica: Modo OODA
OODA se refiere a la observación (Oberve), ajuste (orientación), toma de decisiones (decisión) y acción (acto), que es el campo de La guerra de información es un concepto. OODA es un proceso continuo de recopilación de información, evaluación de decisiones y adopción de medidas.
Cuando el bucle OODA se aplica al conocimiento de la situación de seguridad de la red, los atacantes y analistas se enfrentan a un proceso cíclico: detectar ataques y ser atacados a través de la observación, ajustar y decidir los métodos de ataque y defensa a través de la comprensión, predecir el el siguiente movimiento del oponente e iniciar la acción mientras ingresa a la siguiente ronda de observación.
Si el bucle OODA del analista es más rápido que el del atacante, el analista puede "entrar" en el bucle del oponente y obtener una ventaja. Por ejemplo, al prestar atención a lo que el oponente está haciendo o puede hacer, es decir, analizando el bucle OODA del oponente, se puede juzgar la siguiente acción del oponente y actuar antes que él.
2.3 Fusión de datos: Modelo JDL
El modelo JDL (Directores Conjuntos de Laboratorios) es un método de procesamiento de información en el sistema de fusión de información. Es un comando conjunto de fusión de datos establecido por los EE. UU. Departamento de Defensa propuesto por el laboratorio.
El modelo JDL analiza exhaustivamente datos e información de diferentes fuentes de datos y realiza identificación de objetivos, estimación de identidad, evaluación de situación y evaluación de amenazas en función de sus interrelaciones. El proceso de fusión aumentará la precisión de la evaluación al mejorar continuamente los resultados de la evaluación.
En el conocimiento de la situación de seguridad de la red, frente a una gran cantidad de datos de seguridad de fuentes internas y externas, el análisis de fusión de datos a través del modelo JDL puede realizar la percepción, comprensión y evaluación del impacto del objetivo del análisis. y proporcionar información para predicciones posteriores. Importante fundamento y apoyo analítico.
2.4 Supuestos y razonamiento: modelo RPD
El conocimiento de la situación en el modelo RPD se puede dividir en dos etapas: percepción y evaluación.
En la etapa de percepción, las situaciones existentes se comparan con situaciones pasadas mediante la comparación de características, y se seleccionan situaciones pasadas con alta similitud para descubrir qué planes de acción fueron efectivos en ese momento. En la etapa de evaluación se analizan planes de acción efectivos para situaciones similares en el pasado, se especula sobre la posible evolución de la situación actual y se ajusta el plan de acción.
Si el método anterior no proporciona una coincidencia satisfactoria, entonces construya una historia, que consiste en explorar posibles suposiciones basadas en la experiencia y luego evaluar la coherencia de cada hipótesis con la situación real. En el modelo RPD, los tres elementos de percepción, comprensión y predicción se reflejan principalmente en: recopilación de información relevante basada en suposiciones (percepción), coincidencia de características y construcción de historias (comprensión), y simulación y especulación del pensamiento basado en hipótesis (predicción).
3. Puntos clave de la aplicación del conocimiento de la situación
En la actualidad, la tecnología de defensa de seguridad de red unidimensional no ha podido hacer frente a entornos de red complejos y una gran cantidad de problemas de seguridad. Los modelos específicos y la investigación técnica sobre el conocimiento de la situación de seguridad de la red se han convertido en el foco de la tecnología de seguridad de la red en la era 2.0, y muchas instituciones también han lanzado productos y soluciones de conocimiento de la situación de la seguridad de la red.
Sin embargo, los productos y soluciones relevantes actualmente en el mercado están relativamente sesgados hacia la percepción de uno o más aspectos de la situación de seguridad de la red. Es necesario analizar la profundidad y amplitud del análisis de datos para conocer la situación de seguridad de la red. fortalecido aún más. Al mismo tiempo, el vínculo entre el conocimiento de la situación de seguridad de la red y otras plataformas del sistema es insuficiente y es imposible integrar profundamente el conocimiento de la situación y las operaciones de seguridad.
Por esta razón, el director Taiji cree que la construcción de una plataforma de conocimiento de la situación de seguridad de la red debe centrarse en los siguientes aspectos:
1. Los datos de seguridad deben ser ricos, incluidos datos de estructura de red, datos de servicios de red, datos de vulnerabilidad, datos de amenazas e intrusiones, datos de comportamiento anormal del usuario, etc. Sólo así los resultados de la evaluación de la situación podrán ser precisos.
2. En términos de evaluación de la situación, la evaluación del conocimiento de la situación debe evaluar la seguridad empresarial, la seguridad de los datos, la seguridad de la infraestructura y la seguridad general de la red desde múltiples niveles y ángulos, centrándose en diferentes antecedentes de aplicaciones y diferentes métodos de evaluación. se eligen según el tamaño de la red.
3. En términos del proceso de conciencia situacional, el proceso de conciencia situacional debe estar estandarizado y el algoritmo utilizado debe ser simple. Se deben seleccionar modelos de evaluación y modelos de predicción estandarizados y fáciles de operar para evaluar el estado de seguridad de la red en tiempo real y con precisión.
4. En términos de predicción de la situación, la conciencia de la situación debe poder respaldar diferentes resultados de evaluación para predecir su tendencia de desarrollo y prevenir la ocurrencia de incidentes de seguridad a gran escala.
5. Con respecto a la visualización de los resultados del conocimiento de la situación, el conocimiento de la situación puede admitir varias formas de visualización visual, respaldar la interacción con los usuarios, generar informes de evaluación de la situación de acuerdo con los diferentes requisitos de la aplicación y proporcionar las medidas de mejora correspondientes.
Cuarto, resumen
Los modelos y puntos de aplicación anteriores son muy importantes para el conocimiento de la situación de seguridad de la red. Sólo comprendiendo profundamente estos conceptos básicos y puntos clave y poniéndolos en práctica podremos realmente ayudar a los tomadores de decisiones a obtener conciencia situacional de seguridad de la red.
El director Taiji cree que la construcción de una plataforma de conocimiento de la situación de seguridad de la red debe estar impulsada por la estrategia de "los datos comerciales definen la seguridad", basada en un análisis más amplio y profundo de las fuentes de datos y del usuario real. Necesidades, desde seguridad integral, seguridad empresarial, seguridad de datos, seguridad de infraestructura de información y otras dimensiones para brindar a los usuarios un conocimiento integral de la situación de seguridad. Sobre la base de la cognición, la comprensión y la predicción, realmente ayuda a los usuarios a ver su negocio con claridad y comprender las amenazas.
Extraído de "CSDN Taoísmo-Naturaleza"