随着网络威胁呈泛化和持续化趋势发展,多样化的攻击切入点、高水平的入侵方式、系统化的攻击工具使网络威胁代价降低。为最大限度地保护核心系统资产安全,需对传统的安全防御方式进行优化和改进,形成能应对多样化和持续化威胁的安全体系。在此背景下,网络安全态势感知需要融入新的技术,更加有针对地对关键信息基础设施或特定目标进行多方位要素信息获取、智能分析以及态势预测,从而切实保障网络安全,实现“全天候全方位网络安全态势感知”的目标。
随着网络空间安全重要性的不断提高,网络安全态势感知的研究与应用正在得到更多的关注。高质量的威胁情报可以大幅度地提升检测、分析、应急响应效率,进而改变攻防态势。在汉斯出版社《计算机科学与应用》期刊中,有论文介绍了态势感知和威胁情报的概念,研究了威胁情报在态势感知中具体的应用场景。研究结果表明随着威胁情报技术的不断发展成熟,其将会在态势感知中发挥更大的作用。
威胁情报是态势感知所依据的重要资源,基础威胁情报数据往往数量庞大,这为基于机器学习和深度学习方法安全智能化提供了基础数据源。其应用核心是数据、重点是分析,大量威胁情报数据经过挖掘分析后产生的攻击详细信息可以使防护方因势而动、制定更有效的防护策略,做到“上医医未病之病”,将安全风险拒之门外。能够驱动态势感知系统进行及时且准确的响应,正是威胁情报的价值所在。即使是同一类用户,在态势感知中使用威胁情报的具体需求也不尽相同,威胁情报在这些特定需求下的应用场景包括:安全预警、实时对比研判、历史回溯、交互式威胁猎捕、协同响应、情报机读化、攻击背景分析等。
在大数据、云计算、物联网等新型信息技术飞速发展的背景下,网络空间威胁也向朝泛化和复杂化的趋势发展,各类网络攻击也更加具有持续性和隐蔽性。基于威胁情报进行网络安全防御能够及时分析已发生的入侵,对未来威胁态势进行预判,并据此评估潜在的安全风险以指导用户制定有效的安全决策,系统化增强网络空间防御能力。
该文通过分析威胁情报在态势感知中的基本应用环节,探讨了威胁情报对于需要安全防护的企业、风控与应急响应部门、日常运维人员和网络安全专家等不同角色人员的应用;基于特定需求,介绍了威胁情报在典型场景中的应用流程。随着威胁情报技术的不断成熟及相关规范、框架的日渐完善,在安全问题日益严峻的未来,它将进一步在社会、国家乃至全球的各个层面发挥巨大的作用。