在智能時代安全防護下，除多種身份認證外，我們還需態勢感知輔助身份識別。態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。“全天候、全方位感知網絡安全態勢”對態勢感知的建設目標做出了準確描述。本文節選汪德嘉博士《身份危機》一書中的態勢感知章節，與大家分享態勢感知如何保護身份認證安全!

　　態勢感知的概念最早是由美國空軍提出，是為提升空戰能力，分析空戰環境信息、快速判斷當前及未來形勢，以作出正確反應而進行的研究探索。上世紀90年代這個概念被引入了信息安全領域，最知名的2003年開始的美國的愛因斯坦計劃(正式名稱國家網絡空間安全保護系統The National Cybersecurity Protection System)，2013年已經開始第三期的建設，美國CERT及后續DHS(國土安全部)對態勢感知進行了不斷探索。美國國家安全系統委員會對態勢感知的定義是：“在一定的時間和空間范圍內，企業的安全態勢及其威脅環境的感知。理解這兩者的含義以及意味的風險，并對他們未來的狀態進行預測。”態勢感知是偏重于檢測和響應分析能力的建設，這確實是現實最迫切的安全需要。

　　態勢感知需求

　　面對新的安全形勢，傳統安全體系遭遇瓶頸，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。從美國對愛因斯坦計劃的持續不斷投入，可以看到網絡空間安全的態勢感知，對于國家、行業有多么重要的意義。我國的網絡安全形勢非常嚴峻，截止2016年底，僅360公司就累計監測到針對中國境內目標發動攻擊的APT組織36個，最近仍處于活躍狀態的APT組織至少有13個，這些組織的攻擊目標涵蓋了政府機關、高校、科研機構以及關鍵基礎設施的行業/企業。今年爆發的WannaCry勒索蠕蟲，更讓我們看到了網絡武器民用化之后可能造成的巨大災害。

　　從現實中的網絡安全建設看，多年來我們一直偏重于架構安全(漏洞管理、系統加固、安全域劃分等)和被動防御能力(IPS、WAF、AV等)的建設，雖取得了一定的成果，也遇到發展瓶頸。簡單通過購買更多的安全設備已經不能使安全能力有提升，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。在之前建立了一定自動化防御能力的基礎上，開始增加在非特征技術檢測能力上的投入，以及事件響應分析能力的建設;并通過對事件的深度分析及信息情報共享，建立預測預警并針對性改善安全系統，最終達到有效檢測、防御新型攻擊威脅之目的。2017年4月19日，習總書記在網絡安全和信息工作座談會上的講話中，明確提出建設“全天候全方位感知網絡安全態勢”，正是針對了這些現實中的網絡安全問題。

　　態勢感知保護身份認證安全

　　網絡安全與戰爭一樣，本質是攻防雙方的對抗，攻防之戰，速度為王，作為防守方的目標是縮短攻擊者的自由攻擊時間。態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。“全天候全方位感知網絡安全態勢”對態勢感知的建設目標做出了準確描述。全天候全方位，可以理解為時間維度和檢測內容維度。

　　在時間維度上，需要利用已有實時或準實時的檢測技術，還需要通過更長時間數據來分析發現異常行為特別是失陷情況。

　　在內容維度上，也需要覆蓋網絡流量、終端行為、內容載荷三個方面。要完整提供以下5類檢測能力，或者說至少4類(參照Gartner：Five Stylesof Advanced Threat Defense)：

　　(1)基于流量特征的實時檢測(WAF、IPS、NGFW等)

　　(2)基于流量日志的異常分析機制(流量傳感器、Hunting、UEBA)

　　(3)針對內容的靜態、動態分析機制(沙箱)

　　(4)基于終端行為特征的實時檢測(ESP)

　　(5)基于終端行為日志的異常分析機制(EDR、Hunting、UEBA)

　　“態”指是從全局角度看到的現狀，包括組織自身的威脅狀態和整體的安全環境，需要基于之前提到的5種檢測能力盡可能的發現攻擊事件或攻擊線索，同時需要對涉及到的報警提供進一步的分析，回答以下的問題：是真實的攻擊嗎?是否可能誤報?是否把掃描識別為真實攻擊?是什么性質的攻擊?定向或者隨機?可能的影響范圍和危害，緩解或者清除的方法及難度。無法正確的回答這些問題，只是簡單的將報警在地圖上呈現就無法體現有現實價值的“態”，無法確定是否可以進入處置流程。

　　“勢”，即未來的狀態。要能預測組織未來的安全狀態，需要對現階段所面臨的攻擊事件特別是定向攻擊事件有深入的了解：是新的攻擊團隊還是已知團伙，攻擊者的意圖，攻擊者的技戰術水平及特點，是否屬于一次大型戰役的一部分。了解這些信息，同時通過信息和情報共享，對同行業或相似部門的相關此類信息也有所了解，就能夠預測未來可能處于的安全狀態以及需要防御的重點，即預測預防能力。

　　要完成態勢感知的建設目標，需要具備以下三大核心要素：流量數據采集、威脅情報和安全分析師。

　　流量數據采集相對而言實施難度較小，同時還有著不可替代的價值：通過流量日志進行安全狩獵或者異常檢測、分析攻擊事件的影響范圍、回溯完整的攻擊鏈和TTP(戰術、技術和過程)。因此流量數據是態勢感知中必須考慮的一環。

　　威脅情報是隨著新型威脅防御快速成長的一個領域，在態勢感知建設中有著決定性的作用。最經常被提到的一類是可機讀情報(MRTI)，主要是賦能給安全產品，增強或升級其安全能力。

　　為了幫助安全分析師完成對事件的分析，威脅情報領域內提供了專業的情報分析工具(情報分析平臺/關聯分析平臺)，分析師通過這樣的平臺可以方便的完成過去付出極大體力和腦力也難以進行的工作：判定一個攻擊是否屬于已知攻擊，查找和攻擊相關的網絡基礎設施(域名、主機)及樣本，了解這些基礎設施和樣本的詳情，判定攻擊是否和某個已知團伙相關并了解這個攻擊團伙的基本情況。威脅情報中還有一類TTP類型的情報，屬于人讀的情報，主要針對已發生的重要安全事件，分析攻擊者的攻擊范圍、攻擊目的、具體的技戰術手法和攻擊過程，并提煉出防御建議。

　　流量數據和威脅情報都很重要，但它們能發揮多大作用，最終還是要依賴與人的力量，其中最重要的是安全分析師，是安全運營中的高級人才。安全分析師的成長需要較好的環境(如數據和情報)、以及大量的實戰機會，難以大批量培養。安全分析師是態勢感知必須倚重的重要部分，是確定態勢感知項目成敗的又一個關鍵因素。成功的態勢項目必須考慮到如何引入或培養這樣的人才，并通過提供好的工具和流程來支撐他們高效的完成任務。

　　態勢感知是綜合性的安全能力建設，流量數據、威脅情報以及安全分析師是影響項目成敗的關鍵因素，另外大數據平臺、可視化、資產管理等也很重要。

　　如何建設態勢感知

　　針對嚴峻的移動應用安全和移動終端安全問題，提出了終端威脅感知的解決方案，可為政府、金融、運營商、電商等獨立運營APP的企業客戶提供移動威脅的實時監測和預警防控功能。同時，對這些企業的APP用戶在登錄、支付等關鍵業務環節進行風險提示，及時攔截危險業務。主要功能為：威脅感知、威脅概覽、終端環境安全檢測、攻擊監測、程序運行監測。

　　終端威脅感知平臺通過對移動終端環境威脅、終端應用威脅、終端程序運行數據進行采集、存儲、計算、深入挖掘和關聯分析，向用戶提供實時的威脅信息和威脅預警，同時可對已知威脅進行溯源追蹤，精準定位威脅源頭，對潛在威脅進行有效防御威。對攻擊手段擊手段、攻擊目標等進行威脅分析，對攻擊應用攻擊應用、版本設備等信息進行威脅管控，對攻擊地域、攻擊系統、攻擊時間分布等進行威脅統計，同時采用可視化技術手段，形成終端威脅的綜合態綜合態勢圖，借助威脅可視化為安全管理人員提供輔助決策信息。

　　結語

　　面對新的安全形勢，傳統安全體系遭遇瓶頸，移動終端的安全也成為身份認證安全的隱患之一，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。從而充分做到身份認證在事前、事中、事后都可以得到充分保障。

　　目前國內網上銀行的安全認證方式呈現多樣化發展，從之前更多依賴簡單的帳號密碼，逐漸新增了數字證書、動態密碼、一次性密碼等新的認證方式。2008年至今各大銀行在安全認證方面不斷加大力度，工行推出了手機短信認證服務、浦發推出了“移動數字證書+動態密碼”認證新方式等。接下來的章節中將與大家分享銀行身份認證技術以及所面臨的危機，敬請期待!