态势感知平台分析流程

1.明确态势感知平台需求背景：

1）安全防御防外为主 --> 防内为主，安全审计需求增多；

2）安全审计需求增加

3）新型犯罪增多，需要新技术解决新问题

2.态势感知大致分为感知、理解、预测三个层次，伴随网络兴起升级为“网络态势感知”。详细一点可以分为态势察觉：主动探测+被动监听采集实现多维度多层次数据源收集

​ 态势理解和评估：对数据源进行预处理、数据融合，并进行多层次多维度态势评估

​ 态势预测：运用数据分析模型实现态势预测，并通过可视化技术集中呈现，提供决策数据，知指导进行安全防御体系的敏捷调整和持续运营

​ 安全决策：高层领导、部门领导、安全经理和运维人员在内，四层网络安全态势管理模式

3.态势感知的能力：

​ 1）网络空间安全持续监控能力，及时发现各种攻击威胁与异常

​ 2）威胁调查分析机可视化能力，对威胁相关的影响范围、攻击路径、目的、手段进行快速判断，支撑有效的安全决策和响应

​ 3）建立安全预警机制，完善风险控制、应急响应和整体安全防护水平

4.应用方向：

​ 1）监管机构：国家或省市层面，关键信息基础设施安全态势进行整体监控与关注

​ 2）大型行业：1.体系内部建立态势感知，应用于内部安全运营，发现重要威胁，解决问题，让安全能力落地 2.利用态势感知对多分支或二级单位进行外部监管，提升整体安全状态掌握，同时与监控机构进行事件应急处置及威胁情报的合作

​ 3）大型机构或企业：从日常安全工作角度出发，对有价值核心资产、业务系统安全状态进行感知，发现各类威胁与内部异常违规，保证业务系统能够平稳、顺畅运行，更偏内部安全运营能力落地

5.建设目的:

​ 监测：提供网络安全持续监控能力，及时发现攻击威胁及异常，尤其是针对性攻击

​ 分析、响应：建立威胁可视化及分析能力，对威胁影响范围、攻击路径、目的、手段进行快速判研，进行有效安全决策和响应

​ 预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息

​ 防御：利用掌握攻击者相关目的、技战术，攻击工具等情报，完善防御体系

6.应用价值：

​ 应对关键性威胁：快速发现实现主机；主机web安全保障

​ 提升分析研判能力：1）分析研判保障事件正确响应处置、逐步完善防御架构

​ 2）依赖外部威胁情报和本地流量日志进行有效分析研判

​ 信息与情报共享：1）实现本行业、本领域网络安全监控预警和信息通报

​ 2）研判分析和情报共享是预警、预测的基础

​ 履行行业监管职能：边界流量探针、云监控和外部情报监测等优选监测手段，实现对行业监管

7.真正的态势感知为了安全能力落地，及安全客观、监测、预警机响应于一体

​ 用户需要能够实现全网安全可视、检测、预警机响应安全平台，高效感知内部安全风险，提供最终响应处置；

​ 在外部，需要能够收集大量外部威胁情报，辅助高级安全事件分析；

​ 在网络内部，各个子域关键节点上，通过探针湖泊安全设备，精准采集有效检测信息；

​ 将外部威胁情报和内部真实数据汇总到一起，通过行为分析、机器学习等算法对各类潜伏到网络内部高级威胁进行检测、判断、响应，并通过可视化最终感知网络是否安全，如何处置；

​ 真正态势感知应该基于环境、动态、整体洞悉安全风险的能力，安全大数据为基础，全具视角提升安全威胁发现识别、理解分析、响应处置能力的一种方式，实现安全能力落地。威胁发现来源数据是基础，基于流量检测、人工智能等技术进行检测分析是核心，进行可视呈现是必要，儿最终响应处置落地能力是关键

8.第一步：几个问题：

​ 提出背景是什么？

​ 解决了用户什么问题，是不是用户想要的？

​ 有什么商业价值？

​ 背后的商业模式和运营模式是什么？

 需求管理-业务学习：要点–分析需求，明确要做什么

​ 查询资料–查询态势感知平台，考核管理系统等方面资料，熟悉知识体系

​ 竞品分析–寻找类似产品，了解产品，能解决什么问题

​ 人员沟通–与一线人员沟通需求，或与用户聊聊需求

9.第二步：

​ 梳理流程：要点–了解业务，明白业务内容；梳理业务流程，明晰业务前后端或上下级数据交互情况；解构所有流程，梳理主业务与子业务关系

​ 主流程–核心业务：设定考核指标、统计方式

​ 子流程–支撑核心业务，考核算法需要高度可拓展

10. 第三步：

框架设计：要点–构思框架，描述产品形态

怎么“做”–功能导图：立足需求，抽象立体功能。需求分类、功能结构重组，搭建产品信息架构（IA)，引入专业人员提升产品专业度及行业边界

–产品原型：是它对已拥有明确思路和需求范围的产品构思重现过程，需要快速重现和迭代

信息加工：把复杂的产品需求精化为立体功能结构框架，更具可行性和落地性

方向–全方位数据分析：用户最关心的指标、最反映管理现状的指标、最能预测未来趋势指标、可获得指标

11.第四步：迭代规划

12.数据来源：定期收集相关数据、数据驱动的安全数据、在符合隐私法规及推荐实践情况下开发大数据应用程序

13.参考：“安全智能中的大数据分析”

14.非功能性需求：性能需求：响应时间、吞吐量、资源利用率

安全性：保密性、防泄漏、权限控制、防攻击

可维护性与可拓展性：模块性、可复用性、易分析性

可靠性：易恢复性、容错性、成熟性

易用性：易学习性、易操作性、用户错误防御机制、用户界面美观等

————————————————

版权声明：本文为CSDN博主「樱彩华」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/weixin_41679537/article/details/110474846