再谈基于”情报感知”的信息安全之:安全场景(context)

围观次数:704 views

    Nuke同学前段时间写了篇,基于情报感知的信息安全,阅读量1400多次,看来大家对此话题还是很感兴趣。其中重点谈到的“情境感知”的安全。最近就几个项目工作的思路也正在思考,形成一些更成型的认知。欢迎大家探讨。个人更倾向于翻译成“安全场景”,而不是情境,在国内“场景”这个词用的会更多。

(一)、原文部分内容如下

http://www.sec-un.org/next-generation-information-security-information-security-based-on-information-perception-including-interpretation-of-context-aware-security.html

下一代信息安全基于情报感知的信息安全(内含情景感知安全的解读) 基于场景感知的安全:基于情境感知(分析WhoWhatWhereHow等问题,主要是进行深层管理分析)以用户访问应用或数据的情景为例,基于对访问情境情报的综合分析通过认证、访问控制等方式进行安全控制。

简单的情境可包括:

  • Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户)

  • What,来自IT不支持的Linux 客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常)

  • To What,对敏感数据的访问(是否访问的是敏感数据)

  • When,周日凌晨的访问(这明显不是工作时间,访问也明显异常)

  • Where,来自没有业务的海外(这也很明显异常)。

(二)场景感知的安全的另一份资料

Gartner有一份免费的资料,《Detect DataBreaches With User Activity Monitoring》谈到威胁情报,有一副图,谈到context,这里还是翻译成场景。

主要包括了两个核心点:

  • 1“主体”“客体”的访问行为场景。主体是人或应用,客体是应用或数据。

  • 2场景要素在这里包含有whowhatto-whatwhenwhere等。

(三)场景感知的进一步思考

信息安全场景,结合近期项目,看了后实质还是5W1HWWWWWH)行为分析法在安全的应用。对未知的攻击需要依靠行为分析发现异常,何为异常行为?如何判断异常行为?判断异常的主要要素?,行为场景就非常重要了。

下面简要弄了个图和表格。核心还是分析安全场景的关键要素。即5W1H

(四)关于安全情报的形式

国内目前还是主要基于信誉库的方式,当然情报不仅仅是信誉库。信誉库是情报的一个基础信息。

结合攻击行为的情报下表可供参考。有很多谈到安全情报的格式和内容,就不再多说。需要不断找到更合适的。

(五)关于安全情报的价值点

做安全的关键点是预警尽量提前,响应的时间差尽可能小。通过情报共享、协作,可以更主动的进行安全工作。下面两幅图主要体现分析监测点的提前。图3、图4都是典型的APT的攻击过程。

2人评论了“再谈基于”情报感知”的信息安全之:安全场景(context)”

  1. Context还是翻译为情境更好些。Context最早出现在文化学、语言学中,意指“语境”,也就是语言文字所处的情境,即上下文。在网络安全中,上下文就是某个特定信息所处的情境。

    场景,应该对应scenario,是由一组特定信息构成的一个场合和情景。有句话叫“情景再现”,很多时候我们也希望能够再现某个攻击场景。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助