1. 緗戠粶瀹夊叏瀹℃煡鍒嗕負浜斾釜闃舵
緗戠粶瀹夊叏瀹℃煡鍒嗕負浜斾釜闃舵碉細緋葷粺瀹氱駭銆佸囨堛佸畨鍏ㄥ緩璁懼拰鏁存敼銆佹祴璇勩佺洃鐫f鏌ャ
5銆佺洃鐫f鏌
鍦ㄥ畬鎴愭祴璇勫悗錛屼俊鎮緋葷粺闇瑕佹帴鍙楃洃鐫f鏌ャ傜洃鐫f鏌ョ殑鐩鐨勬槸紜淇濅俊鎮緋葷粺鐨勫畨鍏ㄦц兘鍜岄槻鎶よ兘鍔涘緱鍒版湁鏁堜繚闅滐紝騫跺強鏃跺彂鐜板拰綰犳d俊鎮緋葷粺鐨勫畨鍏ㄩ棶棰樸傜洃鐫f鏌ラ氬父鐢辯浉鍏崇洃綆¢儴闂ㄨ繘琛岋紝媯鏌ュ唴瀹瑰寘鎷淇℃伅緋葷粺鐨勫畨鍏ㄧ$悊銆佸畨鍏ㄦ妧鏈銆佸畨鍏ㄨ炬柦鍜屽畨鍏ㄤ簨浠剁瓑鏂歸潰銆
緗戠粶瀹夊叏瀹℃煡鏄瀵逛竴涓淇℃伅緋葷粺鍦ㄧ綉緇滃畨鍏ㄦ柟闈㈢殑涓緋誨垪璇勪及鍜屾鏌ワ紝鏃ㄥ湪紜淇濅俊鎮緋葷粺鍦ㄩ伃鍙楃綉緇滄敾鍑繪垨鎰忓栦簨浠舵椂鑳藉熶繚鎸佸畨鍏ㄥ拰鍙闈犳с
2. 緗戠粶瀹夊叏鐨勯噸瑕佹剰涔夋槸浠涔堬紵
銆銆1銆佹病鏈夌綉緇滃畨鍏ㄥ氨娌℃湁鍥藉跺畨鍏錛屽氨娌℃湁緇忔祹紺句細紼沖畾榪愯岋紝騫垮ぇ浜烘皯緹や紬鍒╃泭涔熼毦浠ュ緱鍒頒繚闅溿
銆銆2銆佽佹爲絝嬫g『鐨勭綉緇滃畨鍏ㄨ傦紝鍔犲己淇℃伅鍩虹璁炬柦緗戠粶瀹夊叏闃叉姢錛屽姞寮虹綉緇滃畨鍏ㄤ俊鎮緇熺規満鍒躲佹墜孌點佸鉤鍙板緩璁撅紝鍔犲己緗戠粶瀹夊叏浜嬩歡搴旀ユ寚鎸ヨ兘鍔涘緩璁撅紝縐鏋佸彂灞曠綉緇滃畨鍏ㄤ駭涓氾紝鍋氬埌鍏沖彛鍓嶇Щ錛岄槻鎮d簬鏈鐒躲
銆銆3銆佸湪淇℃伅鏃朵唬錛岀綉緇滃畨鍏ㄥ瑰浗瀹跺畨鍏ㄧ壍涓鍙戣屽姩鍏ㄨ韓錛屽悓璁稿氬叾浠栨柟闈㈢殑瀹夊叏閮芥湁鐫瀵嗗垏鍏崇郴銆
銆銆4銆佺綉緇滃畨鍏ㄥ拰淇℃伅鍖栨槸鐩歌緟鐩告垚鐨勩傚畨鍏ㄦ槸鍙戝睍鐨勫墠鎻愶紝鍙戝睍鏄瀹夊叏鐨勪繚闅滐紝瀹夊叏鍜屽彂灞曡佸悓姝ユ帹榪涖
銆銆5銆佹病鏈夌綉緇滃畨鍏ㄥ氨娌℃湁鍥藉跺畨鍏錛屾病鏈変俊鎮鍖栧氨娌℃湁鐜頒唬鍖栥
銆銆6銆佺綉緇滃畨鍏ㄥ拰淇℃伅鍖栨槸涓浣撲箣涓ょ考銆侀┍鍔ㄤ箣鍙岃疆錛屽繀欏葷粺涓璋嬪垝銆佺粺涓閮ㄧ講銆佺粺涓鎺ㄨ繘銆佺粺涓瀹炴柦銆
銆銆7銆佺綉緇滀笘鐣岃櫧鐒舵槸鉶氭嫙涓栫晫錛屼絾騫朵笉鏄闅忓績鎵嬈詫紝瀹冨拰鐜板疄涓栫晫涓鏍烽渶瑕侀伒寰鍏卞悓鐨勮勫垯錛屽悓鏍峰畨鍏ㄤ篃鏄闇瑕佹敞鎰忕殑銆
銆銆8銆佷俊鎮椋為熷彉鍖栵紝緗戠粶涓庢垜浠鐨勭敓媧繪伅鎮鐩稿叧錛屽湪榪欎釜鏃跺欎竴瀹氳佹敞鎰忓畨鍏ㄩ棶棰橈紝鍝鎬曚綘娌夋蹈鍦ㄧ綉緇滀笘鐣岄噷錛屼篃涓嶈兘蹇借嗐
銆銆9銆佺綉緇滆繛鐫浣犳垜浠栵紝瀹夊叏闃茶寖闈犲ぇ瀹躲傜綉緇滆繛鐫浣犳垜浠栵紝闃查獥闃茬洍涓ゆ墜鎶撱
銆銆10銆佺綉瀹夊垯澶╀笅瀹夛紝澶辯綉鍒欏け澶╀笅銆
學習網路安全的小夥伴,肯定都聽說過應急響應,那麼到底什麼是應急響應?網路安全應急響應體系的要素是什麼?這是每個網路安全工程師需要了解的問題,我們一起來學習一下吧。
什麼是應急響應?
「應急響應」對應的英文是「Incident Response」或「Emergency
Response」等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。
網路安全應急響應體系的要素:
(一)綜合分析與匯聚能力
網路安全領域的應急保障,有其自身較為明顯的特點,其對象靈活多變、信息復雜海量,難以完全靠人力進行綜合分析決策,需要依靠自動化的現代分析工具,實現對不同來源海量信息的自動採集、識別和關聯分析,形成態勢分析結果,為指揮機構和專家提供決策依據。完整、高效、智能化,是滿足現實需求的必然選擇。因此,應有效建立以信息匯聚、管理、分析、發布等為核心的完整能力體系,在重大信息安全事件發生時,能夠迅速匯集各類最新信息,形成易於辨識的態勢分析結果,最大限度地為應急指揮機構提供決策參考依據。
(二)綜合管理能力
伴隨著互聯網的飛速發展,網路安全領域相關的技術手段不斷翻新,對應急指揮的能力、效率、准確程度要求更高。在實現網路與信息安全應急指揮業務的過程中,應注重用信息化手段建立完整的業務流程,注重建立集網路安全綜合管理、動態監測、預警、應急響應為一體的網路安全綜合管理能力。
要切實認識到數據資源管理的重要性,結合日常應急演練和管理工作,做好應急資源庫、專家庫、案例庫、預案庫等重要數據資源的整合、管理工作,在應急處理流程中,能夠依託自動化手段,針對具體事件的研判處置推送關聯性信息,不斷豐富數據資源。
(三)處理網路安全日常管理與應急響應關系的能力
1、業務類型不同。日常管理工作主要包括對較小的信息安全事件進行處置,組織開展應急演練工作等,而應急響應工作一般面對較嚴重的信息安全事件,需要根據國家政策要求,進行必要的上報,並開展或配合開展專家聯合研判、協同處置、資源保障、應急隊伍管理等工作。
2、響應流程不同。日常管理工作中,對較小事件的處理在流程上要求簡單快速,研判、處置等工作由少量專業人員完成即可。而應急響應工作,需要有信息上報、聯合審批、分類下發等重要環節,響應流程較為復雜。
3、涉及范圍不同。應急響應工作狀態下,嚴重的網路安全事件波及范圍廣,需要較多的涉事單位、技術支撐機構和個人進行有效協同,也需要調集更多的應急資源進行保障,其涉及范圍遠大於日常工作狀態。
(四)協同作戰能力
研判、處置重大網路信息安全事件,需要多個單位、部門和應急隊伍進行支撐和協調,需要建設良好的通信保障基礎設施,建立順暢的信息溝通機制,並通過經常開展應急演練工作,使各單位、個人能夠在面對不同類型的事件時,熟悉所承擔的應急響應角色,熟練開展協同保障工作。
4. 簡述網路應急響應的幾個重要原則
簡述網路應急響應的重要原則包括:兼具指導性和可行性的原則、信息的匯總與共享原則、兼具整體性和協同性的原則。
3、兼具整體性和協同性的原則:
應急響應體系的設計應遵循整體性的原則。應急響應的策略須著眼於全局,在整個體系內綜合運作,任何一個環節的疏漏都將導致整個應急響應的坍塌。
整個應急響應策略體系的設計必須兼顧管理與技術兩個方面,而由於管理問題而導致的安全事件更為嚴重。同時,制定管理策略時必須兼顧技術所能達到的響應能力,在管理上投入足夠的精力。
5. 從認知技能到自動網路安全響應
摘要: 組織應該面對網路安全攻擊,這可以強烈影響他們的操作流程,業務形象,和關鍵信息的安全。建立安全機制有助於減少可能被攻擊者利用的弱點;然而,它們並不總是足夠的,而且一次攻擊可能會成功侍指殲。因此,組織需要建立計劃或過程來處理這些安全事件,甚至構建稱為CSIRTs的事件響應團隊。由於不同形式的攻擊和海量數據的增長,處理網路安全事件需要適應新的安全管理策略。從這個意義上說,將大數據、人工智慧和數據分析應用於網路安全,被定義為認知安全,提出了一種可行的替代方案,但有必要考慮,如果沒有對網路安全專家進行充分培訓,或者如果使用了他們的技術和非技術技能,技術解決方案就會缺乏有效性。在人類技能和技術解決方案之間建立密切的相互關系可以幫助設計一個充分和有效的檢測和自動化過程,從而改進安全事件的處理。本研究分析了認知安全技術解決方案與網路安全專家技能之間的相互關系。提出了一個通過建立態勢感知來進行決策的自動化事件響應框架。
一、引言
由於技術在不同領域的擴展,如金融服務、醫療服務、公共服務以及水、電、電信等關鍵基礎設施,計算機安全已成為社會的一個基本要素。根據麻省理工學院(MIT)的說法,安全團隊將面臨的風險主要是針對物聯網(IoT)設備、區塊鏈和關鍵基礎設施[1]的攻擊;例如,麻省理工學院提到,攻擊者在2019年主要使用人工智慧和量子技術進行攻擊。這種情況涉及有準備充分的組織和有能力面對這些新挑戰的安全專業人員;在國際層面上,一些組織已經定義了通過稱為計算機事件響應小組(CSIRTs)[2]的專家和研究人員團隊快速響應安全風險的策略。CSIRT由來自網路安全、法律、心理學和數據分析師等領域的專家組成。CSIRT根據預先設定的程序和政策,對網路安全事件做出快速有效的反應,並降低網路攻擊的風險。
CSIRTs中的安全分析人員需要處理大量的數據,以便i)確定觸發可能的攻擊警報的模式或異常,ii)更快速和有效地執行檢測過程。CSIRTs的成員正在尋求基於技術解決方案的新策略,如大數據、機器學習和數據科學[3]。為了加快數據分析方法[4]的研究進程,美國國家標准與技術研究院(NIST)等國際組織啟動了數據科學研究計劃(DSRP)。在網路安全領域,認知科學在信息安全過程中的應用推動了認知安全[5]的概念;這允許進行預測性和說明性分析,從而提供安全攻擊的可能影響的視圖。CSIRTs成功的另一個關鍵因素是團隊協作能力和對不同環境的適應能力。在21世紀的[7]時代,安全專業人員需要團隊合作、批判性思維和溝通等技能。2015年9月,一個之間的協作計算機協會(ACM), IEEE計算機協會(IEEE CS),信息系統協會特殊利益集團對信息安全和隱私(AIS SIGSEC),以及國際信息處理聯合會技術委員會信息安全教育(11.8聯合會WG)提出了一個網路安全教育課程指南提到非技術技能計價的軟技能,對於安全專業人員來說至關重要,並專注於:團隊合作、溝通、情景感知的生成,以及使用不同組織文化[8]的操作。
在組織中產生網路安全態勢感知的能力允許確定積極的策略來面對正在進行的和即將到來的攻擊或威脅。情境意識產生於三個認知過程:認知、理解和投射。認知過程是人類行為固有的,它會受到不同因素的影響,例如:壓力、疲勞、分心、物理或環境條件。分析任務的績效以及這些因素的影響是一些研究者感興趣的。例如,Robert Karasek提出了需求控制模型[9],該模型研究了計算機人員在不同工作領域的認知、情感和身體需求,計算機人員的心理需求水平較高。在此背景下,發展認逗隱知策略在信息加工的各個層面都是必要的;此外,還需要分析執行功能如何通過:抑止控制、工作記憶處理[10]優化來整合各級信息處理,從而幫助網路安全專業人員高效工作和充足的響應時間。
在這項研究中,我們提出了一個模型來整合網路安全領域的認知技能、團隊合作和數據分析,如圖1所示。認知安全可以利用安全分析人員的認知能力的特點,將這種知識和智能轉移到計算機系統中;通過這樣做,他們可以向安全團隊執行一個即時響應動作或通知,以做出針對安全攻擊的決策,如圖1所示。
研究的其餘部分組織如下。第二節介紹了有關自老沖動網路安全響應的相關工作。第三節介紹了心理學在網路安全中的重要性的背景。第四部分提出了一個基於認知過程的自動化網路安全框架的建議。最後,第六部分總結了本文的研究結論,並提出了今後的工作方向。
二、相關工作
根據麻省理工學院評論[11]的分析,在2018年,城市將安裝多層感測器來監測空氣質量、垃圾水平或交通量;這一預測,加上Gartnert對2020年的預測,[12]將有204億台聯網設備。在新的安全場景中,組織必須面對網路或計算平台的規模和復雜性的急劇變化,這些網路或計算平台是組織支持服務提供和設備連接的基礎。在這種新的背景下,傳統的安全解決方案的行動能力和人類對安全事件的檢測和響應能力受到了限制。為組織和研究人員評估的網路安全的替代方案是使用認知模型作為一種提議,以增強計算環境的安全性和擴大人類的分析能力。
在[13]中,作者提出了一個基於機器學習的檢測與基於時間邏輯的分析的組合,允許區分異常和啟用動態網路響應。在[14]中,包括對個人設備的認知安全的使用,以允許設備識別所有者和自主安全,以便設備採取自己的安全決策。基於函數和依賴關系[15]的知識,可以實現診斷的自動化。在「數字服務生態系統中的自主計算方法調查」[16]中,提出了應用自主計算概念的25種不同的數字生態系統,在[13]中,提出了認知安全方法如何能夠建立「良好異常」來建立正常的操作參數,以及任何變化如何生成網路設備的自動自動重新配置來控制數據流。
三、認知技能和網路安全
a 態勢感知
態勢感知被定義為,從心理學領域,作為一種能力,產生對他的生活的理解,基於他的經驗[17]。這一概念已適用於計算機系統領域;例如,Lewis將計算系統的自我意識定義為基於內部和外部事件[18]獲取自身知識的能力。在[19]中,自我意識被定義為為計算機系統生成關於自身和環境的知識,並根據這些知識決定將要執行的行動的能力。
1)網路安全態勢感知(CSA):態勢感知(SA)的概念描述了組織當前的威脅和攻擊情況,可能的攻擊的影響,以及攻擊者的識別和用戶行為[20]。分析人員必須了解安全情況並確定影響的可能性。為了生成態勢感知,我們可以使用OODA循環。Breton提出的認知OODA循環是基於感知、理解和投射[21]的認知過程。表一展示了認知階段、認知過程和根據Brenton的提案產生的產品之間的關系。
2)網路認知態勢感知(CCSA):
為了建立組織的網路安全態勢意識,我們可以依靠面向決策過程的認知方面的支持。適應了網路空間的感知、理解和投射的認知過程,我們將擁有如表二所示的關系。
b .非技術技能
美國國土安全部(DHS)和國家網路安全聯盟(NCSA)等組織都開展了國家網路安全意識月活動,在2018年慶祝了第15屆[22],以促進社區了解數字環境中的風險和威脅的相關方面。在這些領域中,安全專業人員必須具有非技術技能,以便能夠以清晰和一致的方式向一組沒有技術背景的人員傳播知識。針對組織內的網路安全,防禦策略基於風險管理,如圖2所示分為四個級別的網路安全風險管理生命周期。
在網路安全風險管理生命周期內,至少需要以下人員:
•團隊領導/協調員;
•負責系統和信息安全;
•溝通團隊或公關;
•分類器或分類;
•事件管理團隊-二級;
•法律團隊。
這強調了在一個由不同學科的專業人員共同協作的環境中發展協作技能的必要性,因此團隊合作對於網路安全專家來說是一項非常重要的技能。Newstrom提到,21世紀的組織或公司更加靈活,能夠迅速適應變化,橫向關系更加有效;因此,今天的組織更加重視靈活的結構和橫向溝通。任務和角色以更開放的方式定義,環境更加動態,團隊的創建允許實現所描述的方面。莫林認為,復雜性和多學科工作是21世紀的一部分,未來的教育必須以人類狀況和人類之間的多樣化關系為中心。Morin在《21世紀教育》中提到的另一個重要方面是讓學生准備好面對日常生活中不同事件所產生的不確定性。
關於Morin提到的關於關注學生人性方面的第一個方面,開始強調以加強技能為重點的培訓可能是很重要的。芒福德將技能分為四類[25]:
1)認知能力;
2)人際交往能力;
3)業務技能;
4)戰略技能。
一般來說,在網路安全領域的大學主要關注提高認知、商業和戰略技能,但不太關注非技術技能。根據Mumford提出的分類,團隊合作、協作、溝通和網路被包括在人際交往技能的類別中。未來的網路安全專業人士正在大學學習;因此,工程教育需要鼓勵非技術技能的發展。Kyllonen提出了21世紀需要的技能,其中以下提到[7]:
•批判性思維;
•口頭和書面溝通;
•勞動倫理;
•團隊合作;
•合作;
•專業;
•故障排除。
良好的網路安全工作人員框架[26]為安全專業人員建立了一套知識、技能和能力與非技術方面相關,如:
•有能力參與計劃小組,協調小組和任務小組的工作;
•能夠運用合作技巧和策略;
•應用批判性閱讀/思考技能的能力;
•與他人有效合作的能力。
關於Morin在計算機科學領域提出的第二個方面,即不確定性,一些作者如[27]和[28]提到,軟體開發過程中的不確定性可能與人的參與、並發性和問題領域的不確定性有關。在軟體環境中,產品的開發和用戶最初提出的需求的變化之間可能會出現不確定性。在網路安全領域,不確定性可能與其他方面有關,如時間、類型和網路攻擊的目標。
團隊合作也會產生不確定性;在[29]中,作者提到,不確定性可以在人的功能和環境工作中產生,取決於諸如先見者、利他主義智力、收獲和意外收獲等變數。在[30]中,作者認為,不確定性取決於團隊的結構和成員之間的相互作用。
如圖3所示,在21世紀的教育背景下,對計算機科學工程專業的學生進行網路安全領域的教育,主要有四個方面是必須要做的。
四、基於認知技能的網路安全自動反應
我們對事件反應自動化的建議是基於建立態勢意識的重要性,在理解組織安全的積極和消極方面的基礎上做出正確的決策。我們的提議利用了協作的方法來產生自我意識和決策,是基於安全分析師的認知過程的重要性,以能夠確定一個安全事件在多個事件之間,它必須被識別出一個異常行為,可以警告攻擊。我們的建議中考慮的一個方面是為了加強認知過程。在2017年RSA會議上,IBM[31]展示了安全分析師在調查事件時必須執行的認知任務,在表III中,我們提出了網路安全認知任務和認知過程之間的聯系。
對於自動響應安全事件的過程,我們提出了如圖4所示的分層架構。我們的建議強調分析層,在分析層中對不同來源(如感測器、日誌或安全博客)獲得的數據進行理解。此外,在這一層中,安全分析人員的經驗和有效的溝通是最基本的,因為它將預測充分評估事件,並將其歸類為事件,並建立最適當的決策,以減少攻擊的影響。具體地說,在這一層中,我們提出了兩個允許建立情境意識的子組件:i)自動學習的子組件和ii)團隊合作。這兩個子組件共享一種直接交流的方式,目的是生成標簽,用於培訓基於分析人員通過互動和交換思想生成的知識的監督學習演算法。另一方面,無監督學習演算法可以檢測不容易檢測到的模式或異常,並提醒安全分析人員確定它們是否與共同的安全攻擊相對應。
設計了一個基於數據管理流程的框架,以確保不同層次數據的完整性和質量;然後,它包括:
•收集;
•准備;
•分析;
•可視化;
•訪問。
在下面的圖4中,我們將詳細描述組成我們所提議的框架的層。
a)網路收集層:涵蓋將用於創建網路安全態勢感知的信息來源。在資料來源中,可以考慮下列情況:
•網路模擬平台;
•感測器;
•入侵檢測系統;
•脆弱性分析;
•安全門戶、博客或訂閱源;
•netflow;
•伺服器和網路設備日誌。
b)基礎設施層:基礎設施層包含以下組件:
•數據收集伺服器,在這些伺服器中,將對不同來源的信息進行數據攝取處理。至少考慮三個伺服器來實現負載平衡和高可用性。
•索引伺服器,在這些伺服器中執行數據索引的過程,並在此基礎上定義屬性,在此基礎上對數據進行調試和處理,生成可視化層的信息。至少考慮兩台伺服器用於負載平衡和高可用性進程。
•隊列管理伺服器,該伺服器建立流程管理大數據解決方案的處理資源在多個請求信息同時執行報告伺服器和數據可視化,這個伺服器處理數據可視化工具,允許與分析師能夠執行的交互信息的查詢。
•入侵檢測伺服器,在此伺服器中定義了檢測與安全攻擊相關的模式的規則,伺服器可以訪問安全感測器。
•警報管理伺服器,在此伺服器中,警報管理被定義為在檢測到異常模式時通知分析師,在此伺服器中包含了一個事件管理系統,允許在檢測到安全事件前對升級進行流控制。
c)索引層:用於定義搜索字典。
d)態勢感知層:這一層是我們的核心建議。在這一層的目標是建立一個基線安全狀態的一個組織,為此我們考慮兩個部分,第一個組成的機器學習演算法,允許識別模式或異常基於預處理來自不同數據源的數據伺服器日誌,第二部分稱為團隊合作產生自我意識的建立基於CSIRT安全分析人士的合作。基於團隊產生的知識,你可以訓練學習演算法來提高它們的准確性。
e)分類層:它定義了針對安全分析師、CsIRT或事件管理過程中的其他參與者生成的警報。根據良好做法,明智的做法是定義警報級別的分類。
f)自動響應層:它定義了可以自動的響應動作,因為這對於建立安全事件管理計劃是必要的。
五、討論
在心理學研究中,工作績效是一個尋求提高工作績效的話題,考慮到個人和環境變數。我們在這項研究中分析的變數是在網路安全領域執行事件管理的專業人員的認知技能。我們認為,與執行功能相關的認知過程越高,安全分析人員所解決的任務的性能就越好,這是由於對減少攻擊影響的快速響應要求越高。出於這個原因,加強認知靈活性是至關重要的,以便i)擴大事件數據的分析,ii)能夠可視化更多的可能性,以面對網路攻擊,ii)發展抑制控制,以提高其決策的精確度和有效性。另一方面,工作記憶對於經驗的儲存和隨後對這些信息的使用起著至關重要的作用,所以這種認知過程也有助於對組織所面臨的風險和威脅的情況形成意識。另一個關鍵變數與事件管理專業人員工作中的壓力管理有關,以制定策略,使他們能夠抵消勞動力需求。
在基於態勢感知的網路安全管理模型中,分析執行功能是否集成感知、理解和投射過程,以提高任務績效,可以增強決策過程。非技術技能在許多方面起著至關重要的作用,因為如果沒有足夠的溝通和建立共享知識的能力,網路安全團隊將無法達到應對安全攻擊所需的效率。例如,在面對出現的事件或問題時,處理復雜性不應該由安全分析人員進行簡單的推理,而是要能夠生成表示復雜性的心理模型,並作為一個團隊進行工作。這種理解可能很復雜,因此,管理共享的心理地圖等建議可能具有重要意義。另一個事實是多學科工作,來自不同領域的專家必須一起參與,但是由於對這對搭檔的知識有限、不同的技術詞彙和異質的工作方法,存在交互問題。最後,處理活動或與其他團隊成員交互的結果的不確定性。
提出的大數據模型涵蓋了網路安全狀態(網路安全態勢感知)知識生成必須考慮的不同組成部分。僅僅實現一個大數據架構是不足以解決處理海量數據處理的問題的,我們應該致力於尋找可靠的信息源,建立數據質量控制流程,生成安全承諾指標,並定義更新數據時間。
為了從安全分析師可以處理的信息中建立態勢感知,我們提出了一個由4個模塊組成的框架,如圖5所示:來源、認知過程、協作安全任務和軟技能。團隊合作支持四個模塊。在[23]中,作者提到團隊的目標是鼓勵成員分析他們一起工作的方式,識別他們的弱點,並開發新的協作形式。要做到這一點,學習過程必須把重點放在任務上。按照裝備建設[23]的Newstrom模型,我們在網路安全領域提出以下建議:
•經過培訓的專家識別問題;
•數據收集;
•反饋行動計劃的制定;
•生成態勢感知;
•解決方案經驗;
•持續改進。
六、結論和未來工作
技術和社會的變化產生了動態和復雜的環境,產生了大量的數據。這一事實給安全分析人員帶來了新的挑戰,他們必須處理數據以確定允許識別威脅或安全攻擊的模式或異常情況。認知安全的使用提供了在短時間內處理大量不同格式數據的能力,從而提高了安全操作的有效性。在網路安全領域,大數據主要用於監控行動和異常檢測,這些行動集中在反應性安全策略上,但其他安全活動可以通過大數據分析增強,用於主動戰略,如威脅搜索或網路欺騙。
事件管理的網路安全任務包括識別有關事件的數據,以確定攻擊場景的振幅。從有關威脅和攻擊的數據中發展經驗,可以建立對網路安全狀況的意識。建立網路安全態勢意識需要認知和情感技能,其中認知過程的能力至關重要;感知和注意是允許安全分析人員從外部環境收集信息的第一個過濾器。與工作記憶、認知靈活性和抑制性控制相關的高級認知過程參與決策和事件管理任務中外部化的行為。
通過以下兩種技能,可以實現安全分析師認知過程的持續改進:
1)過程式控制制。過程式控制制是團隊成員的一項重要技能,因為它幫助成員有建設性地感知、理解和反應。
2)反饋讓你有數據支撐你的決定,根據他們對團隊其他成員的看法自我修正。
關於大數據和機器學習在安全領域的應用,在商業和學術領域有不同的建議;然而,它們並沒有得到廣泛實施。我們認為,今後一項可能的工作是分析造成這種情況的原因,一般來說,可能是預算、人員經驗、技術支持不足。此外,通過焦點小組進行的綜述可能是補充本研究的重要貢獻。