近日,綠盟科技推出安全知識圖譜技術白皮書《踐行安全知識圖譜,攜手邁進認知智慧》,旨在對安全知識圖譜概念內涵、核心框架、關鍵技術和應用實踐進行全面總結與介紹,期望為讀者帶來全新的技術思考,助力網路安全智慧化邁入認知智慧階段。
本文為安全知識圖譜白皮書《踐行安全知識圖譜,攜手邁進認知智慧》精華解讀第五篇——網路空間測繪篇,重點介紹安全知識圖譜在網路空間測繪中的應用。
摸清家底 把握趨勢
近年來,網路空間測繪已成為網路通訊技術、網路空間安全、地理學等多學科交叉融合的前沿領域[1]。將龐大複雜的網路空間資源屬性以及網路資源間的關聯關係進行建模和表達,實現全球網路空間資訊的“全息地圖”,以反映網路空間資源狀態變化、網路攻擊行為等。網際網路暴露的資源和服務都將在網路空間測繪平臺中體現,攻擊者可以透過測繪平臺收集目標多維度資訊,挖掘目標脆弱面,進一步執行特定攻擊,所以面向網路空間測繪的安全研究愈發重要。
網路空間資源之間具備較強的複雜、動態的關聯關係,採用知識圖譜技術可以很好的解決其資源的複雜關係的問題,使用圖分析可以較簡單的計算資源暴露、敏感資料洩露、威脅情報等情況,以便實時追蹤攻擊過程和攻擊結果。透過網路空間測繪知識圖譜發現面臨的威脅和風險,提前制定預防策略,採取有效的安全措施,以便在安全防護上做到“量體裁衣”。由於網路空間上的資源種類繁多且涉及範圍廣,如網路基礎設施、雲平臺、工業控制系統、物聯網等細分領域,對網路空間資源完整的資訊表達需要依賴專家經驗對該領域構建全面的安全本體模型,構建完整的網路空間測繪領域知識圖譜,基於知識圖譜的語義搜尋、查詢、推理等特性實現智慧問答和知識推理等任務。
知己知彼 對症施策
網路空間安全防護不僅僅是構建更厚的防火牆,對資產、資產脆弱性、使用者資訊、IT架構資訊的掌控程度,往往決定了網路空間防禦能力的上限。目前資產管理方案遠未像理想中那麼成熟,特別是在雲、物聯網、移動網際網路迅速發展的時代背景下,資產數量劇增,型別更加豐富,脆弱性暴露的形勢也更加嚴峻。“知己”比“知彼”顯得更加關鍵,無論是暴露在公網的資產還是邊界內未納入管理的“黑資產”,都將大幅增加網路空間安全防護難度。
基於知識圖譜的網路空間資產風險分析需要考慮空間內的各類實體屬性(基本資訊、脆弱性、合規資訊等),以及實體之間的關聯關係。資產資料圖的構建,需要資產管理、脆弱性管理、風險評估等工具和服務的支撐,也需要網路架構資訊、企業組織、人力資源等業務資料來豐富知識圖譜的實體及關係。
透過網路空間知識圖譜對資產風險分析需要實時監控和分析資產風險的變化,其分析的關鍵在於圖譜中實體的覆蓋率以及準確的實體狀態(屬性或關係)變化。在解決實體覆蓋率和狀態準確性的問題上,有效識別已知型別實體,可以透過特徵指紋匹配與行為模式匹配,快速召回收錄在冊的實體型別例項;未知型別實體的分類,需要透過無監督或半監督的特徵與行為聚類、資訊流或結構性關聯分析、統計頻繁項挖掘等方法,識別未知實體資料中的模式資訊,尋求與已知型別實體的相似性與關聯性。
總結
網路空間測繪領域中的網路空間資料種類碎片化,以及資源、資訊變化快,導致測繪識別成本極高,從而給網路空間安全治理帶來極大的挑戰。為應對無孔不入的威脅,需要發現網路安全防護的關鍵實體、關鍵關係,在威脅事件發生的前後,對威脅的潛在影響範圍、影響深度進行全面評估,保證脆弱面的準確識別。基於安全知識圖譜進行網路空間測繪,能實時追蹤攻擊過程和攻擊結果,提前預知可能存在的風險,採取相關的控制措施,這需要網路安全人員持續地共同探索。