几个星期前,我与我的一个机构同事碰面,讨论了最新的备受瞩目的袭击事件,他向我提到了一个新词:“态势理解”。在USB提案中做了8个月的工作后,我对催吐流行语并不陌生,这个词立即引起了人们的注意,但是由于我一直在讨论几天,所以这个词本身正在赢得信誉。它准确地描述了组织经常进行的潜意识过程,因为他们必须围绕众包共享工作量进行深入研究,包括要挖掘的内容和要传递的内容。
态势感知一词在军事上有很深的渊源,但在最简单的形式中,它被定义为“……了解附近正在发生的事情,以确定信息,事件和自己的行动将如何影响目标。”
感知等于理解吗?绝对不是-感知是5万英尺的视野,而理解是360度的视野。
在大多数组织中,大多数分析师的日常职责分散了他们对对手的追捕。这就是清除队列并继续处理下一张票证。 相反,组织依靠和商业情报提供者通过危害和其他情报产品的指标来提供态势感知。不幸的是,团队盲目部署这些指标而没有真正的“理解”,因为他们不能从消防水带中喝水,而时间至关重要。 最初的信息提示是急需的态势感知,但是公司必须消化这种意识,并将其转化为态势理解,就像获取威胁数据来产生威胁情报一样。
组织如何将态势感知转变为态势理解?
通过不仅将情报部署到防火墙,路由器和其他传感器网格技术中,而且还通过对它们的日志存储库执行后视镜搜索。来自外部资源的情报可以提供丰富的数据,但是在可以在操作环境中研究攻击之前,它永远不会超过态势理解的极限。尤其是针对性攻击。(在另一个博客中,我将探讨跨企业的多种技术进行后视镜搜索的巨大挑战。
DSA应用程序允许客户摄取共享的情报并将其从正在进行的监视列表中删除,从而提供了对态势理解的巨大突破。这是一个粗略的步骤,可帮助您确定与您的组织的相关性–您受到打击了吗?此步骤的扩展是整合DSA威胁情报平台中可用的其他上下文,以帮助快速展开调查……这仅仅是整个Internet的扫描,还是需要更大的事件响应工作?
由于分析师必须经历大量的事件,因此效率至关重要。
DSA应用程序使分析人员可以通过辅助查询轻松查看相关事件是否被阻止,允许,隔离或任何其他状态。就像输入action = ACCEPT一样容易,通过消除不成功的事件来减少值得调查的事件。这可以帮助正在使用现代安全工具提供的大量数据而苦苦挣扎的团队,从而导致错误的结论,红色的鲱鱼,并大大延长了调查时间。
态势理解的战术目标是识别并用力打击脸上的恶行!但是,更重要的是,态势理解的价值与您的对手,您的网络和您的防御越来越亲密。通过研究网络日志和其他可能由商业提供商,行业同行或其他机器可读格式无法传达的外围活动,从态势感知到态势理解的过渡,形成了一种持续评估防御的作战成熟度模型。
定位态势感知(该博客的唯一引用)
在应急管理中,“态势感知”不能孤立存在。它有一个目的。
态势感知和决策支持中的三个步骤是:
1.感知当前情况下的要素
2.理解现状
3.未来状态预测(Endsley 1995)
彼得·戴利(Peter Daly)(爱尔兰HSE)说,在某些情况下,它可以被称为公认现状(RCS)(MEM Framework2005)。其源头可以追溯到5 个世纪BC和战争由中国军事战略家孙子(戴利2018)的艺术。简而言之,态势感知是指每个人都确切地知道过去和现在的状况,并且知道该怎么做。重要的是,每个团队都应了解情况,以使每个人都了解情况的相关风险和后果以及采取的措施。
动态态势感知中的ENDSLEY模型
马克·罗伯茨(MarkRoberts)(北爱尔兰警察局)表示,在英国,民防(CP)机构使用术语“ 共享态势感知”,意思是“对紧急情况,紧急后果和隐含的共识,以及对紧急情况的理解。紧急服务和响应机构的可用功能和优先级”。它必须在所有部门之间共享,以便每个人都可以有效地合作。“实现共享的态势感知对于有效的互操作性至关重要。建立共享的态势感知对于在各级指挥部,事件指挥官之间以及控制室之间达成共识是至关重要的。
这导致了对风险的共同理解,即“不同的响应者机构可能以不同的方式看待,理解和对待风险。在这种情况下,每个机构将进行自己的“动态风险评估”,然后共享其结果,以便他们可以更有效地共同计划控制措施,尤其是在不可预测的情况下。通过共同理解风险和相关的缓解措施,组织可以提高响应者的安全性并减少风险对公民,基础设施和环境的影响。
态势感知是升值什么正在发生的事情,但不一定,为什么它正在发生(国防部- jdp04)。发展知识和增强态势感知是第一步,在应急响应中,优化这种理解至关重要。态势感知和态势理解之间的区别在于分析的水平和理解的深度,可以有效地运用判断力。
例如,在发生恐怖袭击的情况下,态势感知将关怀所有受伤的当事方,并采用损害控制程序。此刻在那里。态势理解另一方面是对全球形势的看法。例如,在恐怖袭击中,这不是一个“简单的”枪击事件。因此,枪击事件发生后,某些地区可能仍然很危险,甚至在袭击发生后也可能有恐怖分子在场。态势感知是指如何护理严重创伤的受害者并运用伤害控制原则,而态势理解则是了解情况的严重性(Vivian2018)。态势理解需要洞察力和远见卓识相结合,即准确感知现有情况的能力和预测未来情况如何发展的能力(Trost 2016)。
感官是收集和处理信息的过程,将有助于发现新出现的危机并了解危机发生时的重要性。IN-PREP伙伴SAMU巴黎的BenoitVivian教授指出,这是一个连续的过程,他们在其中进行实时调整,因为会连续收到有关情况和受害者的信息。克莱因,穆恩和霍夫曼(Klein,Moon和Hoffman,2006年)指出,在心理学领域,意义创造不仅仅是态势感知,“……这是一种持续的努力,以了解人与人之间的联系,以预测他们的轨迹并有效地采取行动”。但是他们提到,这不是简单地连接点的问题。需要高超的技巧和经验来确定哪些点首先计数以及哪些信号应忽略。
在以人为中心的计算中,感觉是关于理解组成模型的不同层和算法,以便用户知道为什么以及如何使用算法来产生最终结果。因此,尽管态势感知是关于所获得的知识(通过了解当前数据或从该数据得出的预测),但理性决策是关于实现这些结果的过程和遇到的障碍(Endsley1995)。
在IN项目的技术方面,态势感知描述了提供给最终用户以帮助他们了解情况的所有要素。例如,C2系统中的态势感知来自监视和情报/信息数据的结合。在训练过程中,混合现实防备平台(MRPP)将处理环境中的输入和活动,以描述实际情况。在这种情况下,态势理解涉及信息融合以及模型表示和推理(Trost,2016年)。技术团队将在融合过程中利用异构数据,以便可以使用硬数据和软数据。MRPP将转换威胁数据和态势感知以产生威胁情报,以便可以有效培训响应者进行协作计划响应。
态势感知的思考
这一切要从上下文开始。
1.上下文使我们能够理解并确定优先顺序。在安全运营中,上下文来自于使用外部威胁源汇总和扩充内部威胁和事件数据。通过将环境内部的事件和关联的指标(例如来自包括安全信息和事件管理(SIEM)系统,日志管理存储库和案例管理系统的来源)与指标,对手及其方法的外部数据相关联,您可以获得上下文了解攻击的对象,对象,地点,时间,原因和方式。
2.优先考虑重点。现在,您可以根据与环境的相关性确定优先级。但是,与一家公司有关的事情可能与另一家公司无关。能够根据您设置的参数评估和更改风险评分非常重要。过滤掉您的噪音,可以让您首先了解要做什么。您可以专注于对您的组织真正重要的事情,而不是浪费时间和资源来追赶幽灵。
3.集中精力可以做出更好的决策。在没有干扰和误报干扰的情况下,您可以集中精力并花更多时间分析和理解重要内容。无论您是在SIEM中工作并评估警报,还是在事件响应平台中研究案件,您都可以根据情况,重点和喘息的机会做出更好的决策。
4.更好的决定会带来更大的信心。现在,您可以更高效地工作。您知道需要完成的工作,并且开始了解如何做得更好。随着时间的流逝,有了多项成功的经验,您就会获得信心,并意识到不必继续手动执行被认为是重复且低风险的流程。
5.信心导致自动化。成功带来了信心,并为您实现自动化所需要的舒适度。您内外都知道这些任务,几乎不用担心会破坏某些东西或对业务产生负面影响。您可以决定使整个过程自动化,也可以选择某些方面,例如对警报进行优先级排序,对威胁源进行评分和重新评分,加固传感器网格等。
