2017伊始，朋友圈就被一个词刷屏了，那就是“黑天鹅”，到底什么是“黑天鹅”?

这里所说的“黑天鹅”是指“黑天鹅”事件。著名商业思想家纳西姆·尼古拉斯·塔勒布在其著作《黑天鹅：如何应对不可预知的未来》中将“黑天鹅”描述为出乎意料的并会带来巨大影响力的事件。

如果缺乏网络态势感知，“黑天鹅事件”可能只有借助事后的智慧被合理化。

当谈及网络安全，“黑天鹅理论”尤为重要。随着网络空间的规模和行动不断扩大，网络空间与日常生活日益交织。考虑到一体化日益明显，“黑天鹅事件”能以指数效应产生重大后果。

态势感知防止 “黑天鹅”网络事件? -E安全

事后诸葛亮

“黑天鹅事件”无法预测，只有通过事后的智慧将其合理化。然而，组织机构仍能模拟或概念化某些影响严重的低概率场景，制定事件响应计划。

雅虎、Target和索尼遭遇的数据泄露事件并不是典型的“黑天鹅事件”，因为在这些事件中，受害者本能预测并做好准备。

2013年，美国零售商巨头Target遭遇数据泄露，4000万张借记卡和信用卡数据被窃取，之所以遭遇如此重创，是因为第三方HVAC供应商安全性差。

同样，索尼影业遭遇入侵是因为访问控制政策过于宽松。

2013年，美国纽约水坝遭遇网络攻击，其原因在于蜂窝调制调解器不安全，才让威胁攻击者乘机控制关键基础设施。

如果将非常规的安全漏洞考虑在内，组织机构本能避免这些影响严重、发生概率较低的事件。有效的事件响应计划必须考虑不太可能发生，但具有潜在破坏力的情况。

安全形势不容乐观

2013年，波尼蒙研究所(Ponemon Institute)发布了题为“新兴网络安全技术的效力”的报告。这份报告表明，全球大多数专家认为，威胁格局不断变化，并且越来越复杂。因此，大多数组织机构，尤其银行、金融、保健、制造公司为了防止网络入侵事件，正在部署最新的安全解决方案。

有趣的是，一些调查对象报告称，安全解决方案带来了积极的成效，但他们还表示所组织机构容易遭遇网络犯罪。这种情形表明许多组织机构对可能促成“黑天鹅网络事件”的非传统、未知威胁毫无准备，安全形势不容乐观，。

组织机构部署的解决方案可以有效检测威胁，但只包含已知威胁。诸如防火墙在内的解决方案只能根据定义的访问控制政策防止入侵，并且入侵防御系统(简称IPS)仅能防止符合已知威胁特征的威胁，而无法解决动态的新兴威胁，也就是说这些解决方案并不能覆盖整个威胁格局，因为这些解决方案无法对未知威胁进行防御。所有攻击路径与安全路障隔离之前，网络犯罪分子将会继续渗透网络，影响巨大的高风险情况将会继续存在。

理解网络态势感知

特别的威胁需要特殊的解决方案。虽然无法预测“黑天鹅事件”，但组织机构可以构建安全架构(随威胁格局不断发展)预测威胁发生的可能性和潜在影响力。组织机构必须超越传统的防御模式，以实现动态的安全态势，而非静态的态势。这就需要网络态势感知和信息共享。

根据美国空军前首席科学家Mica Endsley的定义，态势感知是对环境中元素的感知，理解其中的深层含义，并在不久的将来预测状态。

网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。由此，组织机构便可以充分了解自身的安全准备情况，主动采取措施缓解与新兴威胁相关的风险。

提升网络安全防范意识

组织机构内部所有层级必须掌握态势感知，包括董事会成员、高管、IT专业人员、安全分析师、人力资源、财务、销售、营销和第三方厂商和客户。如果所有人在感知方面出现差距(即人们缺乏信息安全保护意识)，就可能被诈骗分子利用。

如果这些漏洞被实时修复，网络犯罪分子将难以提高复杂程度。就像指数图一样，网络犯罪分子的创新技术会达到顶峰，也会遇到瓶颈，停滞不前，这样一来，机构就有时间将感知水平拉回正常化。

此外，组织机构需要将态势感知带来的可操作信息与同行和客户共享，以保护整个行业的安全框架。

结合“蝴蝶效应”与“黑天鹅理论”

通过“蝴蝶效应”理解组织机构的安全态势也很重要。根据“蝴蝶效应”，本地化行动每日每刻都可能给复杂系统的其它地方带来重大影响。如果员工的网络安全意识差，每天都在执行不安全的网络操作，这些失误最终可能会导致大规模的“黑天鹅事件”。

由于大多数公司资产与所属组织机构存在关联，本地化行动可能会允许恶意攻击者在网络内、甚至整个网络空间引发灾难性事件。

因此，要防止“黑天鹅事件”，个人的网络使用习惯至关重要。如同软件一样，用户教育需要定期修补更新，而只有通过网络态势感知才能加以实现。

本文转自d1net（转载）