你的态势感知作用不大?看完这几点就知道原因
态势感知显然已成为网络安全当下的热点。近期以来,几乎每场网络安全相关的会议或展会上,都能看见来自各个品牌的态势感知大屏。 但在这场态势感知热潮下,也充斥着良莠不齐的方案。因此,不少用户产生了困惑:究竟什么才是真正的态势感知?应该如何去选择态势感知方案?
态势感知不止是“大屏”
方案良莠不齐,部分解决方案沦为展示“安全地图”。
在态势感知热度下,很多品牌推出了相应产品。然而受限于威胁情报来源、数据分析能力和安全响应能力,市场上很多态势感知仅仅只是做了数据的图像呈现。以致于在不少人的认知里,态势感知就是大屏展示, 用于直观显示网络环境的实时安全状况。比如监管人员可以了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等。态势感知变成了展示用的“安全地图”,仅此而已。
真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体。
用户实际上真正需要的是一个能够实现全网安全可视、检测、预警及响应的安全平台,它需要能够高效地感知内部安全风险,并能够提供最终的响应处置。在外部,它需要能够收集大量的外部威胁情报,用于辅助高级安全事件的分析。在网络内部,在各个子域的关键节点上,通过探针或安全设备,精准地采集有效检测信息。将外部威胁情报和内部真实流量数据汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测、判断、响应,并通过可视化的方式,最终让我们感知网络目前是否安全,哪里不安全,造成什么危害,如何处置,以及处置的过程、结果。
真正的态势感知应该是一种基于环境的、动态地、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,实现安全能力的落地。其中,威胁发现来源数据是基础,基于流量检测、人工智能等技术进行检测分析是核心,进行可视呈现是必要,而最终的响应处置落地能力是关键。
如何选择态势感知
毋庸置疑,建设态势感知很有必要。面对新的安全形势,传统安全体系遭遇瓶颈,企业需要构建一套能够实现全网安全可视、检测、预警及响应的安全系统,进一步提升安全运营水平的同时增强安全体系的主动防御能力。那么,市面上众多的态势感知产品和方案中,我们又该如何去选择呢。信服君认为应该从态势感知的基础数据来源、核心检测分析能力、必要的安全可视化能力及关键响应处置能力进行评估。
数据来源
具备主动采集能力,来源广泛有效。
态势感知是以安全大数据为基础,因此在数据来源方面,态势感知应该具备主动采集有效数据的能力,避免过度依赖外部威胁情报或第三方设备的数据。另外,态势感知的数据来源必须丰富,除了通过自有设备,在用户网络内部进行主动的全流量检测数据提取,保障数据的真实性和有效性。同时基于标准日志格式,收集广泛的第三方设备日志,用于辅助分析和安全事件追溯。当然外部威胁情报也必不可少,才能够对内部潜伏威胁的检测分析提供最新的情报数据。
态势感知必须依赖智能化分析,才能从大量数据中分析出有效的安全问题。检测分析能力是核心,也是难点。当前市面上的态势感知,检测能力普遍较弱,不仅缺乏对网络内部有效数据的挖掘能力,还有一些依然采用静态特征库进行匹配的方式进行安全威胁检测,难以识别未知威胁。因此,基于大数据的态势感知应该结合流量特征、行为分析建模、各类监督学习算法、机器学习、大数据关联等技术进行检测分析,解决仅仅基于静态特征库的安全检测(IPS、IDS类)导致未知威胁不可知的问题,具备不依赖规则而检测低概率威胁的能力,有效检测APT攻击和潜伏在网络内部的未知威胁,提升整体网络安全能力。
安全可视这一点,可以说是大家对态势感知的共同认知。态势感知的可视化,应该摆脱碎片化、基于威胁事件的简单的数据表格化,更多的应该基于业务去看威胁和威胁的影响面。可以从两个维度去看:一个是宏观全局可视,辅助决策,比如全网安全态势、全网风险监控大屏等;另外是微观层面可视,简化运维。比如从业务维度展示安全现状,然后从攻击链的角度,让用户看到资产的失陷状态。最终对失陷资产进行详细的举证,让用户看到威胁的原因、危害,并为用户提供处置建议。
响应处置
协同响应处置是态势感知能力落地的关键,也是我们选择态势感知产品或方案的重要指标。
应用态势感知,不管是为了提升检测发现威胁的能力,还是直观呈现安全现状及威胁,最终都是希望能够在安全事件过程中及时止损。而这就需要通过全局性的分析,发现威胁之后联调各安全设备进行协同响应处置。比如在攻击者发动攻击之前,协同防御设备进行策略调整,阻断其攻击;在已经潜入内部的攻击者造成破坏之前,立刻评估可能造成的损失范围和程度,并及时响应和处置。只有及时、高效的响应处置动作完成,才算真正解决了安全问题。
| 
发表于 2017-12-4 15:52
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-12-5 10:30
工程师2级 
