“SCSA-T学习导图+”系列:态势感知之“迷”
  

深信服认证 223253人觉得有帮助

{{ttag.title}}
本帖最后由 深信服认证 于 2023-1-4 14:40 编辑

本期引言:
聊起态势感知,很多人第一印象可能就是一个炫酷的大屏,或者很多炫酷的大屏。屏幕上有成千上万的攻击数据,错综复杂的攻击路径,有人会问这些内容真实且实用吗?本篇就来一探究竟。

01概念

关于态势感知产品的概念, 2016年4月19日,习近平总书记在网络安全与信息化工作座谈会上的讲话指出,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

态势感知产品的本质,仍然是一种以网络安全监测为主的产品,可以将其理解为新一代的网络安全监测;类似的产品其实有很多,如NGSOC(下一代安全运营中心)、SIP(深信服安全感知平台)等,既然是网络安全监测,态势感知类产品与传统网络安全IPS或防火墙监测有什么不同呢?我们从深信服SIP来进行了解。


02深信服SIP解读
监控大屏功能
从功能大屏上SIP包含以下5类主要大屏:
  • 综合安全大屏
  • 分支安全态势大屏
  • 安全事件态势大屏
  • 外连风险监控大屏
  • 横向攻击大屏


从上述大屏的名称,可以了解到大屏主要展示的内容。那么深信服SIP是如何实现这些类型的监测呢?这里主要使用2个重点技术:一是全流量的监测分析,二是综合的日志收集与分析。

这里全流量分析是重点,全流量分析技术不同于传统的流量特征检测,在SIP中会融入多个人工智能引擎,如DNS监测引擎、HTTP监测引擎、NetFlow引擎、SAVE文件检测引擎、UEBA用户行为分析引擎等。

处置中心
在深信服SIP中,最关键的模块是“处置中心”,因为前面不管我们发现了多少问题,我们都需要进一步对问题进行处置闭环。处置中心将全网安全问题,通过风险主机(服务器、终端)视角、安全域视角、安全事件视角进行整理。

当管理员习惯查看哪些主机存在安全问题时,可以通过风险业务视角或风险终端视角进行查看。当管理员想知道哪个区域安全较薄弱时,可以通过风险安全域视角进行确认。当公司出现了某项安全事件时,如勒索病毒,可以通过安全事件视角进行查找所有中勒索病毒的主机。

如:查看服务器的风险等级,5级以上的安全事件建议进行处置

处置中心的本质,是对SIP所收集的数据进行详细的分析和处置。

分析中心
除了处置中心,SIP中另一个重要的模块是分析中心。分析中心的核心目标是可视化威胁追捕、溯源分析、情报关联、行为分析等。分析中心强调对那些暂未形成安全事件,但存在可疑,或结合业务现状可分析发现存在异常的数据,提供给驻点安全专家,或有一定安全分析能力的运维人员进行分析,从正常现象中挖掘异常。

查看主机存在的外部、横向、外连,三个方向的威胁以及访问情况进行分析。分析中心具备以下分析功能:
  • 访问分析:检测互联网,内网主机的访问关系,审计访问行为;
  • 日志检索:平台审计的安全日志,审计日志以及第三方日志等;
  • 情报分析:查看当前平台的威胁情报总量,检测到内网存在威胁情报的情况,并可自定义威胁情报以及将误报的情报加入白名单;
  • SIEM分析系统:通过接入第三方设备/操作系统日志进行异常行为分析;
  • EBA分析:通报机器学习,建立服务器访问基线,为后续识别出服务器的异常流量以及异常访问。


联动处置
在SIP对安全进行了简单处置、细节分析后。我们更加希望SIP能自动化完成一些处置工作,形成对安全事件的闭环处置。比如,联动防火墙封锁IP地址,联动EDR发起文件的扫描等。下面以AF为例进行说明。

AF作为边界安全防护设备,更多的是检测防护从内到外的攻击或者从外到内的恶意流量,在部分场景下,为有效发现失陷主机,需要配置反向安全策略配置,在这些场景下,当内网主机(主要为业务服务器)中病毒或存在异常时,会向互联网或内网其它主机发起攻击或异常行为,此时需要在防火墙上需要增加安全策略的反向配置,用于检测内网主机的异常情况,再将日志上传导SIP进行风险主机分析。防火墙的动作不允许即可,但需要记录日志,确保可以检测到从内到外的攻击行为,从而发现内网失陷被远控的异常主机。如下图,网络中部署了出口处的AF。
SIP安全感知平台主要是检测内网存在风险的主机,如服务器在中病毒后向互联网或内网其它主机发起攻击时,需要防火墙能检测到这部分攻击数据,再上传到安全感知平台做分析。所以防火墙需要增加配置内网到外网方向攻击的安全策略,并记录日志。所以互联网出口防火墙:需要增加终端到互联网的攻击检测策略,动作可以是允许。服务器区防火墙:需要增加服务器区到互联网和到内网终端的攻击检测策略,动作配置为允许。

总结:SIP作为新一代的安全运营核心产品,其不论是监测还是处置功能都应该具备很强综合能力,而并非单纯的大屏展示功能。一个有效的安全态势感知大屏,其本质仍然要依托于安全核心的检测与分析能力,而并非一味追求的展示能力。

练习题
如果让你来设计一个SIP或安全运营中心的产品,可以与哪些网络安全产品做联动处置,来实现更加智能且自动化安全运营呢?(深信服认证公众号,后台回复和作答,一经采用,可领取奖品哦~)

作者介绍
黄浩,深信服产教中心教学教研副主任
深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,CISSP认证注册信息系统安全师,中国计算机学会会员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授,湖南省数字经济促进会特聘讲师,中国高校计算机大赛-网络技术挑战赛评审;对企业网络安全框架设计、业务逻辑安全与防御体系有深刻认识;擅长DDoS攻击防御、操作系统安全防护、密码学、企业安全架构、取证溯源、应急响应等多个方向的课程。

打赏鼓励作者,期待更多好文!

打赏
60人已打赏

15082161216 发表于 2023-4-11 09:45
  
感谢楼主分享,学习一下
807710 发表于 2023-3-26 14:48
  
坚持学习感谢分享有助于工作
新手719320 发表于 2023-3-23 22:36
  
每天学习一点,每天进步一点。
wshellym 发表于 2023-2-8 10:17
  
感谢分享案例分析!!学习了!!
不知冬 发表于 2023-2-1 15:59
  

每日打卡学习,感谢分享,学习了!!!
新手626351 发表于 2023-2-1 09:05
  

感谢楼主分享,学习一下
蟲爺 发表于 2023-1-29 13:55
  
感谢分享
新手626351 发表于 2023-1-29 10:16
  
感谢楼主分享,学习一下
新手626351 发表于 2023-1-23 09:43
  
通俗易懂,值得学习,收藏学习。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

90
268
0

发帖

粉丝

关注

本版达人