×

你的态势感知作用不大?看完这几点就知道原因
  

SANGFOR_智安全 9103

{{ttag.title}}

你的态势感知作用不大?看完这几点就知道原因


      态势感知显然已成为网络安全当下的热点。近期以来,几乎每场网络安全相关的会议或展会上,都能看见来自各个品牌的态势感知大屏。 但在这场态势感知热潮下,也充斥着良莠不齐的方案。因此,不少用户产生了困惑:究竟什么才是真正的态势感知?应该如何去选择态势感知方案?

态势感知不止是“大屏”

      方案良莠不齐,部分解决方案沦为展示“安全地图”。

      在态势感知热度下,很多品牌推出了相应产品。然而受限于威胁情报来源、数据分析能力和安全响应能力,市场上很多态势感知仅仅只是做了数据的图像呈现。以致于在不少人的认知里,态势感知就是大屏展示, 用于直观显示网络环境的实时安全状况。比如监管人员可以了解网络的状态、 受攻击情况、 攻击来源以及哪些服务易受到攻击等。态势感知变成了展示用的“安全地图”,仅此而已。


      真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体。

      用户实际上真正需要的是一个能够实现全网安全可视、检测、预警及响应的安全平台,它需要能够高效地感知内部安全风险,并能够提供最终的响应处置。在外部,它需要能够收集大量的外部威胁情报,用于辅助高级安全事件的分析。在网络内部,在各个子域的关键节点上,通过探针或安全设备,精准地采集有效检测信息。将外部威胁情报和内部真实流量数据汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测、判断、响应,并通过可视化的方式,最终让我们感知网络目前是否安全,哪里不安全,造成什么危害,如何处置,以及处置的过程、结果。


      真正的态势感知应该是一种基于环境的、动态地、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,实现安全能力的落地。其中,威胁发现来源数据是基础,基于流量检测、人工智能等技术进行检测分析是核心,进行可视呈现是必要,而最终的响应处置落地能力是关键。

如何选择态势感知



      毋庸置疑,建设态势感知很有必要。面对新的安全形势,传统安全体系遭遇瓶颈,企业需要构建一套能够实现全网安全可视、检测、预警及响应的安全系统,进一步提升安全运营水平的同时增强安全体系的主动防御能力。那么,市面上众多的态势感知产品和方案中,我们又该如何去选择呢。信服君认为应该从态势感知的基础数据来源、核心检测分析能力、必要的安全可视化能力及关键响应处置能力进行评估。

数据来源
具备主动采集能力,来源广泛有效。

      态势感知是以安全大数据为基础,因此在数据来源方面,态势感知应该具备主动采集有效数据的能力,避免过度依赖外部威胁情报或第三方设备的数据。另外,态势感知的数据来源必须丰富,除了通过自有设备,在用户网络内部进行主动的全流量检测数据提取,保障数据的真实性和有效性。同时基于标准日志格式,收集广泛的第三方设备日志,用于辅助分析和安全事件追溯。当然外部威胁情报也必不可少,才能够对内部潜伏威胁的检测分析提供最新的情报数据。

  
智能检测分析
智能动态检测,不依赖规则库。

      态势感知必须依赖智能化分析,才能从大量数据中分析出有效的安全问题。检测分析能力是核心,也是难点。当前市面上的态势感知,检测能力普遍较弱,不仅缺乏对网络内部有效数据的挖掘能力,还有一些依然采用静态特征库进行匹配的方式进行安全威胁检测,难以识别未知威胁。因此,基于大数据的态势感知应该结合流量特征、行为分析建模、各类监督学习算法、机器学习、大数据关联等技术进行检测分析,解决仅仅基于静态特征库的安全检测(IPS、IDS类)导致未知威胁不可知的问题,具备不依赖规则而检测低概率威胁的能力,有效检测APT攻击和潜伏在网络内部的未知威胁,提升整体网络安全能力。

  
安全可视
从宏观到微观,全面可视化呈现。

      安全可视这一点,可以说是大家对态势感知的共同认知。态势感知的可视化,应该摆脱碎片化、基于威胁事件的简单的数据表格化,更多的应该基于业务去看威胁和威胁的影响面。可以从两个维度去看:一个是宏观全局可视,辅助决策,比如全网安全态势、全网风险监控大屏等;另外是微观层面可视,简化运维。比如从业务维度展示安全现状,然后从攻击链的角度,让用户看到资产的失陷状态。最终对失陷资产进行详细的举证,让用户看到威胁的原因、危害,并为用户提供处置建议。


  
响应处置
协同响应处置是态势感知能力落地的关键,也是我们选择态势感知产品或方案的重要指标。

      应用态势感知,不管是为了提升检测发现威胁的能力,还是直观呈现安全现状及威胁,最终都是希望能够在安全事件过程中及时止损。而这就需要通过全局性的分析,发现威胁之后联调各安全设备进行协同响应处置。比如在攻击者发动攻击之前,协同防御设备进行策略调整,阻断其攻击;在已经潜入内部的攻击者造成破坏之前,立刻评估可能造成的损失范围和程度,并及时响应和处置。只有及时、高效的响应处置动作完成,才算真正解决了安全问题。


打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2017-12-5 10:30
  
网络威胁越来越多,这种分析平台非常有用!

真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体。
feeling 发表于 2017-12-5 10:42
  
分析的再彻底些
adds 发表于 2017-12-5 11:54
  
建议浓缩下,我很难坚持着从头看到尾,相信很多人也有这样的感觉。突出重点,精简文字。
yl2352 发表于 2017-12-30 00:11
  
听起来不错啊!虽然我不是很懂,但我觉得态势感知对于网络管理真的是很重要的!
798261 发表于 2018-2-8 11:58
  
攒一个!
13638095227 发表于 2018-3-23 10:54
  
广告打得好,我想了解具体的手段
申浪信息客服 发表于 2018-4-9 09:06
  
看样子好厉害,666666
阿钻 发表于 2018-5-14 15:11
  
很多客户不理解这产品到底有什么用,这对技术人员的表达能力也有一定要求:萌萌哒:
一骑绝尘 发表于 2018-5-30 09:50
  
不错不错,如果安全探针能够更加精简的话,应该会更加好用
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人