本帖最后由 深信服认证 于 2023-1-4 14:40 编辑
本期引言:
聊起态势感知,很多人第一印象可能就是一个炫酷的大屏,或者很多炫酷的大屏。屏幕上有成千上万的攻击数据,错综复杂的攻击路径,有人会问这些内容真实且实用吗?本篇就来一探究竟。
01概念
关于态势感知产品的概念, 2016年4月19日,习近平总书记在网络安全与信息化工作座谈会上的讲话指出,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
态势感知产品的本质,仍然是一种以网络安全监测为主的产品,可以将其理解为新一代的网络安全监测;类似的产品其实有很多,如NGSOC(下一代安全运营中心)、SIP(深信服安全感知平台)等,既然是网络安全监测,态势感知类产品与传统网络安全IPS或防火墙监测有什么不同呢?我们从深信服SIP来进行了解。
![]()
02深信服SIP解读 监控大屏功能 从功能大屏上SIP包含以下5类主要大屏: 从上述大屏的名称,可以了解到大屏主要展示的内容。那么深信服SIP是如何实现这些类型的监测呢?这里主要使用2个重点技术:一是全流量的监测分析,二是综合的日志收集与分析。
这里全流量分析是重点,全流量分析技术不同于传统的流量特征检测,在SIP中会融入多个人工智能引擎,如DNS监测引擎、HTTP监测引擎、NetFlow引擎、SAVE文件检测引擎、UEBA用户行为分析引擎等。
处置中心 在深信服SIP中,最关键的模块是“处置中心”,因为前面不管我们发现了多少问题,我们都需要进一步对问题进行处置闭环。处置中心将全网安全问题,通过风险主机(服务器、终端)视角、安全域视角、安全事件视角进行整理。
当管理员习惯查看哪些主机存在安全问题时,可以通过风险业务视角或风险终端视角进行查看。当管理员想知道哪个区域安全较薄弱时,可以通过风险安全域视角进行确认。当公司出现了某项安全事件时,如勒索病毒,可以通过安全事件视角进行查找所有中勒索病毒的主机。
如:查看服务器的风险等级,5级以上的安全事件建议进行处置 ![]()
处置中心的本质,是对SIP所收集的数据进行详细的分析和处置。 ![]()
分析中心 除了处置中心,SIP中另一个重要的模块是分析中心。分析中心的核心目标是可视化威胁追捕、溯源分析、情报关联、行为分析等。分析中心强调对那些暂未形成安全事件,但存在可疑,或结合业务现状可分析发现存在异常的数据,提供给驻点安全专家,或有一定安全分析能力的运维人员进行分析,从正常现象中挖掘异常。
查看主机存在的外部、横向、外连,三个方向的威胁以及访问情况进行分析。分析中心具备以下分析功能: 访问分析:检测互联网,内网主机的访问关系,审计访问行为; 日志检索:平台审计的安全日志,审计日志以及第三方日志等; 情报分析:查看当前平台的威胁情报总量,检测到内网存在威胁情报的情况,并可自定义威胁情报以及将误报的情报加入白名单; SIEM分析系统:通过接入第三方设备/操作系统日志进行异常行为分析; EBA分析:通报机器学习,建立服务器访问基线,为后续识别出服务器的异常流量以及异常访问。
联动处置 在SIP对安全进行了简单处置、细节分析后。我们更加希望SIP能自动化完成一些处置工作,形成对安全事件的闭环处置。比如,联动防火墙封锁IP地址,联动EDR发起文件的扫描等。下面以AF为例进行说明。
AF作为边界安全防护设备,更多的是检测防护从内到外的攻击或者从外到内的恶意流量,在部分场景下,为有效发现失陷主机,需要配置反向安全策略配置,在这些场景下,当内网主机(主要为业务服务器)中病毒或存在异常时,会向互联网或内网其它主机发起攻击或异常行为,此时需要在防火墙上需要增加安全策略的反向配置,用于检测内网主机的异常情况,再将日志上传导SIP进行风险主机分析。防火墙的动作不允许即可,但需要记录日志,确保可以检测到从内到外的攻击行为,从而发现内网失陷被远控的异常主机。如下图,网络中部署了出口处的AF。 ![]() SIP安全感知平台主要是检测内网存在风险的主机,如服务器在中病毒后向互联网或内网其它主机发起攻击时,需要防火墙能检测到这部分攻击数据,再上传到安全感知平台做分析。所以防火墙需要增加配置内网到外网方向攻击的安全策略,并记录日志。所以互联网出口防火墙:需要增加终端到互联网的攻击检测策略,动作可以是允许。服务器区防火墙:需要增加服务器区到互联网和到内网终端的攻击检测策略,动作配置为允许。
总结:SIP作为新一代的安全运营核心产品,其不论是监测还是处置功能都应该具备很强综合能力,而并非单纯的大屏展示功能。一个有效的安全态势感知大屏,其本质仍然要依托于安全核心的检测与分析能力,而并非一味追求的展示能力。
练习题 如果让你来设计一个SIP或安全运营中心的产品,可以与哪些网络安全产品做联动处置,来实现更加智能且自动化安全运营呢?(深信服认证公众号,后台回复和作答,一经采用,可领取奖品哦~)
作者介绍 黄浩,深信服产教中心教学教研副主任 深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,CISSP认证注册信息系统安全师,中国计算机学会会员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授,湖南省数字经济促进会特聘讲师,中国高校计算机大赛-网络技术挑战赛评审;对企业网络安全框架设计、业务逻辑安全与防御体系有深刻认识;擅长DDoS攻击防御、操作系统安全防护、密码学、企业安全架构、取证溯源、应急响应等多个方向的课程。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-1-5 16:52
