淺談探視感知
2017-08-01
什么是態(tài)勢(shì)感知
態(tài)勢(shì)感知是一種基于環(huán)境的��、動(dòng)態(tài)��、整體地洞悉安全風(fēng)險(xiǎn)的能力�,是以安全大數(shù)據(jù)為基礎(chǔ)�����,從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析����、響應(yīng)處置能力的一種方式。隨著網(wǎng)絡(luò)的興起事態(tài)感知被理解為“在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取���、理解�����、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)��,進(jìn)而進(jìn)行決策與行動(dòng)����。
深入解讀
現(xiàn)階段面對(duì)傳統(tǒng)安全防御體系失效的風(fēng)險(xiǎn)�����,態(tài)勢(shì)感知?jiǎng)t全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)�、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證�����,幫助安全人員采取針對(duì)性響應(yīng)處置措施。
所以態(tài)勢(shì)感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力���,能夠及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常���;具備威脅調(diào)查分析及可視化能力,可以對(duì)威脅相關(guān)的影響范圍�、攻擊路徑、目的����、手段進(jìn)行快速判別�����,從而支撐有效的安全決策和響應(yīng)�;能夠建立安全預(yù)警機(jī)制,來(lái)完善風(fēng)險(xiǎn)控制��、應(yīng)急響應(yīng)和整體安全防護(hù)的水平�����。
態(tài)勢(shì)感知過(guò)程
態(tài)勢(shì)感知離不開(kāi)數(shù)據(jù)融合,數(shù)據(jù)融合是指將來(lái)自多個(gè)信息源的數(shù)據(jù)收集起來(lái)��,進(jìn)行關(guān)聯(lián)�����、組合���,提升數(shù)據(jù)的有效性和精確度�。
1) 數(shù)據(jù)預(yù)處理:可選的級(jí)別�,對(duì)于部分不夠規(guī)整的數(shù)據(jù)進(jìn)行預(yù)處理,
2) 事件提?。菏侵敢匦畔⒉杉蟮氖录?biāo)準(zhǔn)化、修訂���,以及事件基本特征的擴(kuò)展�����。
3) 態(tài)勢(shì)評(píng)估:包括關(guān)聯(lián)分析和態(tài)勢(shì)分析�����。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖���,為網(wǎng)絡(luò)管理員提供輔助決策信息����。
4) 影響評(píng)估:它將當(dāng)前態(tài)勢(shì)映射到未來(lái)���,對(duì)參與者設(shè)想或預(yù)測(cè)行為的影響進(jìn)行評(píng)估��。
5) 資源管理���、過(guò)程控制與優(yōu)化:通過(guò)建立一定的優(yōu)化指標(biāo),對(duì)整個(gè)融合過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控與評(píng)價(jià)��,實(shí)現(xiàn)相關(guān)資源的最優(yōu)分配�。
態(tài)勢(shì)感知場(chǎng)景
有沒(méi)有漏洞:全國(guó)50%網(wǎng)站有高危漏洞�����,目前業(yè)務(wù)在ECS上運(yùn)行還好�����,但這不代表沒(méi)有潛在的威脅��。這里關(guān)注的不僅是對(duì)常見(jiàn)web漏洞進(jìn)行掃描,還可以?huà)呙璧谌介_(kāi)源軟件漏洞��,主機(jī)系統(tǒng)層漏洞��,甚至對(duì)黑客圈小范圍內(nèi)爆出來(lái)的高危漏洞�����,做到預(yù)警和修復(fù)準(zhǔn)備��。
安不安全:網(wǎng)絡(luò)攻擊這么猖獗�����,網(wǎng)絡(luò)流量波動(dòng)起伏很大�����,網(wǎng)絡(luò)安全岌岌可危��。通過(guò)安全大數(shù)據(jù)建模分析����,把普通的無(wú)危害腳本和頂尖的黑客區(qū)分開(kāi),看清現(xiàn)在遭受的網(wǎng)絡(luò)威脅�,并對(duì)防護(hù)策略進(jìn)行評(píng)估��。
DDOS來(lái)了
影響有多大��,范圍有多廣����?通過(guò)對(duì)云上業(yè)務(wù)的全流量監(jiān)控�,秒級(jí)檢測(cè)DDoS攻擊,還原被攻擊場(chǎng)景�����,對(duì)攻擊流量成分��,清洗總量��,攻擊時(shí)間 進(jìn)行詳細(xì)描述���,對(duì)業(yè)務(wù)影響進(jìn)行有效評(píng)估
攻擊溯源:不僅可對(duì)黑客入侵行為進(jìn)行識(shí)別,甚至可以追溯黑客入侵鏈路���,看清黑客一步一步入侵的全過(guò)程�����。
安全運(yùn)維從何入手:安全要怎么運(yùn)維����?該看什么報(bào)表?什么是基線(xiàn)檢查����?昨天的PHP漏洞跟我有關(guān)系嗎?站在黑客的視角做安全防護(hù)才能有效防止黑客入侵�。從網(wǎng)絡(luò)層,到主機(jī)層��,到應(yīng)用層���,從各個(gè)維度把安全做關(guān)聯(lián)監(jiān)控�����,避免了以前看不見(jiàn)的安全盲區(qū)���。你需要態(tài)勢(shì)感知。
態(tài)勢(shì)感知方案
網(wǎng)絡(luò)入侵態(tài)勢(shì)感知
網(wǎng)絡(luò)入侵態(tài)勢(shì)感知核心是海量日志的挖掘和決策支持系統(tǒng)的開(kāi)發(fā)�。IPS/IDS主要是基于攻擊特征規(guī)則進(jìn)行檢測(cè)(IPS/IDS規(guī)則庫(kù)),即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警�����。而傳統(tǒng)的日志分析系統(tǒng)只會(huì)歸并同規(guī)則事件的告警,意味著歸并后運(yùn)維人員還需要面對(duì)數(shù)萬(wàn)條告警日志���!
只有在傳統(tǒng)的日志歸并基礎(chǔ)上構(gòu)建了各種攻擊場(chǎng)景的行為模型���,才能自動(dòng)化識(shí)別黑客當(dāng)前處于哪種攻擊行為。
DDOS態(tài)勢(shì)感知
DDOS威脅成本低���,見(jiàn)效大���。2017年DDOS攻擊越來(lái)越頻繁,尤其針對(duì)發(fā)達(dá)地區(qū)和重點(diǎn)業(yè)務(wù)���。其次�,DDOS攻擊流量越來(lái)越大��。因此�,DDOS的防御重點(diǎn)應(yīng)是應(yīng)針對(duì)大規(guī)模攻擊。
異常流量檢需要具擁有自學(xué)習(xí)功能����,通過(guò)一段時(shí)間的機(jī)器學(xué)習(xí)得到網(wǎng)絡(luò)正常狀態(tài)的流量上限。在這個(gè)過(guò)程中需要系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)的流量變化特征����,進(jìn)行基礎(chǔ)數(shù)據(jù)建模,按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間��,通過(guò)對(duì)置信區(qū)間內(nèi)的歷史數(shù)據(jù)進(jìn)行分析計(jì)算���,得到流量的變化趨勢(shì)和模型特征���。
僵木蠕態(tài)勢(shì)感知
在辦僵尸網(wǎng)絡(luò)、木馬���、蠕蟲(chóng)病毒(統(tǒng)稱(chēng)僵木蠕)是日常辦公的首要威脅�����,僵木蠕引起的arp���,DDOS斷網(wǎng)等問(wèn)題成為主要問(wèn)題,加之由此引發(fā)的僵�、木、蠕泄密等事件了�����。此時(shí),我們采用防病毒引擎����,通過(guò)對(duì)網(wǎng)絡(luò)流量監(jiān)控,發(fā)現(xiàn)僵木蠕的傳播���,并通過(guò)僵木蠕態(tài)勢(shì)監(jiān)控����,實(shí)現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)��、打擊及效果評(píng)估��。
APT攻擊態(tài)勢(shì)感知
已知攻擊檢測(cè)�����,我們可以用入侵檢測(cè)設(shè)備���,防病毒���,但是針對(duì)APT攻擊�����,我們需要更先進(jìn)的技術(shù)手段和方法。
在整個(gè)防護(hù)體系中�����,未知的0day攻擊�,APT攻擊態(tài)勢(shì)感知,可以依靠通過(guò)對(duì)web�����、郵件�����、客戶(hù)端軟件等各種惡意軟件進(jìn)行檢測(cè)����,利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測(cè)�、動(dòng)態(tài)沙箱檢測(cè)及AV、基于漏洞的靜態(tài)檢測(cè)等多種檢測(cè)手段將未知威脅檢測(cè)并感知。通過(guò)檢測(cè)網(wǎng)頁(yè)���、電子郵件或其他已知和未知的惡意軟件�,發(fā)現(xiàn)利用0day漏洞的APT攻擊行為�,保護(hù)客戶(hù)網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)。
