2017-08-01
什么是態(tài)勢感知
態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風險的能力,是以安全大數(shù)據(jù)為基礎(chǔ),從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式。隨著網(wǎng)絡(luò)的興起事態(tài)感知被理解為“在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預測,進而進行決策與行動。
深入解讀
現(xiàn)階段面對傳統(tǒng)安全防御體系失效的風險,態(tài)勢感知則全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及應(yīng)用運行健康狀態(tài)、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證,幫助安全人員采取針對性響應(yīng)處置措施。
所以態(tài)勢感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力,能夠及時發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力,可以對威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進行快速判別,從而支撐有效的安全決策和響應(yīng);能夠建立安全預警機制,來完善風險控制、應(yīng)急響應(yīng)和整體安全防護的水平。
態(tài)勢感知過程
態(tài)勢感知離不開數(shù)據(jù)融合,數(shù)據(jù)融合是指將來自多個信息源的數(shù)據(jù)收集起來,進行關(guān)聯(lián)、組合,提升數(shù)據(jù)的有效性和精確度。
1) 數(shù)據(jù)預處理:可選的級別,對于部分不夠規(guī)整的數(shù)據(jù)進行預處理,
2) 事件提取:是指要素信息采集后的事件標準化、修訂,以及事件基本特征的擴展。
3) 態(tài)勢評估:包括關(guān)聯(lián)分析和態(tài)勢分析。態(tài)勢評估的結(jié)果是形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖,為網(wǎng)絡(luò)管理員提供輔助決策信息。
4) 影響評估:它將當前態(tài)勢映射到未來,對參與者設(shè)想或預測行為的影響進行評估。
5) 資源管理、過程控制與優(yōu)化:通過建立一定的優(yōu)化指標,對整個融合過程進行實時監(jiān)控與評價,實現(xiàn)相關(guān)資源的最優(yōu)分配。
態(tài)勢感知場景
有沒有漏洞:全國50%網(wǎng)站有高危漏洞,目前業(yè)務(wù)在ECS上運行還好,但這不代表沒有潛在的威脅。這里關(guān)注的不僅是對常見web漏洞進行掃描,還可以掃描第三方開源軟件漏洞,主機系統(tǒng)層漏洞,甚至對黑客圈小范圍內(nèi)爆出來的高危漏洞,做到預警和修復準備。
安不安全:網(wǎng)絡(luò)攻擊這么猖獗,網(wǎng)絡(luò)流量波動起伏很大,網(wǎng)絡(luò)安全岌岌可危。通過安全大數(shù)據(jù)建模分析,把普通的無危害腳本和頂尖的黑客區(qū)分開,看清現(xiàn)在遭受的網(wǎng)絡(luò)威脅,并對防護策略進行評估。
DDOS來了
影響有多大,范圍有多廣?通過對云上業(yè)務(wù)的全流量監(jiān)控,秒級檢測DDoS攻擊,還原被攻擊場景,對攻擊流量成分,清洗總量,攻擊時間 進行詳細描述,對業(yè)務(wù)影響進行有效評估
攻擊溯源:不僅可對黑客入侵行為進行識別,甚至可以追溯黑客入侵鏈路,看清黑客一步一步入侵的全過程。
安全運維從何入手:安全要怎么運維?該看什么報表?什么是基線檢查?昨天的PHP漏洞跟我有關(guān)系嗎?站在黑客的視角做安全防護才能有效防止黑客入侵。從網(wǎng)絡(luò)層,到主機層,到應(yīng)用層,從各個維度把安全做關(guān)聯(lián)監(jiān)控,避免了以前看不見的安全盲區(qū)。你需要態(tài)勢感知。
態(tài)勢感知方案
網(wǎng)絡(luò)入侵態(tài)勢感知
網(wǎng)絡(luò)入侵態(tài)勢感知核心是海量日志的挖掘和決策支持系統(tǒng)的開發(fā)。IPS/IDS主要是基于攻擊特征規(guī)則進行檢測(IPS/IDS規(guī)則庫),即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警。而傳統(tǒng)的日志分析系統(tǒng)只會歸并同規(guī)則事件的告警,意味著歸并后運維人員還需要面對數(shù)萬條告警日志!
只有在傳統(tǒng)的日志歸并基礎(chǔ)上構(gòu)建了各種攻擊場景的行為模型,才能自動化識別黑客當前處于哪種攻擊行為。
DDOS態(tài)勢感知
DDOS威脅成本低,見效大。2017年DDOS攻擊越來越頻繁,尤其針對發(fā)達地區(qū)和重點業(yè)務(wù)。其次,DDOS攻擊流量越來越大。因此,DDOS的防御重點應(yīng)是應(yīng)針對大規(guī)模攻擊。
異常流量檢需要具擁有自學習功能,通過一段時間的機器學習得到網(wǎng)絡(luò)正常狀態(tài)的流量上限。在這個過程中需要系統(tǒng)自動記錄網(wǎng)絡(luò)的流量變化特征,進行基礎(chǔ)數(shù)據(jù)建模,按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間,通過對置信區(qū)間內(nèi)的歷史數(shù)據(jù)進行分析計算,得到流量的變化趨勢和模型特征。
僵木蠕態(tài)勢感知
在辦僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒(統(tǒng)稱僵木蠕)是日常辦公的首要威脅,僵木蠕引起的arp,DDOS斷網(wǎng)等問題成為主要問題,加之由此引發(fā)的僵、木、蠕泄密等事件了。此時,我們采用防病毒引擎,通過對網(wǎng)絡(luò)流量監(jiān)控,發(fā)現(xiàn)僵木蠕的傳播,并通過僵木蠕態(tài)勢監(jiān)控,實現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、打擊及效果評估。
APT攻擊態(tài)勢感知
已知攻擊檢測,我們可以用入侵檢測設(shè)備,防病毒,但是針對APT攻擊,我們需要更先進的技術(shù)手段和方法。
在整個防護體系中,未知的0day攻擊,APT攻擊態(tài)勢感知,可以依靠通過對web、郵件、客戶端軟件等各種惡意軟件進行檢測,利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測、動態(tài)沙箱檢測及AV、基于漏洞的靜態(tài)檢測等多種檢測手段將未知威脅檢測并感知。通過檢測網(wǎng)頁、電子郵件或其他已知和未知的惡意軟件,發(fā)現(xiàn)利用0day漏洞的APT攻擊行為,保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風險。