淺談探視感知
2017-08-01
什么是態(tài)勢感知
態(tài)勢感知是一種基于環(huán)境的��、動態(tài)�����、整體地洞悉安全風險的能力���,是以安全大數(shù)據(jù)為基礎(chǔ),從全局視角提升對安全威脅的發(fā)現(xiàn)識別����、理解分析、響應(yīng)處置能力的一種方式���。隨著網(wǎng)絡(luò)的興起事態(tài)感知被理解為“在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取���、理解、顯示以及最近發(fā)展趨勢的順延性預測��,進而進行決策與行動�����。
深入解讀
現(xiàn)階段面對傳統(tǒng)安全防御體系失效的風險���,態(tài)勢感知則全面感知網(wǎng)絡(luò)安全威脅態(tài)勢���、洞悉網(wǎng)絡(luò)及應(yīng)用運行健康狀態(tài)���、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證,幫助安全人員采取針對性響應(yīng)處置措施����。
所以態(tài)勢感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力,能夠及時發(fā)現(xiàn)各種攻擊威脅與異常�;具備威脅調(diào)查分析及可視化能力,可以對威脅相關(guān)的影響范圍��、攻擊路徑�����、目的����、手段進行快速判別,從而支撐有效的安全決策和響應(yīng)��;能夠建立安全預警機制�����,來完善風險控制、應(yīng)急響應(yīng)和整體安全防護的水平�����。
態(tài)勢感知過程
態(tài)勢感知離不開數(shù)據(jù)融合�����,數(shù)據(jù)融合是指將來自多個信息源的數(shù)據(jù)收集起來��,進行關(guān)聯(lián)��、組合��,提升數(shù)據(jù)的有效性和精確度�。
1) 數(shù)據(jù)預處理:可選的級別���,對于部分不夠規(guī)整的數(shù)據(jù)進行預處理���,
2) 事件提取:是指要素信息采集后的事件標準化����、修訂��,以及事件基本特征的擴展����。
3) 態(tài)勢評估:包括關(guān)聯(lián)分析和態(tài)勢分析��。態(tài)勢評估的結(jié)果是形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖���,為網(wǎng)絡(luò)管理員提供輔助決策信息���。
4) 影響評估:它將當前態(tài)勢映射到未來,對參與者設(shè)想或預測行為的影響進行評估��。
5) 資源管理�����、過程控制與優(yōu)化:通過建立一定的優(yōu)化指標���,對整個融合過程進行實時監(jiān)控與評價�,實現(xiàn)相關(guān)資源的最優(yōu)分配���。
態(tài)勢感知場景
有沒有漏洞:全國50%網(wǎng)站有高危漏洞��,目前業(yè)務(wù)在ECS上運行還好��,但這不代表沒有潛在的威脅�����。這里關(guān)注的不僅是對常見web漏洞進行掃描�,還可以掃描第三方開源軟件漏洞,主機系統(tǒng)層漏洞��,甚至對黑客圈小范圍內(nèi)爆出來的高危漏洞���,做到預警和修復準備。
安不安全:網(wǎng)絡(luò)攻擊這么猖獗����,網(wǎng)絡(luò)流量波動起伏很大,網(wǎng)絡(luò)安全岌岌可危�����。通過安全大數(shù)據(jù)建模分析�,把普通的無危害腳本和頂尖的黑客區(qū)分開,看清現(xiàn)在遭受的網(wǎng)絡(luò)威脅,并對防護策略進行評估���。
DDOS來了
影響有多大��,范圍有多廣��?通過對云上業(yè)務(wù)的全流量監(jiān)控�,秒級檢測DDoS攻擊���,還原被攻擊場景�����,對攻擊流量成分�,清洗總量�,攻擊時間 進行詳細描述,對業(yè)務(wù)影響進行有效評估
攻擊溯源:不僅可對黑客入侵行為進行識別����,甚至可以追溯黑客入侵鏈路,看清黑客一步一步入侵的全過程�����。
安全運維從何入手:安全要怎么運維?該看什么報表�����?什么是基線檢查��?昨天的PHP漏洞跟我有關(guān)系嗎�����?站在黑客的視角做安全防護才能有效防止黑客入侵����。從網(wǎng)絡(luò)層,到主機層�,到應(yīng)用層,從各個維度把安全做關(guān)聯(lián)監(jiān)控���,避免了以前看不見的安全盲區(qū)。你需要態(tài)勢感知�。
態(tài)勢感知方案
網(wǎng)絡(luò)入侵態(tài)勢感知
網(wǎng)絡(luò)入侵態(tài)勢感知核心是海量日志的挖掘和決策支持系統(tǒng)的開發(fā)。IPS/IDS主要是基于攻擊特征規(guī)則進行檢測(IPS/IDS規(guī)則庫)��,即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警�����。而傳統(tǒng)的日志分析系統(tǒng)只會歸并同規(guī)則事件的告警,意味著歸并后運維人員還需要面對數(shù)萬條告警日志��!
只有在傳統(tǒng)的日志歸并基礎(chǔ)上構(gòu)建了各種攻擊場景的行為模型�����,才能自動化識別黑客當前處于哪種攻擊行為�。
DDOS態(tài)勢感知
DDOS威脅成本低,見效大���。2017年DDOS攻擊越來越頻繁�����,尤其針對發(fā)達地區(qū)和重點業(yè)務(wù)����。其次�����,DDOS攻擊流量越來越大��。因此,DDOS的防御重點應(yīng)是應(yīng)針對大規(guī)模攻擊��。
異常流量檢需要具擁有自學習功能�,通過一段時間的機器學習得到網(wǎng)絡(luò)正常狀態(tài)的流量上限。在這個過程中需要系統(tǒng)自動記錄網(wǎng)絡(luò)的流量變化特征���,進行基礎(chǔ)數(shù)據(jù)建模��,按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間��,通過對置信區(qū)間內(nèi)的歷史數(shù)據(jù)進行分析計算����,得到流量的變化趨勢和模型特征�。
僵木蠕態(tài)勢感知
在辦僵尸網(wǎng)絡(luò)、木馬����、蠕蟲病毒(統(tǒng)稱僵木蠕)是日常辦公的首要威脅,僵木蠕引起的arp�����,DDOS斷網(wǎng)等問題成為主要問題����,加之由此引發(fā)的僵、木���、蠕泄密等事件了����。此時�,我們采用防病毒引擎,通過對網(wǎng)絡(luò)流量監(jiān)控�����,發(fā)現(xiàn)僵木蠕的傳播���,并通過僵木蠕態(tài)勢監(jiān)控�����,實現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)�����、打擊及效果評估����。
APT攻擊態(tài)勢感知
已知攻擊檢測,我們可以用入侵檢測設(shè)備�,防病毒,但是針對APT攻擊����,我們需要更先進的技術(shù)手段和方法。
在整個防護體系中�,未知的0day攻擊,APT攻擊態(tài)勢感知��,可以依靠通過對web�、郵件、客戶端軟件等各種惡意軟件進行檢測�,利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測����、動態(tài)沙箱檢測及AV、基于漏洞的靜態(tài)檢測等多種檢測手段將未知威脅檢測并感知�。通過檢測網(wǎng)頁、電子郵件或其他已知和未知的惡意軟件��,發(fā)現(xiàn)利用0day漏洞的APT攻擊行為,保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風險�。
