0x00:概念普及
安全態勢感知可以理解為客戶的安全大腦,是一個集檢測、預警、響應處置為一體的大數據安全分析平臺.其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術,實現威脅可視化、攻擊與可疑流量可視化等功能.可有效幫助客戶在高級威脅入侵之後,損失發生之前及時發現威脅.
態勢感知(Situational Awareness/Situation Awareness,SA)的概念最早在軍事領域被提出.目前是大數據安全領域規模增長最迅速的產品.態勢感知的市場規模從2017年開始,就在以每年25%的速度增長.目前的態勢感知平臺分為政府部門使用的監管平臺和企業使用的實施監測預警平臺.而國外一般不談態勢感知系統,多稱為威脅管理、威脅發現產品,並把網絡安全態勢感知作為由多個系統、工具整合實現的狀態效果.
目前的態勢感知平臺分為政府部門使用的監管平臺和企業使用的實施監測預警平臺.但在不同的行業中,也有不同的核心技術需求:
金融行業有著更多的業務場景,注重關聯分析能力、威脅告警精確度、用戶行為分析能力;
- 運營商的SOC(Security Operation Center)除了關注自身的安全,也會注重利用本身的數據資源優勢,拓寬行業市場;
- 能源行業的IT種類繁多,非常注意安全生產,因此看重產品的兼容性、可連續性;
- 政府機構關注對外部攻擊防範、高級威脅檢測.
但總的來說,態勢感知(SA)目前理論上主要分為以下三個部分:
對環境元素的感知
對狀態的的理解
對未來狀態的預測
為了可以更好地理解態勢感知,我們可以先來看一下態勢感知會涉及到的一些專業術語:
- 攻擊者視角:站在黑客攻擊場景上獲取的攻擊告警、威脅等運營數據
- 防禦者視角:站在甲方安全視角上主動獲取到的防禦引擎部署情況、漏洞信息等運營數據
- 告警事件:由DDoS檢測引擎、主機安全檢測引擎、全流量檢測引擎發現的高價值安全事件
- 威脅事件:通過京東雲提供的基於安全威脅模型大數據關聯的新型攻擊事件,包含實時分析事件、離線分析事件
- 引擎覆蓋率:由網絡入侵檢測引擎、DDoS基礎防護檢測引擎和主機安全檢測引擎啟動覆蓋率組成,網絡入侵檢測引擎啟動覆蓋率=已開啟NIDS監控的公網IP數量/當前用戶下所有公網IP數量,主機安全檢測引擎啟動覆蓋率=已安裝主機安全軟件雲服務器數量/當前用戶下所有云服務器數量,DDoS基礎防護啟動覆蓋率默認為100%,用戶無法手工調整.權重為1:1:1,引擎開啟監控的覆蓋率越高,其捕捉安全事件的能力越強,故使用安全引擎覆蓋率量化衡量其開啟率.最佳實踐為100%
- 主機漏洞:主機系統方面漏洞
- 網站漏洞:主要針對web網站相關的漏洞
0x01:建設目的
檢測:提供網絡安全持續監控能力,及時發現各種攻擊威脅與異常,特別是針對性攻擊.
分析、響應:建立威脅可視化及分析能力,對威脅的影響範圍、攻擊路徑、目的、手段進行快速研判,目的是有效的安全決策和響應.
預測、預防:建立風險通報和威脅預警機制,全面掌握攻擊者目的、技戰術、攻擊工具等信息.
防禦:利用掌握的攻擊者相關目的、技戰術、攻擊工具等情報,完善防禦體系.
0x02:模型體系
0x03:趨勢分析
0x04:解決方案
全流量安全檢測解決方案
1、基於全流量的威脅檢測&回溯分析
2、分級部署方案
3、多租戶SaaS(安全即服務)解決方案
0x05:處理流程
閱讀更多 白帽子 的文章
