IT安全運(yùn)維 -安全態(tài)勢(shì)感知簡(jiǎn)介

2020-05-01 17:34 作者：艾銻無限 瀏覽量：

概念普及

安全態(tài)勢(shì)感知可以理解為客戶的安全大腦,是一個(gè)集檢測(cè)、預(yù)警、響應(yīng)處置為一體的大數(shù)據(jù)安全分析平臺(tái).其以全流量分析為核心,結(jié)合威脅情報(bào)、行為分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù),實(shí)現(xiàn)威脅可視化、攻擊與可疑流量可視化等功能.可有效幫助IT安全運(yùn)維在高級(jí)威脅入侵之后,損失發(fā)生之前及時(shí)發(fā)現(xiàn)威脅。是IT安全運(yùn)維管理員得力的幫手。

態(tài)勢(shì)感知(Situational Awareness/Situation Awareness,SA)的概念最早在軍事領(lǐng)域被提出.目前是大數(shù)據(jù)安全領(lǐng)域規(guī)模增長(zhǎng)最迅速的產(chǎn)品.態(tài)勢(shì)感知的市場(chǎng)規(guī)模從2017年開始,就在以每年25%的速度增長(zhǎng).目前的態(tài)勢(shì)感知平臺(tái)分為政府部門使用的監(jiān)管平臺(tái)和企業(yè)使用的實(shí)施監(jiān)測(cè)預(yù)警平臺(tái).而國(guó)外一般不談態(tài)勢(shì)感知系統(tǒng),多稱為威脅管理、威脅發(fā)現(xiàn)產(chǎn)品,并把網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為由多個(gè)系統(tǒng)、工具整合實(shí)現(xiàn)的狀態(tài)效果.目前的態(tài)勢(shì)感知平臺(tái)分為政府部門使用的監(jiān)管平臺(tái)和企業(yè)使用的實(shí)施監(jiān)測(cè)預(yù)警平臺(tái).但在不同的行業(yè)中,也有不同的核心技術(shù)需求:金融行業(yè)有著更多的業(yè)務(wù)場(chǎng)景,注重關(guān)聯(lián)分析能力、威脅告警精確度、用戶行為分析能力；運(yùn)營(yíng)商的SOC（Security Operation Center）除了關(guān)注自身的安全,也會(huì)注重利用本身的數(shù)據(jù)資源優(yōu)勢(shì),拓寬行業(yè)市場(chǎng)；能源行業(yè)的IT種類繁多,非常注意安全生產(chǎn),因此看重產(chǎn)品的兼容性、可連續(xù)性；政府機(jī)構(gòu)關(guān)注對(duì)外部攻擊防范、高級(jí)威脅檢測(cè). 但總的來說,態(tài)勢(shì)感知（SA）目前理論上主要分為以下三個(gè)部分:

對(duì)環(huán)境元素的感知

對(duì)狀態(tài)的的理解

對(duì)未來狀態(tài)的預(yù)測(cè)

為了可以更好地理解態(tài)勢(shì)感知,我們可以先來看一下態(tài)勢(shì)感知會(huì)涉及到的一些專業(yè)術(shù)語(yǔ):攻擊者視角:站在黑客攻擊場(chǎng)景上獲取的攻擊告警、威脅等運(yùn)營(yíng)數(shù)據(jù)防御者視角:站在甲方安全視角上主動(dòng)獲取到的防御引擎部署情況、漏洞信息等運(yùn)營(yíng)數(shù)據(jù)告警事件:由DDoS檢測(cè)引擎、主機(jī)安全檢測(cè)引擎、全流量檢測(cè)引擎發(fā)現(xiàn)的高價(jià)值安全事件威脅事件:通過京東云提供的基于安全威脅模型大數(shù)據(jù)關(guān)聯(lián)的新型攻擊事件,包含實(shí)時(shí)分析事件、離線分析事件引擎覆蓋率:由網(wǎng)絡(luò)入侵檢測(cè)引擎、DDoS基礎(chǔ)防護(hù)檢測(cè)引擎和主機(jī)安全檢測(cè)引擎啟動(dòng)覆蓋率組成,網(wǎng)絡(luò)入侵檢測(cè)引擎啟動(dòng)覆蓋率=已開啟NIDS監(jiān)控的公網(wǎng)IP數(shù)量/當(dāng)前用戶下所有公網(wǎng)IP數(shù)量,主機(jī)安全檢測(cè)引擎啟動(dòng)覆蓋率=已安裝主機(jī)安全軟件云服務(wù)器數(shù)量/當(dāng)前用戶下所有云服務(wù)器數(shù)量,DDoS基礎(chǔ)防護(hù)啟動(dòng)覆蓋率默認(rèn)為100%,用戶無法手工調(diào)整.權(quán)重為1:1:1,引擎開啟監(jiān)控的覆蓋率越高,其捕捉安全事件的能力越強(qiáng),故使用安全引擎覆蓋率量化衡量其開啟率.最佳實(shí)踐為100%主機(jī)漏洞:主機(jī)系統(tǒng)方面漏洞網(wǎng)站漏洞:主要針對(duì)web網(wǎng)站相關(guān)的漏洞

建設(shè)目的

檢測(cè)：提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對(duì)性攻擊.

分析、響應(yīng):建立威脅可視化及分析能力，對(duì)威脅的影響范圍、攻擊路徑、目的、手段進(jìn)行快速研判，目的是有效的安全決策和響應(yīng).

預(yù)測(cè)、預(yù)防:建立風(fēng)險(xiǎn)通報(bào)和威脅預(yù)警機(jī)制，全面掌握攻擊者目的、技戰(zhàn)術(shù)、攻擊工具等信息.

防御:利用掌握的攻擊者相關(guān)目的、技戰(zhàn)術(shù)、攻擊工具等情報(bào)，完善防御體系.

模型體系


 
艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運(yùn)維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運(yùn)維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運(yùn)維,網(wǎng)站運(yùn)維服務(wù)
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理