2017-08-01
什么是态势感知
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。随着网络的兴起事态感知被理解为“在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
深入解读
现阶段面对传统安全防御体系失效的风险,态势感知则全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。
所以态势感知系统应该具备网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应;能够建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平。
态势感知过程
态势感知离不开数据融合,数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。
1) 数据预处理:可选的级别,对于部分不够规整的数据进行预处理,
2) 事件提取:是指要素信息采集后的事件标准化、修订,以及事件基本特征的扩展。
3) 态势评估:包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。
4) 影响评估:它将当前态势映射到未来,对参与者设想或预测行为的影响进行评估。
5) 资源管理、过程控制与优化:通过建立一定的优化指标,对整个融合过程进行实时监控与评价,实现相关资源的最优分配。
态势感知场景
有没有漏洞:全国50%网站有高危漏洞,目前业务在ECS上运行还好,但这不代表没有潜在的威胁。这里关注的不仅是对常见web漏洞进行扫描,还可以扫描第三方开源软件漏洞,主机系统层漏洞,甚至对黑客圈小范围内爆出来的高危漏洞,做到预警和修复准备。
安不安全:网络攻击这么猖獗,网络流量波动起伏很大,网络安全岌岌可危。通过安全大数据建模分析,把普通的无危害脚本和顶尖的黑客区分开,看清现在遭受的网络威胁,并对防护策略进行评估。
DDOS来了
影响有多大,范围有多广?通过对云上业务的全流量监控,秒级检测DDoS攻击,还原被攻击场景,对攻击流量成分,清洗总量,攻击时间 进行详细描述,对业务影响进行有效评估
攻击溯源:不仅可对黑客入侵行为进行识别,甚至可以追溯黑客入侵链路,看清黑客一步一步入侵的全过程。
安全运维从何入手:安全要怎么运维?该看什么报表?什么是基线检查?昨天的PHP漏洞跟我有关系吗?站在黑客的视角做安全防护才能有效防止黑客入侵。从网络层,到主机层,到应用层,从各个维度把安全做关联监控,避免了以前看不见的安全盲区。你需要态势感知。
态势感知方案
网络入侵态势感知
网络入侵态势感知核心是海量日志的挖掘和决策支持系统的开发。IPS/IDS主要是基于攻击特征规则进行检测(IPS/IDS规则库),即IPS/IDS每次匹配到含有攻击特征数据包便产生一次攻击告警。而传统的日志分析系统只会归并同规则事件的告警,意味着归并后运维人员还需要面对数万条告警日志!
只有在传统的日志归并基础上构建了各种攻击场景的行为模型,才能自动化识别黑客当前处于哪种攻击行为。
DDOS态势感知
DDOS威胁成本低,见效大。2017年DDOS攻击越来越频繁,尤其针对发达地区和重点业务。其次,DDOS攻击流量越来越大。因此,DDOS的防御重点应是应针对大规模攻击。
异常流量检需要具拥有自学习功能,通过一段时间的机器学习得到网络正常状态的流量上限。在这个过程中需要系统自动记录网络的流量变化特征,进行基础数据建模,按照可信范围的数据设置置信区间,通过对置信区间内的历史数据进行分析计算,得到流量的变化趋势和模型特征。
僵木蠕态势感知
在办僵尸网络、木马、蠕虫病毒(统称僵木蠕)是日常办公的首要威胁,僵木蠕引起的arp,DDOS断网等问题成为主要问题,加之由此引发的僵、木、蠕泄密等事件了。此时,我们采用防病毒引擎,通过对网络流量监控,发现僵木蠕的传播,并通过僵木蠕态势监控,实现僵尸网络发现、打击及效果评估。
APT攻击态势感知
已知攻击检测,我们可以用入侵检测设备,防病毒,但是针对APT攻击,我们需要更先进的技术手段和方法。
在整个防护体系中,未知的0day攻击,APT攻击态势感知,可以依靠通过对web、邮件、客户端软件等各种恶意软件进行检测,利用多种应用层及文件层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。通过检测网页、电子邮件或其他已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险。