態(tài)勢(shì)感知是網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵性技術(shù)
掃描二維碼
隨時(shí)隨地手機(jī)看文章
(文章來源:太平洋電腦網(wǎng))
隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,不論是企業(yè)還是個(gè)人對(duì)網(wǎng)絡(luò)的依賴越來越大,信息安全已不再是一個(gè)技術(shù)問題,態(tài)勢(shì)感知應(yīng)勢(shì)而生,作為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn),卻不得不面對(duì)撲面而來的態(tài)勢(shì)感知熱潮以及良莠不齊的方案。那么,究竟什么是態(tài)勢(shì)感知?我們?yōu)槭裁葱枰?/p>
實(shí)際上,態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)的、整體的洞悉安全風(fēng)險(xiǎn)的能力,它以安全大數(shù)據(jù)為基礎(chǔ),從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析及響應(yīng)處置能力的一種方式,旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè),進(jìn)而進(jìn)行安全的相關(guān)決策與行動(dòng)。
我們?cè)诶斫鈶B(tài)勢(shì)時(shí),強(qiáng)調(diào)的是環(huán)境性、動(dòng)態(tài)性和整體性。這里,環(huán)境性指的是態(tài)勢(shì)感知的應(yīng)用環(huán)境是在一個(gè)較大的范圍內(nèi)具有一定規(guī)模的網(wǎng)絡(luò);動(dòng)態(tài)性,則指的是態(tài)勢(shì)隨時(shí)間不斷變化,態(tài)勢(shì)信息既包括過去和當(dāng)前的狀態(tài),還包括對(duì)未來趨勢(shì)的預(yù)測(cè);整體性,指的是態(tài)勢(shì)各實(shí)體間相互關(guān)系的體現(xiàn),某些網(wǎng)絡(luò)實(shí)體狀態(tài)發(fā)生變化,會(huì)影響到其他網(wǎng)絡(luò)實(shí)體的狀態(tài),而影響整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)。
一方面,如今我們面對(duì)的攻擊者,已形成專業(yè)的黑色產(chǎn)業(yè)鏈,他們不僅分工明確,其所采用的攻擊手段也更加先進(jìn),甚至利用上當(dāng)下熱門的人工智能,以便發(fā)動(dòng)更具針對(duì)性的惡意攻擊。攻擊的專業(yè)化和利益化,引發(fā)的直接后果就是,不是你會(huì)不會(huì)被黑,而是何時(shí)會(huì)被黑,甚至說被黑了你都不知道。
另一方面,從網(wǎng)絡(luò)安全建設(shè)來看,多年來我們一直偏重于架構(gòu)安全(漏洞管理、系統(tǒng)加固、安全域劃分等)和被動(dòng)防御能力(IPS、WAF、AV等)的建設(shè),雖取得了一定的成果,卻也遇到發(fā)展瓶頸,需要進(jìn)一步提升安全運(yùn)營(yíng)水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)。
顯然,面對(duì)越來越專業(yè)的惡意攻擊,我們已無法再用傳統(tǒng)的邊界隔離理念,日漸臃腫的攻擊特征庫(kù),與對(duì)方多變的滲透技術(shù),智能的HaaS服務(wù),隱蔽的信道相抗衡了。因此,態(tài)勢(shì)感知成為未來網(wǎng)絡(luò)安全的關(guān)鍵。我們說,一次成功的滲透和攻擊,包含了信息搜集、攻擊嘗試、移動(dòng)提權(quán)、信息回傳等多個(gè)過程,因此沒有萬無一失的籌謀,再聰明的攻擊者也會(huì)留下蛛絲馬跡,而我們要做的就是在“事前”發(fā)現(xiàn)它。
本質(zhì)上講,網(wǎng)絡(luò)安全就是發(fā)生在虛擬世界的攻防戰(zhàn),速度為王,而態(tài)勢(shì)感知系統(tǒng)的作用就是分析安全環(huán)境信息、快速判斷當(dāng)前及未來形勢(shì),以作出正確響應(yīng)。用“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”來表述建設(shè)態(tài)勢(shì)感知的目標(biāo)十分準(zhǔn)確,這包括了時(shí)間和檢測(cè)內(nèi)容兩個(gè)維度。
時(shí)間維度上,既需要利用已有實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的檢測(cè)技術(shù),同時(shí)還需要通過更長(zhǎng)時(shí)間數(shù)據(jù)來分析發(fā)現(xiàn)異常行為,特別是失陷情況;而內(nèi)容維度上,則需要覆蓋網(wǎng)絡(luò)流量、終端行為、內(nèi)容載荷三個(gè)方面,并完整提供以下5類檢測(cè)能力(或者說至少4類),它們是基于流量特征的實(shí)時(shí)檢測(cè)(WAF、IPS、NGFW等)、基于流量日志的異常分析機(jī)制(流量傳感器、Hunting、UEBA)、針對(duì)內(nèi)容的靜態(tài)、動(dòng)態(tài)分析機(jī)制(沙箱)、基于終端行為特征的實(shí)時(shí)檢測(cè)(ESP)、基于終端行為日志的異常分析機(jī)制(EDR、HunTIng、UEBA)。
你知道嗎?建設(shè)態(tài)勢(shì)感知需要具備流量數(shù)據(jù)采集、威脅情報(bào)和安全分析師三大核心要素。目前,以一些大數(shù)據(jù)安全平臺(tái)為載體,實(shí)現(xiàn)態(tài)勢(shì)感知技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。以銳捷網(wǎng)絡(luò)的RG-BDS大數(shù)據(jù)安全平臺(tái)為例,作為態(tài)勢(shì)感知信息的來源基礎(chǔ),銳捷從防火墻、IPS、WAF以及各種服務(wù)器、網(wǎng)絡(luò)設(shè)備等安全采集層,獲取大量的例如安全攻擊事件、用戶訪問記錄、業(yè)務(wù)異常信息等安全信息。
其實(shí)不難看出,如今我們已從單純的網(wǎng)絡(luò)安全邁向了涵蓋物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)等多領(lǐng)域的大安全時(shí)代,以往那些傳統(tǒng)的安全防護(hù)措施已不能很好的保護(hù)我們免受來自網(wǎng)絡(luò)的惡意攻擊。因此,安全技術(shù)才應(yīng)與時(shí)俱進(jìn),利用人工智能、大數(shù)據(jù)等新興技術(shù),建立適合當(dāng)下安全環(huán)境的新型防御體系,而網(wǎng)絡(luò)安全態(tài)勢(shì)感知,無疑能讓用戶看清業(yè)務(wù),預(yù)知威脅,了解風(fēng)險(xiǎn)所在。