不知道TA如何對付黑客?
[PConline 雜談]隨著網路資訊科技的發展,不論是企業還是個人對網路的依賴越來越大,資訊保安已不再是一個技術問題,態勢感知應勢而生,作為目前網路安全領域的熱點,卻不得不面對撲面而來的態勢感知熱潮以及良莠不齊的方案。那麼,究竟什麼是態勢感知?我們為什麼需要它?
何為態勢感知?
實際上,態勢感知是一種基於環境的、動態的、整體的洞悉安全風險的能力,它以安全大資料為基礎,從全域性視角提升對安全威脅的發現識別、理解分析及響應處置能力的一種方式,旨在大規模網路環境中對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,進而進行安全的相關決策與行動。
我們在理解態勢時,強調的是環境性、動態性和整體性。這裡,環境性指的是態勢感知的應用環境是在一個較大的範圍內具有一定規模的網路;動態性,則指的是態勢隨時間不斷變化,態勢資訊既包括過去和當前的狀態,還包括對未來趨勢的預測;整體性,指的是態勢各實體間相互關係的體現,某些網路實體狀態發生變化,會影響到其他網路實體的狀態,而影響整個網路的態勢。
為什麼需要態勢感知?
一方面,如今我們面對的攻擊者,已形成專業的黑色產業鏈,他們不僅分工明確,其所採用的攻擊手段也更加先進,甚至利用上當下熱門的人工智慧,以便發動更具針對性的惡意攻擊。攻擊的專業化和利益化,引發的直接後果就是,不是你會不會被黑,而是何時會被黑,甚至說被黑了你都不知道。
另一方面,從網路安全建設來看,多年來我們一直偏重於架構安全(漏洞管理、系統加固、安全域劃分等)和被動防禦能力(IPS、WAF、AV等)的建設,雖取得了一定的成果,卻也遇到發展瓶頸,需要進一步提升安全運營水平的同時積極的開展主動防禦能力的建設。
顯然,面對越來越專業的惡意攻擊,我們已無法再用傳統的邊界隔離理念,日漸臃腫的攻擊特徵庫,與對方多變的滲透技術,智慧的HaaS服務,隱蔽的通道相抗衡了。因此,態勢感知成為未來網路安全的關鍵。我們說,一次成功的滲透和攻擊,包含了資訊蒐集、攻擊嘗試、移動提權、資訊回傳等多個過程,因此沒有萬無一失的籌謀,再聰明的攻擊者也會留下蛛絲馬跡,而我們要做的就是在“事前”發現它。
態勢感知能做什麼?
本質上講,網路安全就是發生在虛擬世界的攻防戰,速度為王,而態勢感知系統的作用就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。用“全天候全方位感知網路安全態勢”來表述建設態勢感知的目標十分準確,這包括了時間和檢測內容兩個維度。
時間維度上,既需要利用已有實時或準實時的檢測技術,同時還需要通過更長時間資料來分析發現異常行為,特別是失陷情況;而內容維度上,則需要覆蓋網路流量、終端行為、內容載荷三個方面,並完整提供以下5類檢測能力(或者說至少4類),它們是基於流量特徵的實時檢測(WAF、IPS、NGFW等)、基於流量日誌的異常分析機制(流量感測器、Hunting、UEBA)、針對內容的靜態、動態分析機制(沙箱)、基於終端行為特徵的實時檢測(ESP)、基於終端行為日誌的異常分析機制(EDR、Hunting、UEBA)。
建設態勢感知的核心要素
你知道嗎?建設態勢感知需要具備流量資料採集、威脅情報和安全分析師三大核心要素。目前,以一些大資料安全平臺為載體,實現態勢感知技術在網路安全領域的應用。
以銳捷網路的RG-BDS大資料安全平臺為例,作為態勢感知資訊的來源基礎,銳捷從防火牆、IPS、WAF以及各種伺服器、網路裝置等安全採集層,獲取大量的例如安全攻擊事件、使用者訪問記錄、業務異常資訊等安全資訊。
另外,RG-BDS還內建有數百個安全分析模型,並且能夠通過機器學習、威脅情報等自動生成相應分析模型,更支援雲端持續的分析模型升級能力。從攻擊發現、APT深度分析、威脅預測、安全知識庫協助、工單跟蹤閉環等模組構建全流程安全體系。
當然,隨著國家將網路安全提升至國家戰略層面,加之各項利好政策的推動下,目前已有不少安全廠商投身於網路安全態勢感知相關解決方案的研發當中,比如說360、綠盟、深信服等等,這裡我們僅以銳捷網路為大家進行舉例。
其實不難看出,如今我們已從單純的網路安全邁向了涵蓋物聯網、車聯網、雲端計算、大資料、移動互聯等多領域的大安全時代,以往那些傳統的安全防護措施已不能很好的保護我們免受來自網路的惡意攻擊。因此,安全技術才應與時俱進,利用人工智慧、大資料等新興技術,建立適合當下安全環境的新型防禦體系,而網路安全態勢感知,無疑能讓使用者看清業務,預知威脅,瞭解風險所在。