参考:https://www.freebuf.com/articles/es/197268.html
一个小笔记,浓缩了下上面的文章。
态势感知定义。
网络态势感知。大规模网络环境中对能够引起网络态势变化的安全要素进行获取,理解,显示以及最近发展趋势的顺延性预测,最终的目的是要进行决策与行动。
1。了解当前的状态,包括状态识别与确认(攻击发现),对态势感知所需要的信息来源和素材的质量评价。
2。态势理解,包括了解攻击的影响,攻击者的行为和当前态势发生的原因及方式。概括为:损害评估,行为分析(攻击行为的趋势与意图分析)和因果分析(溯源和取证分析)。
3。态势预测是对态势发展情况的预测评估,包括态势演化,态势跟踪,影响评估,情境推演。
我个人理解就是一保镖,监督查看所有人,有坏心思的就盯着他,尽一切努力阻止他干坏事。
态势感知安全产品
一般而言,态势感知产品定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。(个人觉的最好有检测到攻击意图时就封杀它,这样更好,但可能也会误杀好人)
解释下一些关键名词及其技术。
建模、图关联分析等涉及到算法层面。
全流量分析,是做很多安全产品的基础工作,因为再高级的攻击,都会留下网络痕迹,哪怕做了混淆,或者故意模仿正常访问,但是在大数据的建模分析下一切都会现身。为了进行流量分析,首先需要拿到流量。通过旁路镜像的方法获取网络流量,并针对已知网络协议实时解码、元数据提取(非常用的或者私有的协议需大量资源进行分析,有时也会由于回话秘钥的问题无法解开,而且由于出现频率也不高,很多产品并没有做这一步),此时可以做两方面的工作,一是通过深度的网络会话关联分析、数据包解码分析、载荷内容还原分析、特征分析和日志分析,还原黑客的kill chain,对网络安全事件进行精准的定性分析,二是快速提取多维度的网络元数据进行异常行为建模,为后续异常数据挖掘、分析、取证建立扎实的基础。分析之后,还要保存起来,方便查询检索及关联回溯分析,实现从线索挖掘到整个攻击过程的完整复盘,为安全事件的准确响应提供依据。
威胁情报,主要从四个方面判断质量,相关性,及时性,精确性,决策性,这一块笔者接触的也不多,也不清楚我司的产品是如何处理这一块的,但是如果是我做的话会考虑直接从这一细分领域企业那儿接过来,或者体量较大的乙方自身在业内是有十余年甚至数十年的积累的,也可以选择开源威胁情报如open-threat-exchange。
UEBA,即用户实体行为分析,与它常常一起出现的还有SIEM,SoC。先来说下UEBA,主要用于解决以下问题:账号失陷检测,主机失陷检测,数据泄漏检测,内部用户滥用,提供事件调查的上下文等。
技术架构一般如上,可见UEBA在第一步是数据驱动的,需要从产品、日志得到支持,然后是规则驱动,接下来是算法驱动,最后才能尽可能准确刻画出用户画像。再说说UEBA和SIEM的关系,SIEM即安全信息及事件管理,主要是提供一种统一的路径方法来综合处理数据及关联分析。由于数据量及复杂度增加,SIEM的管理能力到了天花板,这才有了UEBA。UEBA 为SIEM 数据添加了背景信息和分析,并为实体组织的事件提供风险评分,使分析师能够确定最高风险的优先级。随着技术的发展,UEBA又作为子集融合进了态势感知产品。
可视化,其实是为了方便客户了解旗下资产安全情况而做的,将一些复杂的数据图形化使之更容易的感知。可以直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,并运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示。同时结合平台所收集、加工、分析后的多维数据直观查看结果,方便安全运维人员及时发现、处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,也极大的提高了安全运维团队的监测、管理、处置安全事件的效率。
**
态势感知产品具体有哪些功能
**
先将基本都有的功能,包括:
态势感知模块:图形化感知,威胁情报,周报日报
分析模块:日志归并,关联分析,图像刻画,攻击链分析,情报关联,预警
传感模块:探针,与其他安全产品的接口
我没亲眼见过动态感知平台的产品,以上只是复制粘贴了别人的见解,我觉得讲得不错。话说这产品多少钱?