全球最權(quán)威的IT研究機構(gòu)Gartner曾經(jīng)發(fā)表過一份題為《信息安全正在成為一個大數(shù)據(jù)分析問題》(Information Security Is Becoming a Big Data Analytics Problem)的報告，表示當(dāng)前真正的信息安全問題都需要由數(shù)據(jù)來解決，大數(shù)據(jù)的出現(xiàn)將對信息安全產(chǎn)生深遠的影響。

眾所周知，通常情況下，企業(yè)會根據(jù)資產(chǎn)的重要性以及攻擊的危害性來制定安全防護策略。當(dāng)然前提是能夠檢測到黑客攻擊，并能夠收集攻擊行為、攻擊路徑等數(shù)據(jù)進行詳細分析。因為態(tài)勢感知類產(chǎn)品能夠靈活地從龐大的工具堆棧中攝取、關(guān)聯(lián)和可視化數(shù)據(jù)，為此成為了安全溯源重要工具之一。

從態(tài)勢感知前世今生看數(shù)據(jù)的重要性

當(dāng)然，從態(tài)勢感知的發(fā)展歷史我們也不難看出，數(shù)據(jù)在信息安全中扮演的重要角色。

1、第一階段：安全信息和事件管理（SIEM）

安全信息和事件管理產(chǎn)品及服務(wù)(SIEM)，負責(zé)從大量企業(yè)安全控件、企業(yè)應(yīng)用和企業(yè)使用的其它軟件中收集安全日志數(shù)據(jù)，并進行分析和報告。這一階段主要是整合了應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報，當(dāng)攻擊已經(jīng)侵入到系統(tǒng)中時能及時報警。嚴格意義上來講，還無法做到威脅態(tài)勢的感知。

2、第二階段：安全運營中心（SOC）

安全運營中心(SOC)，采用集中管理方式統(tǒng)一管理相關(guān)安全產(chǎn)品，搜集所有安全信息，并通過對收集到各種安全事件進行深層的分析、統(tǒng)計和關(guān)聯(lián)、及時反映被管理資產(chǎn)的安全基線，能夠為各類安全事件及時提供處理方法和建議。安全運營中心能夠集中管理相關(guān)安全產(chǎn)品，搜集所有安全信息，并對收集到信息進行分析和處理，在一定程度上可以做到安全事件的預(yù)警。

3、第三階段：安全智能中心（SIC）態(tài)勢感知階段

隨著云計算與大數(shù)據(jù)的發(fā)展，安全智能中心(SIC)成為了企業(yè)級威脅態(tài)勢感知平臺。安全智能中心以大數(shù)據(jù)為技術(shù)支持，以企業(yè)的業(yè)務(wù)為核心，進行實時的異常檢測，實現(xiàn)安全分析智能化與威脅可視化，并提供威脅情報共享、安全態(tài)勢感知和高級威脅偵測分析等服務(wù)。

從上述態(tài)勢感知的發(fā)展歷程可以清晰知道，不管是前期數(shù)據(jù)收集還是后期數(shù)據(jù)關(guān)聯(lián)分析及可視化展現(xiàn)，核心都是數(shù)據(jù)。高價值的數(shù)據(jù)是態(tài)勢感知類產(chǎn)品的命脈，也是其發(fā)揮溯源、預(yù)測等功能的基礎(chǔ)。

高價值數(shù)據(jù)源是檢驗態(tài)勢感知能力的重要標準

為能夠在攻擊鏈早期就檢測到真實的攻擊行為，那么態(tài)勢感知類產(chǎn)品就需要有效的高價值數(shù)據(jù)作為支撐。傳統(tǒng)態(tài)勢感知絕大多數(shù)屬于以事件為中心的網(wǎng)絡(luò)態(tài)勢感知，主要是通過對互聯(lián)網(wǎng)節(jié)點網(wǎng)絡(luò)流量進行監(jiān)控探測，形成局部的威脅事件采集能力，這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數(shù)據(jù)分析能力和安全響應(yīng)能力，市場上很多態(tài)勢感知僅僅是通過一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認為態(tài)勢感知就是大屏展示的“安全地圖”， 只用于直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，比如了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源等。這類態(tài)勢感知產(chǎn)品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來看，遠未達到“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的要求。

僅僅依靠網(wǎng)絡(luò)側(cè)日志文件和數(shù)據(jù)還遠遠不夠。舉個簡單例子，發(fā)生在主機內(nèi)部密碼暴力破解和虛擬機內(nèi)部橫向移動等都是常見的黑客攻擊行為，但僅僅依靠網(wǎng)絡(luò)側(cè)流量，將很難發(fā)現(xiàn)這些攻擊行為。

高價值的主機側(cè)數(shù)據(jù)不可缺少

現(xiàn)有態(tài)勢感知缺乏主機相關(guān)信息，對于失陷主機的“態(tài)”及脆弱主機的“勢”無法精準有效的呈現(xiàn)。而全方位感知網(wǎng)絡(luò)安全態(tài)勢，要求除了對基于網(wǎng)絡(luò)流量進行威脅可視化呈現(xiàn)，還要求對全網(wǎng)主機及關(guān)鍵節(jié)點的綜合信息進行網(wǎng)絡(luò)態(tài)勢監(jiān)控。

為此，針對現(xiàn)有態(tài)勢感知不足，青藤云安全提供獨有的主機層高價值數(shù)據(jù)，包括操作審計日志、進程啟動日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。每一個進程啟動過程都會被記錄下來，并且可以與網(wǎng)絡(luò)連接日志、DNS解析日志進行關(guān)聯(lián)。這將助力安全人員快速精準定位問題，徹底解決通過傳統(tǒng)日志進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體進程的難題。

青藤在主機層面全面的、細粒度的數(shù)據(jù)，可通過syslog和API提供給用戶的態(tài)勢感知平臺，讓態(tài)勢感知類產(chǎn)品“功力大增”。

1、擴大了分析內(nèi)容的范圍。由于傳統(tǒng)態(tài)勢感知威脅檢測技術(shù)的局限性，因此所能發(fā)現(xiàn)的威脅也是有限的。通過在數(shù)據(jù)分析方面引入主機層高價值數(shù)據(jù)，可以更全面地發(fā)現(xiàn)針對這些主機資產(chǎn)的攻擊。

2、增加攻擊威脅的預(yù)測性。傳統(tǒng)的安全防護技術(shù)或工具大多是在攻擊發(fā)生后對攻擊行為進行分析和歸類，并做出響應(yīng)。大量主機側(cè)高價值數(shù)據(jù)讓態(tài)勢感知平臺變得更加智能，基于大數(shù)據(jù)的威脅分析，可進行超前的預(yù)判，它能夠?qū)ふ覞撛诘陌踩{，對未發(fā)生的攻擊行為進行預(yù)防。

3、提升檢測未知威脅的能力。通過增加主機側(cè)高價值數(shù)據(jù)，采用恰當(dāng)?shù)姆治瞿Ｐ?，可增強發(fā)現(xiàn)未知威脅的能力。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。