公司新聞

安全態(tài)勢(shì)感知2.0|專注感知,安全賦能

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-05    瀏覽次數(shù):
 

態(tài)勢(shì)感知2.0平臺(tái),在技術(shù)要素層相較于1.0而言更為豐富和更具先進(jìn)性,其融入了大數(shù)據(jù)技術(shù)、人工智能技術(shù)、云安全技術(shù)、自動(dòng)化防御及響應(yīng)技術(shù)、威脅情報(bào)等等,使整個(gè)態(tài)勢(shì)感知2.0平臺(tái)適用性更為廣泛,其提供的服務(wù)領(lǐng)域也逐漸增多,同時(shí)它也促進(jìn)了安全行業(yè)的整體發(fā)展和進(jìn)步。

具體融入的技術(shù)包括如下幾個(gè)部分:

一、獲取層融入新技術(shù)

在獲取層融入的新技術(shù)有 VxLAN 和東西向流量獲取技術(shù)。

在All in Cloud的大環(huán)境下,云計(jì)算平臺(tái)使用的網(wǎng)絡(luò)相較傳統(tǒng)IDC網(wǎng)絡(luò)結(jié)構(gòu)已發(fā)生了根本性的變化。它廣泛采用了先進(jìn)的SDN技術(shù);一般而言傳統(tǒng)IDC環(huán)境下南北向訪問(wèn)流量占 80%,而東西向訪問(wèn)流量占20%,因此在核心交換機(jī)上采集即可滿足數(shù)據(jù)分析的需求;而在All in Cloud的環(huán)境下訪問(wèn)流量走向則是東西向流量偏多,南北向流量相對(duì)偏少;因此僅在核心交換機(jī)采集流量數(shù)據(jù)是無(wú)法滿足態(tài)勢(shì)感知的需要的。故在充分分析南北向流量和路徑后,有針對(duì)性地選擇在關(guān)鍵位置部署流量采集探針,同時(shí)采集虛擬主機(jī)層?xùn)|西向流量來(lái)滿足態(tài)勢(shì)感知要求。

另外針對(duì)物聯(lián)網(wǎng)(Internet of Things,IoT)技術(shù)的發(fā)展,支持多協(xié)議和兼容將是一大趨勢(shì),大多數(shù) IoT 設(shè)備采用無(wú)線通信技術(shù),在這一環(huán)境下采集數(shù)據(jù)將是一個(gè)挑戰(zhàn)。

二、理解層融入大數(shù)據(jù)

理解層融入Hadoop、Storm、Spark、ES、Flume、Kafka、Hive、Hbase 等新興大數(shù)據(jù)技術(shù),用來(lái)對(duì)日志進(jìn)行處理、分析、存儲(chǔ)和挖掘等。

例如采用Storm對(duì)數(shù)據(jù)流進(jìn)行實(shí)時(shí)處理,可以實(shí)現(xiàn)近乎實(shí)時(shí)的風(fēng)險(xiǎn)發(fā)現(xiàn)功能,相較于以前的離線數(shù)據(jù)分析技術(shù),可有效縮短安全預(yù)警時(shí)效。

采用了大數(shù)據(jù)平臺(tái)后,有效地提升了數(shù)據(jù)分析效率,可在短時(shí)間內(nèi)對(duì)大批量數(shù)據(jù)進(jìn)行分析和比對(duì),有效發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)和實(shí)現(xiàn)提前預(yù)測(cè)風(fēng)險(xiǎn)。

三、評(píng)估層融入新模型

評(píng)估層在統(tǒng)計(jì)、規(guī)則和特征型的規(guī)則上融入數(shù)據(jù)挖掘、關(guān)聯(lián)分析、智能分析模型;從數(shù)據(jù)倉(cāng)庫(kù)中收集的安全設(shè)備日志、網(wǎng)絡(luò)日志、應(yīng)用日志、終端日志以及第三方的威脅情報(bào)數(shù)據(jù)等。

收集到的信息和安全事件通過(guò)檢測(cè)分析引擎統(tǒng)計(jì)分析、關(guān)聯(lián)分析、模式分析、機(jī)器學(xué)習(xí)發(fā)現(xiàn)高優(yōu)先級(jí)安全事件,將發(fā)現(xiàn)的高優(yōu)先級(jí)事件反饋到運(yùn)營(yíng)系統(tǒng)中,同時(shí)發(fā)現(xiàn)的高優(yōu)先級(jí)安全事件將存儲(chǔ)到數(shù)據(jù)樣本庫(kù)、知識(shí)庫(kù)(案例庫(kù))中,便于后期的溯源和分析。

1、關(guān)聯(lián)分析模型

關(guān)聯(lián)模型通過(guò)實(shí)時(shí)關(guān)聯(lián)技術(shù)過(guò)濾事件,在大量安全事件(甚至是誤報(bào)事件)中提取有用的信息。例如登錄異常、漏洞利用、蠕蟲活動(dòng)、網(wǎng)絡(luò)入侵、主機(jī)失陷等,關(guān)聯(lián)分析模型主要包括以下幾個(gè)不同類型:

(1)基于端口的關(guān)聯(lián):開放端口的數(shù)據(jù)與防火墻數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,幫助檢測(cè)攻擊者何時(shí)嘗試訪問(wèn)系統(tǒng)端口或不存在的服務(wù),從而發(fā)現(xiàn)低慢攻擊;

(2)基于安全事件的關(guān)聯(lián):安全設(shè)備告警事件之間進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析,減少事件誤報(bào),提高告警準(zhǔn)確率;

(3)基于統(tǒng)計(jì)的關(guān)聯(lián):對(duì)每個(gè)類別的事件設(shè)定合理的閾值,當(dāng)超過(guò)閾值可以產(chǎn)生一個(gè)更高級(jí)別的安全事件,同時(shí)與資產(chǎn)或其他安全事件進(jìn)行關(guān)聯(lián),判斷某個(gè)安全事件造成的影響和后果。

2、機(jī)器學(xué)習(xí)模型

機(jī)器學(xué)習(xí)主要是使用算法和統(tǒng)計(jì)方法創(chuàng)建能夠?qū)W習(xí)的系統(tǒng)。系統(tǒng)可以從采集的數(shù)據(jù)中學(xué)習(xí),形成一個(gè)具有相關(guān)特征的分析模型。通過(guò)模型訓(xùn)練,完成IP非正常訪問(wèn)、賬戶安全、XSS攻擊、SQL注入攻擊、JavaScript腳本注入等威脅的檢測(cè)任務(wù)。

3、攻擊回溯分析模型

通過(guò)對(duì)收集的數(shù)據(jù)和安全事件分析,從惡意程序感染、異常連接、C&C、傳播、數(shù)據(jù)泄露等維度檢測(cè)未知威脅。當(dāng)攻擊和規(guī)則模型關(guān)聯(lián)后,自動(dòng)從知識(shí)庫(kù)調(diào)用相關(guān)知識(shí)信息,包括影響主機(jī)、影響用戶、root事件、連接和所有行為的時(shí)間軸軌跡,作為輔助參考。同時(shí)取證結(jié)果收入數(shù)據(jù)樣本庫(kù)、知識(shí)庫(kù)(案例庫(kù))。

4、用戶行為分析模型

以部門、個(gè)人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線,利用統(tǒng)計(jì)、特征、機(jī)器學(xué)習(xí)算法和預(yù)定義規(guī)則學(xué)習(xí)每個(gè)用戶和設(shè)備的正常行為基線,通過(guò)關(guān)聯(lián)分析和概率計(jì)算,計(jì)算用戶異常分值以便及時(shí)發(fā)現(xiàn)異常的用戶、惡意的內(nèi)部用戶和攻擊者。

5、場(chǎng)景分析模型

場(chǎng)景分析主要依據(jù)攻防、滲透經(jīng)驗(yàn)和大數(shù)據(jù)分析技術(shù)檢測(cè)網(wǎng)絡(luò)中的威脅,解決了規(guī)則判定時(shí),無(wú)法確定具體閾值的問(wèn)題,根據(jù)企業(yè)組織中的網(wǎng)絡(luò)特點(diǎn)和經(jīng)驗(yàn)判斷異常行為。

常用場(chǎng)景如下:

(1)創(chuàng)建非管理員用戶后的權(quán)限升級(jí),非管理員用戶一般不會(huì)將其權(quán)限提升到管理員級(jí)別,或其他高級(jí)用戶級(jí)別;

(2)文件非授權(quán)訪問(wèn),在很接近的時(shí)間內(nèi)多次嘗試訪問(wèn)用戶沒(méi)有權(quán)限的共享文件/目錄;

(3)DNS 隱蔽隧道,通過(guò)數(shù)據(jù)包關(guān)鍵字段異常的編碼監(jiān)測(cè),支持如下的DNS隱秘隧道發(fā)現(xiàn):通過(guò)超長(zhǎng)域名信息傳遞數(shù)據(jù)、通過(guò)txt請(qǐng)求傳遞數(shù)據(jù)、通過(guò)AAAA 記錄傳遞數(shù)據(jù)等。數(shù)據(jù)泄漏,VPN用戶在工作時(shí)間外登錄并向外網(wǎng)傳輸數(shù)兆字節(jié)或更多(VPN 連接期間)數(shù)據(jù);

(4)蠕蟲/木馬/惡意軟件攻擊,網(wǎng)絡(luò)上一臺(tái)主機(jī)開始攻擊或探查網(wǎng)絡(luò)上其他主機(jī);

(5)高風(fēng)險(xiǎn)主機(jī)檢測(cè)分析,通過(guò) DNS 解析行為分析服務(wù)器或終端的異常行為。可以確認(rèn)已知、未知的惡意軟件、APT攻擊以及實(shí)時(shí)監(jiān)測(cè)內(nèi)部的威脅。

四、展現(xiàn)層融入新態(tài)勢(shì)

在展現(xiàn)方面融入熱力圖、地理信息、威脅指數(shù)等元素,通過(guò)與資產(chǎn)、事件、漏洞、威脅、風(fēng)險(xiǎn)及告警相關(guān)聯(lián)分析,產(chǎn)生可視化的預(yù)測(cè)視圖。

使用可視化技術(shù),將原本碎片化、零散化的行為告警、安全態(tài)勢(shì)、資產(chǎn)管理等智能綜合分析展現(xiàn),形成多維度的安全態(tài)勢(shì)感知展示,幫助安全運(yùn)營(yíng)人員及時(shí)理解、定位問(wèn)題。

1、整體威脅態(tài)勢(shì)

通過(guò)風(fēng)險(xiǎn)計(jì)算模型,綜合考慮資產(chǎn)的價(jià)值、脆弱性和威脅,按高危、中危、低危安全級(jí)別分類統(tǒng)計(jì)。同時(shí)通過(guò)中國(guó)地圖以熱力圖形式展現(xiàn)資產(chǎn)的地理位置、個(gè)數(shù)和威脅指數(shù);通過(guò)世界地圖熱力圖查看攻擊源,計(jì)算整體業(yè)務(wù)安全風(fēng)險(xiǎn)值,獲取發(fā)起最多攻擊次數(shù)的源IP列表,以雷達(dá)圖顯示最近的攻擊類型,最近的攻擊源分析。

2、業(yè)務(wù)資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)

對(duì)管理對(duì)象劃分安全域,并進(jìn)行資產(chǎn)化管理,可以自定義監(jiān)控區(qū)域。提供基于拓?fù)涞谋O(jiān)控視力,可以按圖形化拓?fù)淠J斤@示資產(chǎn),通過(guò)視圖可直接查看該資產(chǎn)的狀態(tài)、事件、漏洞、威脅、風(fēng)險(xiǎn)及告警信息。

3、外部攻擊態(tài)勢(shì)

利用時(shí)序圖實(shí)時(shí)展示安全攻擊事件數(shù)量,并按照攻擊類型、受影響的 IP,受攻擊的專業(yè)公司展示安全攻擊事件,同時(shí)實(shí)時(shí)滾動(dòng)顯示最近攻擊事件。

4、內(nèi)部攻擊態(tài)勢(shì)

內(nèi)部安全態(tài)勢(shì)展示已發(fā)現(xiàn)的安全事件,能夠按照時(shí)間段以木馬蠕蟲、漏洞、流量、惡意軟件為視角,進(jìn)行安全事件的展示。從告警、處置、資產(chǎn)、日志、系統(tǒng)維護(hù)、類型、分布多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析,并以2D/3D、柱圖、餅圖、堆疊圖等形式進(jìn)行可視化的展示。

5、數(shù)據(jù)安全態(tài)勢(shì)

數(shù)據(jù)安全態(tài)勢(shì),對(duì)企業(yè)組織的數(shù)據(jù)進(jìn)行全面監(jiān)測(cè),與用戶行為模型結(jié)合,依據(jù)相應(yīng)業(yè)務(wù)場(chǎng)景,發(fā)現(xiàn)數(shù)據(jù)的不正當(dāng)訪問(wèn)與調(diào)用、數(shù)據(jù)的異常流動(dòng)等行為,從類型、用戶、資產(chǎn)等維度在統(tǒng)一視圖中展示。

6、審計(jì)視圖

運(yùn)營(yíng)人員可以根據(jù)內(nèi)置或者自定義的審計(jì)策略,從事件的任意維度實(shí)時(shí)觀測(cè)安全事件的走向,并可以進(jìn)行事件調(diào)查、取證,并進(jìn)行事件行為分析和來(lái)源定位。

五、行動(dòng)層融入工作流引擎

在行動(dòng)層融入流行的工作流引擎,如JBPM、Activiti、OSWorkflow工作流引擎使已知風(fēng)險(xiǎn)處理更高效和可追溯,同時(shí)融入告警和事件管理使整個(gè)安全風(fēng)險(xiǎn)處置形成一個(gè)閉環(huán),從而提高在風(fēng)險(xiǎn)處置環(huán)節(jié)的效率。


 
 

上一篇:卡巴斯基安全軟件被發(fā)現(xiàn)漏洞 可為黑客提供簽名代碼執(zhí)行

下一篇:2019年12月05日 聚銘安全速遞