目前,全国网络安全态势感知建设进入白热化,在摸着石头过河的建设过程中,我们既没有达到国家和行业监管部门的要求,也不能帮助企业在信息安全技术上、管理上个运行上解除隐患和安全漏洞。负责过教育部、民政部、安监总局和省公安厅及教育厅等部委的态势感知项目建设的安恒信息资深解决方案架构师李剑锋表示:“目前的网络安全态势感知建设抓不住重点,成了为了建设而建设的局面。”
今年8月,安全牛发布了《新一代SOC研究报告》(包含技术和市场指南),并以此为契机,联合六家在“新一代SOC和态势感知”领域有着领先技术思路和可观市场占有率的安全厂商,举办了第四届C·S大会。大会主要目的就是集合安全圈儿力量,彻底了解安全态势感知的本质,以及探讨在当今时代我们需要重点关注的感知技术和重点建设的内容。
实际上态势感知的“前世”是应用于军事领域,帮助友方、敌方的行动进行及时、精确的评估,并服务于跟高层决策的制定”。安恒信息资深解决方案架构师李剑锋在会上表示:“今日,态势感知已经是网络安全的基本和基础性工作,是在实现安全态势‘理解’和‘预测’之前的重要阶段。”
“态势感知”需要具备从多元、异构的安全数据中采集出足够且有效的安全要素的能力,再通过关联分析和数据挖掘,获得当前网络局部或整体的安全态势信息,并利用历史数据和相关模型进行态势预测。可见,“态势感知”概念本身覆盖感知、理解和预测三个层次,还要根据环境的变化,动态、快速的做出判断和处置决策。作为态势感知能力构建的基础,SOC(Security Operations Center安全管理平台)的构建工作也是目前企业的网络安全体系工作重点。
几乎所有大型企业或机构的IT系统中都会有SOC,它是网络安全防护体系从设备部署到系统建设,再到统一管理这一发展过程的自然产物。但在国内的实际应用中,SOC的问题多多,包括数据类型不全;不具备海量大数据存储分析和处理的能力;和专业安全人才的匮乏等。这些问题导致安全运维或分析人员很难从中发现真正的异常网络行为,令SOC名存实亡。
360认为安全应由数据驱动,其新一代SOC(360 NGSOC)最重要的特点之一就是依靠对本地全量数据的采集和分析,最终形成一个由数据驱动的纵深防御体系;在威胁发现方面,NGSOC基于的是情报+规则关联+机器学习+统计行为分析的方法,以多维度数据为基础,结合云端大数据平台产生的高价值威胁情报,即云地协同,真正帮助客户精准命中高级威胁;最后,360 NGSOC与360的终端(天擎)和防火墙(天堤),同时开放API接口,形成智慧协同,利于整体安全态势感知的呈现,辅助管理层的决策。360企业安全集团副总裁韩永刚补充强调,在安全运营中,对“人”要特别关注。“数据驱动、产品协同”的技术机制,和“以人为核心”的运营机制,应达到协同。
安恒信息的态势感知能力构建思路相似,李剑锋介绍表示,安恒信息依靠大数据技术的安全分析能力,进一步强化安恒自身的分析建模、异常行为关联分析等方面的突出能力,可以帮助企业实现可检测、可预警和可处置的态势感知能力。
瀚思科技也从数据入手,其大数据安全平台通过技术创新,并整合人工智能、人机交互等前沿技术,能够有效的解决企业的安全难题。瀚思科技公司产品副总裁周奕指出:“随着企业网络边界的扩大、各类安全威胁层出不穷、传统的安全防护已不能有效解决企业的安全问题。”深信服安全感知产品总监王金红也补充:“碎片化的局部安全建设方式无法应对高级威胁,以防御为核心的传统安全体系面临巨大挑战。”因此,企业对能够使全网安全状态可视、并及时进行预警和响应的安全平台的需求,是非常迫切的。
深信服建议企业对自身IT资产和业务逻辑进行梳理,利用威胁情报进行实现威胁检测,并参考对攻击行为的分析,来评估用户网络的安全态势。深信服采用三级响应机制,包括通过下一代防火墙平台的网络侧的自动阻断,上网行为管理对用户/员工的提醒和在终端的扫描/查杀工具,专家服务帮助进行威胁分析和应急响应。
兰云科技产品总监赵涛指出,以往的SOC以传统日志管理和事件关联为核心,已不能跟上网络安全领域技术的发展,兰云科技的SOAPA(安全运作和分析平台)架构以“反恶意软件沙箱”为核心,覆盖包括进程行为、用户行为、内存行为等30余个检测指标。除了可对系统内核和网络行为进行监测的系统级沙箱外,还包括可找出针对特定应用特定版本开发的恶意软件的应用级沙箱。
以教育行业为例,新华三集团安全产品线高级产品经理田浩博介绍到,安全管理规范缺失、安全建设不成体系、安全运维能力薄弱等等问题,导致一旦发生网络安全事件,就会引起严重后果。基于此,新华三认为态势感知平台的核心能力,应包括:基于安全大脑(由机器学习和专家系统构建)的威胁智能分析、“云-网-端”架构的协同响应、风险态势的主动多多维预测、以及业务风险等多维度的安全可视化呈现。新华三的解决方法是通过在高校部署新一代态势感知系统,智能学习并不断优化用户行为、异常流量和威胁攻击等基线模型,主动发现网络安全威胁,预测安全趋势,打造云网端立体防御体系,帮助高校做好复杂环境下的网络防护。
总结来看,未来,安全态势感知在SOC系统之上将定位在安全大数据中心,进行标准化和集中化的数据采集与存储,具备云平台的安全防护和监管能力的同时聚焦更深度的态势分析,以及网络中全安全设备的通报和预警。
原文发布时间为:2017年11月13日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
