IT安全運維 -安全態(tài)勢感知簡介

2020-05-01 17:34 作者：艾銻無限 瀏覽量：

概念普及

安全態(tài)勢感知可以理解為客戶的安全大腦,是一個集檢測、預(yù)警、響應(yīng)處置為一體的大數(shù)據(jù)安全分析平臺.其以全流量分析為核心,結(jié)合威脅情報、行為分析建模、UEBA、失陷主機(jī)檢測、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù),實現(xiàn)威脅可視化、攻擊與可疑流量可視化等功能.可有效幫助IT安全運維在高級威脅入侵之后,損失發(fā)生之前及時發(fā)現(xiàn)威脅。是IT安全運維管理員得力的幫手。

態(tài)勢感知(Situational Awareness/Situation Awareness,SA)的概念最早在軍事領(lǐng)域被提出.目前是大數(shù)據(jù)安全領(lǐng)域規(guī)模增長最迅速的產(chǎn)品.態(tài)勢感知的市場規(guī)模從2017年開始,就在以每年25%的速度增長.目前的態(tài)勢感知平臺分為政府部門使用的監(jiān)管平臺和企業(yè)使用的實施監(jiān)測預(yù)警平臺.而國外一般不談態(tài)勢感知系統(tǒng),多稱為威脅管理、威脅發(fā)現(xiàn)產(chǎn)品,并把網(wǎng)絡(luò)安全態(tài)勢感知作為由多個系統(tǒng)、工具整合實現(xiàn)的狀態(tài)效果.目前的態(tài)勢感知平臺分為政府部門使用的監(jiān)管平臺和企業(yè)使用的實施監(jiān)測預(yù)警平臺.但在不同的行業(yè)中,也有不同的核心技術(shù)需求:金融行業(yè)有著更多的業(yè)務(wù)場景,注重關(guān)聯(lián)分析能力、威脅告警精確度、用戶行為分析能力；運營商的SOC（Security Operation Center）除了關(guān)注自身的安全,也會注重利用本身的數(shù)據(jù)資源優(yōu)勢,拓寬行業(yè)市場；能源行業(yè)的IT種類繁多,非常注意安全生產(chǎn),因此看重產(chǎn)品的兼容性、可連續(xù)性；政府機(jī)構(gòu)關(guān)注對外部攻擊防范、高級威脅檢測. 但總的來說,態(tài)勢感知（SA）目前理論上主要分為以下三個部分:

對環(huán)境元素的感知

對狀態(tài)的的理解

對未來狀態(tài)的預(yù)測

為了可以更好地理解態(tài)勢感知,我們可以先來看一下態(tài)勢感知會涉及到的一些專業(yè)術(shù)語:攻擊者視角:站在黑客攻擊場景上獲取的攻擊告警、威脅等運營數(shù)據(jù)防御者視角:站在甲方安全視角上主動獲取到的防御引擎部署情況、漏洞信息等運營數(shù)據(jù)告警事件:由DDoS檢測引擎、主機(jī)安全檢測引擎、全流量檢測引擎發(fā)現(xiàn)的高價值安全事件威脅事件:通過京東云提供的基于安全威脅模型大數(shù)據(jù)關(guān)聯(lián)的新型攻擊事件,包含實時分析事件、離線分析事件引擎覆蓋率:由網(wǎng)絡(luò)入侵檢測引擎、DDoS基礎(chǔ)防護(hù)檢測引擎和主機(jī)安全檢測引擎啟動覆蓋率組成,網(wǎng)絡(luò)入侵檢測引擎啟動覆蓋率=已開啟NIDS監(jiān)控的公網(wǎng)IP數(shù)量/當(dāng)前用戶下所有公網(wǎng)IP數(shù)量,主機(jī)安全檢測引擎啟動覆蓋率=已安裝主機(jī)安全軟件云服務(wù)器數(shù)量/當(dāng)前用戶下所有云服務(wù)器數(shù)量,DDoS基礎(chǔ)防護(hù)啟動覆蓋率默認(rèn)為100%,用戶無法手工調(diào)整.權(quán)重為1:1:1,引擎開啟監(jiān)控的覆蓋率越高,其捕捉安全事件的能力越強(qiáng),故使用安全引擎覆蓋率量化衡量其開啟率.最佳實踐為100%主機(jī)漏洞:主機(jī)系統(tǒng)方面漏洞網(wǎng)站漏洞:主要針對web網(wǎng)站相關(guān)的漏洞

建設(shè)目的

檢測：提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，及時發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對性攻擊.

分析、響應(yīng):建立威脅可視化及分析能力，對威脅的影響范圍、攻擊路徑、目的、手段進(jìn)行快速研判，目的是有效的安全決策和響應(yīng).

預(yù)測、預(yù)防:建立風(fēng)險通報和威脅預(yù)警機(jī)制，全面掌握攻擊者目的、技戰(zhàn)術(shù)、攻擊工具等信息.

防御:利用掌握的攻擊者相關(guān)目的、技戰(zhàn)術(shù)、攻擊工具等情報，完善防御體系.

模型體系


 
艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運維,網(wǎng)站運維服務(wù)
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理