什么是態勢感知呢?
一時間,面對撲面而來的態勢感知熱潮,混亂的概念和良莠不齊的方案,無論是作為需求方的客戶還是作為建設方安全廠商都還有點“消化不良”。到底何為態勢感知?
根據Gartner2011年定義,態勢感知是通過對威脅情報及資產漏洞信息的集成和分析,形成一幅業務系統安全狀態的準實時視圖,提供包括資產狀態信息的收集,威脅行為信息的收集、風險分析、可視化展現等能力支持。
這樣定義對于大部分人理解還是比較晦澀難懂,筆者基于自己理解,概括為四句話:態,即現狀,包括自身威脅狀態和整體安全現狀;勢,即趨勢,預測未來安全之趨勢;感,即采集,指通過多種途徑,采集多種安全信息的過程;知,即理解、認知,指對采集到安全要素相關信息進行理解和認知的過程。
態勢感知的視角和定位
傳統態勢感知絕大多數屬于以事件為中心的網絡態勢感知,主要是通過對互聯網節點網絡流量進行監控探測,形成局部的威脅事件采集能力,這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數據分析能力和安全響應能力,市場上很多態勢感知僅僅是通過一些安全可視化方法做了數據的圖像呈現。甚至很多人都認為態勢感知就是大屏展示的“安全地圖”,只用于直觀顯示網絡環境的實時安全狀況,比如了解網絡的狀態、受攻擊情況、攻擊來源等。這類態勢感知產品具有一定威脅展示的直觀性,但從感知深度、感知廣度和感知的有效覆蓋范圍來看,遠未達到“全天候全方位感知網絡安全態勢”的要求。
那么態勢感知一個合理視角應該是什么?筆者認為應該從以事件為中心轉到以資產為中心。從哲學角度看,態勢感知是對網絡空間中的主體、客體和關系進行認識和表達的過程。攻擊方、用戶、廠商等屬于主體,而攻擊工具、服務器、虛擬數據資產等都屬于客體。青藤云安全認為態勢感知是圍繞資產(即客體)展開的,其對資產的信譽、風險進行評估,對資產與威脅的關系進行揭示,對主體進行畫像,對主體與客體進行關聯。因此,用戶安全防護的本質是通過相應的檢測與防御最后阻斷攻擊者的意圖,確保自身資產的可用性、可靠性、完整性和保密性的目的。
態勢感知不只是地圖炮
現有態勢感知缺乏主機相關信息,對于失陷主機的“態”及脆弱主機的“勢”無法精準有效的呈現。而全方位感知網絡安全態勢,要求除了對基于網絡流量進行威脅可視化呈現,還要求對全網主機及關鍵節點的綜合信息進行網絡態勢監控。為此,針對現有態勢感知不足,青藤云安全推出態勢感知增強方案:
(1)事前預判:全面資產清點,及時了解風險漏洞
自動化清點進程、端口、賬號、中間件、數據庫、大數據組件、Web應用、Web框架、Web站點等十余類安全資產,覆蓋全部典型通用資產。根據每個服務器業務特點,系統針對性識別應用,目前可識別業務應用已覆蓋200余類,例如Nginx、Apache、JBoss、Memcached、Redis等。每個應用在風險發現與入侵檢測中,均提供對應安全策略保護。允許自定義清點對象,可根據業務需要,自助清點數據。不同清點對象均采用單獨模塊管理,模塊間保持一定聯動性,確保同時運行的清點單元最小化,瞬時性能消耗最低。
(2)事中防護:對漏洞和風險的精準管理,全面應對安全威脅
自動識別應用配置缺陷,通過比對攻擊鏈路上的關鍵攻擊路徑,發現并處理配置中存在的問題,降低可被入侵的風險。同時,基于Agent的持續監測與分析機制,迅速與龐大的漏洞庫進行比對,精準高效地檢測出系統漏洞,并且能精準檢測幾十種應用弱密碼,覆蓋企業常用應用如SSH、Tomcat、MySQL、Redis、OpenVPN等。全方位檢測IT系統存在的脆弱性,發現信息系統存在的安全補丁、安全漏洞、安全配置問題、應用系統安全漏洞,檢查系統存在的弱口令,收集系統不必要開放的賬號、服務、端口,形成整體安全風險報告,為企業提供無死角的風險狀況視圖,幫助安全管理人員先于攻擊者發現安全問題,及時進行修補。
(3)事后取證:強調檢測和響應的聯動,智能化追溯分析
系統能夠把用戶所有主機行為數據都保存下來,進行歷史記錄,如有問題就可以追溯分析,實現實時監測和智能化取證。通過多維度的感知網絡疊加能力,對攻擊路徑的每個節點都進行監控,并提供跨平臺多系統的支持能力,保證了能實時發現失陷主機,對入侵行為進行告警。
寫在最后
青藤態勢感知增強方案,補充現有態勢感知的不足,完善主機態勢感知版圖,提供全面的海量資產數據、漏洞數據、風險數據、資產數據供給聯動分析和呈現,提供高擴展接口,可針對特殊場景迅速拓展定制模塊。在Agent探針能力支持下,結合IoC、大數據、機器學習等多種分析方法,基于對攻擊時間和攻擊維度的深度分析,整理入侵事件的來龍去脈,以可視化方式完整呈現。讓用戶對于整體環境的入侵情況和需要處理的入侵事件有清晰的了解,使得入侵分析“深可見底”。
青藤云安全以服務器安全為核心,采用自適應安全架構,將預測、防御、監控和響應能力融為一體,構建基于主機端的安全自適應平臺,為用戶提供持續的安全監控、分析和快速響應能力,幫助用戶在公有云、私有云、混合云、物理機、虛擬機等多樣化的業務環境下,實現安全的統一策略管理,有效預測風險,精準感知威脅,提升響應效率,全方位保護企業數字資產的安全與業務的高效開展。
