什么是態(tài)勢感知呢?
一時間,面對撲面而來的態(tài)勢感知熱潮,混亂的概念和良莠不齊的方案,無論是作為需求方的客戶還是作為建設(shè)方安全廠商都還有點“消化不良”。到底何為態(tài)勢感知?
根據(jù)Gartner2011年定義,態(tài)勢感知是通過對威脅情報及資產(chǎn)漏洞信息的集成和分析,形成一幅業(yè)務(wù)系統(tǒng)安全狀態(tài)的準(zhǔn)實時視圖,提供包括資產(chǎn)狀態(tài)信息的收集,威脅行為信息的收集、風(fēng)險分析、可視化展現(xiàn)等能力支持。
這樣定義對于大部分人理解還是比較晦澀難懂,筆者基于自己理解,概括為四句話:態(tài),即現(xiàn)狀,包括自身威脅狀態(tài)和整體安全現(xiàn)狀;勢,即趨勢,預(yù)測未來安全之趨勢;感,即采集,指通過多種途徑,采集多種安全信息的過程;知,即理解、認(rèn)知,指對采集到安全要素相關(guān)信息進(jìn)行理解和認(rèn)知的過程。
態(tài)勢感知的視角和定位
傳統(tǒng)態(tài)勢感知絕大多數(shù)屬于以事件為中心的網(wǎng)絡(luò)態(tài)勢感知,主要是通過對互聯(lián)網(wǎng)節(jié)點網(wǎng)絡(luò)流量進(jìn)行監(jiān)控探測,形成局部的威脅事件采集能力,這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數(shù)據(jù)分析能力和安全響應(yīng)能力,市場上很多態(tài)勢感知僅僅是通過一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認(rèn)為態(tài)勢感知就是大屏展示的“安全地圖”,只用于直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況,比如了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源等。這類態(tài)勢感知產(chǎn)品具有一定威脅展示的直觀性,但從感知深度、感知廣度和感知的有效覆蓋范圍來看,遠(yuǎn)未達(dá)到“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的要求。
那么態(tài)勢感知一個合理視角應(yīng)該是什么?筆者認(rèn)為應(yīng)該從以事件為中心轉(zhuǎn)到以資產(chǎn)為中心。從哲學(xué)角度看,態(tài)勢感知是對網(wǎng)絡(luò)空間中的主體、客體和關(guān)系進(jìn)行認(rèn)識和表達(dá)的過程。攻擊方、用戶、廠商等屬于主體,而攻擊工具、服務(wù)器、虛擬數(shù)據(jù)資產(chǎn)等都屬于客體。青藤云安全認(rèn)為態(tài)勢感知是圍繞資產(chǎn)(即客體)展開的,其對資產(chǎn)的信譽(yù)、風(fēng)險進(jìn)行評估,對資產(chǎn)與威脅的關(guān)系進(jìn)行揭示,對主體進(jìn)行畫像,對主體與客體進(jìn)行關(guān)聯(lián)。因此,用戶安全防護(hù)的本質(zhì)是通過相應(yīng)的檢測與防御最后阻斷攻擊者的意圖,確保自身資產(chǎn)的可用性、可靠性、完整性和保密性的目的。
態(tài)勢感知不只是地圖炮
現(xiàn)有態(tài)勢感知缺乏主機(jī)相關(guān)信息,對于失陷主機(jī)的“態(tài)”及脆弱主機(jī)的“勢”無法精準(zhǔn)有效的呈現(xiàn)。而全方位感知網(wǎng)絡(luò)安全態(tài)勢,要求除了對基于網(wǎng)絡(luò)流量進(jìn)行威脅可視化呈現(xiàn),還要求對全網(wǎng)主機(jī)及關(guān)鍵節(jié)點的綜合信息進(jìn)行網(wǎng)絡(luò)態(tài)勢監(jiān)控。為此,針對現(xiàn)有態(tài)勢感知不足,青藤云安全推出態(tài)勢感知增強(qiáng)方案:
(1)事前預(yù)判:全面資產(chǎn)清點,及時了解風(fēng)險漏洞
自動化清點進(jìn)程、端口、賬號、中間件、數(shù)據(jù)庫、大數(shù)據(jù)組件、Web應(yīng)用、Web框架、Web站點等十余類安全資產(chǎn),覆蓋全部典型通用資產(chǎn)。根據(jù)每個服務(wù)器業(yè)務(wù)特點,系統(tǒng)針對性識別應(yīng)用,目前可識別業(yè)務(wù)應(yīng)用已覆蓋200余類,例如Nginx、Apache、JBoss、Memcached、Redis等。每個應(yīng)用在風(fēng)險發(fā)現(xiàn)與入侵檢測中,均提供對應(yīng)安全策略保護(hù)。允許自定義清點對象,可根據(jù)業(yè)務(wù)需要,自助清點數(shù)據(jù)。不同清點對象均采用單獨模塊管理,模塊間保持一定聯(lián)動性,確保同時運行的清點單元最小化,瞬時性能消耗最低。
(2)事中防護(hù):對漏洞和風(fēng)險的精準(zhǔn)管理,全面應(yīng)對安全威脅
自動識別應(yīng)用配置缺陷,通過比對攻擊鏈路上的關(guān)鍵攻擊路徑,發(fā)現(xiàn)并處理配置中存在的問題,降低可被入侵的風(fēng)險。同時,基于Agent的持續(xù)監(jiān)測與分析機(jī)制,迅速與龐大的漏洞庫進(jìn)行比對,精準(zhǔn)高效地檢測出系統(tǒng)漏洞,并且能精準(zhǔn)檢測幾十種應(yīng)用弱密碼,覆蓋企業(yè)常用應(yīng)用如SSH、Tomcat、MySQL、Redis、OpenVPN等。全方位檢測IT系統(tǒng)存在的脆弱性,發(fā)現(xiàn)信息系統(tǒng)存在的安全補(bǔ)丁、安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞,檢查系統(tǒng)存在的弱口令,收集系統(tǒng)不必要開放的賬號、服務(wù)、端口,形成整體安全風(fēng)險報告,為企業(yè)提供無死角的風(fēng)險狀況視圖,幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題,及時進(jìn)行修補(bǔ)。
(3)事后取證:強(qiáng)調(diào)檢測和響應(yīng)的聯(lián)動,智能化追溯分析
系統(tǒng)能夠把用戶所有主機(jī)行為數(shù)據(jù)都保存下來,進(jìn)行歷史記錄,如有問題就可以追溯分析,實現(xiàn)實時監(jiān)測和智能化取證。通過多維度的感知網(wǎng)絡(luò)疊加能力,對攻擊路徑的每個節(jié)點都進(jìn)行監(jiān)控,并提供跨平臺多系統(tǒng)的支持能力,保證了能實時發(fā)現(xiàn)失陷主機(jī),對入侵行為進(jìn)行告警。
寫在最后
青藤態(tài)勢感知增強(qiáng)方案,補(bǔ)充現(xiàn)有態(tài)勢感知的不足,完善主機(jī)態(tài)勢感知版圖,提供全面的海量資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)、風(fēng)險數(shù)據(jù)、資產(chǎn)數(shù)據(jù)供給聯(lián)動分析和呈現(xiàn),提供高擴(kuò)展接口,可針對特殊場景迅速拓展定制模塊。在Agent探針能力支持下,結(jié)合IoC、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法,基于對攻擊時間和攻擊維度的深度分析,整理入侵事件的來龍去脈,以可視化方式完整呈現(xiàn)。讓用戶對于整體環(huán)境的入侵情況和需要處理的入侵事件有清晰的了解,使得入侵分析“深可見底”。
青藤云安全以服務(wù)器安全為核心,采用自適應(yīng)安全架構(gòu),將預(yù)測、防御、監(jiān)控和響應(yīng)能力融為一體,構(gòu)建基于主機(jī)端的安全自適應(yīng)平臺,為用戶提供持續(xù)的安全監(jiān)控、分析和快速響應(yīng)能力,幫助用戶在公有云、私有云、混合云、物理機(jī)、虛擬機(jī)等多樣化的業(yè)務(wù)環(huán)境下,實現(xiàn)安全的統(tǒng)一策略管理,有效預(yù)測風(fēng)險,精準(zhǔn)感知威脅,提升響應(yīng)效率,全方位保護(hù)企業(yè)數(shù)字資產(chǎn)的安全與業(yè)務(wù)的高效開展。
