您的位置:新宝5主页 > 政策服务 >

安全态势感知的建设模式该怎么选?

日期:2018-09-26 18:03
“态势感知”并不是一个新名词,最早是在军事范畴被提出并使用,次要表现在对现有形态的感知了解以及对将来趋向的预警才能。而如今,随同着网络平安成绩注重水平日益提升,在网络范畴晋级为“网络平安态势感知”,旨在对网络环境中对可以惹起网络平安态势发作变化的平安要素停止获取、剖析、出现并停止趋向的预测。
 
新宝5登陆次要基于目前业界主流的两大平安态势感知零碎平安要素获取维度, 停止综合比照剖析,旨在为平安态势感知零碎的建立寻觅更合适的建立形式。
 
纵观业界平安态势感知平台建立形式,态势感知平台平安要素获取维度分为两个大类:流量剖析和日志采集剖析,同时再结合要挟情报、智能剖析等技术完成对整网平安成绩的剖析、定位以及平安形态的可视化度量。而关于流量剖析和日志剖析两大维度的差别点以及可替代性剖析如下:
 
一、流量剖析
 
本形式次要经过在网络的关键途径,如效劳器区、中心区、出口区旁路部署探针
 
设备(普通均为软硬件一体设备),对网络流量中的异常平安事情停止解析,包括攻击流量特征、要挟文件传输等,然后把后果实时同步到上端剖析平台,停止深度关联剖析及成绩定位出现。
 
本形式的劣势:
 
不需求现网其他设备对接配合,可完成疾速部署,可复制性强,且借助原始流量关键信息的复原、存储,可以提供更多的原始数据回溯支持,便于深度剖析。
 
本形式的优势:
 
不能整合现网已有网络组件的平安信息,包括曾经部署的少量平安设备,剖析才能受限于一家厂商的研发程度,不能集各家所长,同时关于需求日志强相关的剖析模型无法树立,例如本地异常登录、NAT溯源等等,这些模型必需依托日志的强支撑。

新宝5登陆—安全态势感知
 
二、日志剖析
 
本形式次要经过采集现网网络组件的日志,包括平安设备、网络设备、效劳器、两头件、甚至业务零碎等,停止一致日志规范处置后,对平安成绩停止关联剖析。狭义上说,其实所对接的平安设备等也属于平台的感知探针之一。
 
本形式的劣势:
 
能充沛整合全网平安相关信息,采集剖析维度更片面,根据各平安设备的剖析日志后果,可以集各家所长,不受限于一家厂商的剖析才能。同时对日志的采集,也自然满足了网络平安法、等保日志审计的合规要求,这个是流量剖析所不具有的。
 
本形式的优势:
 
由于每个用户现场设备厂商、类型差别十分大,所以可采集到的信息不可控,剖析模型的复制性受限,对接优化周期较长,同时对平安成绩回溯,由于没有原始流量数据支撑,深度排查能够受限。
 
最适宜的态势感知建立形式建议:
 
只要将“日志维度+流量维度”无效交融,同时结合要挟情报、智能剖析的建立形式才是后续平安态势感知零碎开展的方向。此形式可以很棒地发扬日志剖析片面性、异构性、合规性劣势,同时配合流量剖析维度,处理要挟深度剖析、回溯支持、疾速部署等成绩。基于以上理念,新宝5登陆在2016年推出了平安态势感知零碎RG-BDS大数据平安平台。
 
以某实践用户案例为例,用户部署了基于流量剖析的态势感知方案,经过探针流量剖析的确发现下联单位存在讹诈病毒异常主机,但下联单位都是经过NAT地址转换后接入,由于没有NAT日志的结合,异常主机无法溯源,成绩无法失掉无效闭环。 
 
目前业界将日志和流量维度无效交融的方案还非常完善,大局部为日志和流量取其一,或许虽包括有两个维度,但依然割裂形态,分属不同模块。新宝5登陆早在上市时就曾经完成了日志维度的片面剖析,并于2018年将流量剖析归入平安态势感知商品体系,并开发上线了专业流量探针,真正将“日志+流量”两大维度无效交融,整合全网平安监测防护资源,停止更片面、更精确的平安剖析。
 
三、流量剖析能否可以替代日志剖析
 
有用户和厂商持有疑虑或观念:由于网络日志也是一种流量,因而流量探针也可
 
以抓取到网络中的日志,从而可以替代日志剖析。但假如真正落地的用户场景去深化剖析,流量剖析和日志剖析是无法互相替代的,缘由如下:
 
1.虽然从协议层面,日志发送大局部采用SYSLOG非加密方式,经过流量探针,实际上是可以解析出来所传输日志内容,但实践项目部署角度,一切的网络组件默许都是不往外发送日志的,只要配置日志外发功用后,才有日志的流量发生。因而间接配置将日志外发到剖析平台最间接、最精确的方式,而经过配置日志外发后再用流量探针从流量中抓取出来,自身就是不合理的方式,同时还会带来原始日志复原度成绩。
 
2.即便经过流量探针抓取日志,由于日志发生源众多且高度分散,全网部署探针,为了抓取日志,无论从建立本钱和网络运维都不理想。
 
3.网络中不是一切的日志,都是自动发送形式,例如很多业务日志、文件日志,是需求剖析平台自动读取日志,所以经过流量探针无法读取到其日志数据。
 
另外需求强调的是,日志抓取并不是剖析平台的中心技术,考验一个平台对日志的剖析才能,最关键的是平台对各类型日志的解析才能以及综合关联剖析才能。
 
综上所述,新宝5登陆平安态势感知平台建立应无效交融“日志+流量”两大维度,互相发扬各自劣势。实践使用中也可思索采用分阶段建立形式,如先将日志维度归入,在建立态势感知平台的同时满足等保、平安法合规需求,再分阶段归入流量剖析维度停止平安剖析才能的进一步完善。