主機(jī)層數(shù)據(jù)，是如何讓態(tài)勢(shì)感知“功力大增”的？

全球最權(quán)威的IT研究機(jī)構(gòu)Gartner曾經(jīng)發(fā)表過(guò)一份題為《信息安全正在成為一個(gè)大數(shù)據(jù)分析問(wèn)題》(Information Security Is Becoming a Big Data Analytics Problem)的報(bào)告，表示當(dāng)前真正的信息安全問(wèn)題都需要由數(shù)據(jù)來(lái)解決，大數(shù)據(jù)的出現(xiàn)將對(duì)信息安全產(chǎn)生深遠(yuǎn)的影響。

眾所周知，通常情況下，企業(yè)會(huì)根據(jù)資產(chǎn)的重要性以及攻擊的危害性來(lái)制定安全防護(hù)策略。當(dāng)然前提是能夠檢測(cè)到黑客攻擊，并能夠收集攻擊行為、攻擊路徑等數(shù)據(jù)進(jìn)行詳細(xì)分析。因?yàn)閼B(tài)勢(shì)感知類產(chǎn)品能夠靈活地從龐大的工具堆棧中攝取、關(guān)聯(lián)和可視化數(shù)據(jù)，為此成為了安全溯源重要工具之一。

從態(tài)勢(shì)感知前世今生看數(shù)據(jù)的重要性

當(dāng)然，從態(tài)勢(shì)感知的發(fā)展歷史我們也不難看出，數(shù)據(jù)在信息安全中扮演的重要角色。

1、第一階段：安全信息和事件管理（SIEM）

安全信息和事件管理產(chǎn)品及服務(wù)(SIEM)，負(fù)責(zé)從大量企業(yè)安全控件、企業(yè)應(yīng)用和企業(yè)使用的其它軟件中收集安全日志數(shù)據(jù)，并進(jìn)行分析和報(bào)告。這一階段主要是整合了應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報(bào)，當(dāng)攻擊已經(jīng)侵入到系統(tǒng)中時(shí)能及時(shí)報(bào)警。嚴(yán)格意義上來(lái)講，還無(wú)法做到威脅態(tài)勢(shì)的感知。

2、第二階段：安全運(yùn)營(yíng)中心（SOC）

安全運(yùn)營(yíng)中心(SOC)，采用集中管理方式統(tǒng)一管理相關(guān)安全產(chǎn)品，搜集所有安全信息，并通過(guò)對(duì)收集到各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián)、及時(shí)反映被管理資產(chǎn)的安全基線，能夠?yàn)楦黝惏踩录皶r(shí)提供處理方法和建議。安全運(yùn)營(yíng)中心能夠集中管理相關(guān)安全產(chǎn)品，搜集所有安全信息，并對(duì)收集到信息進(jìn)行分析和處理，在一定程度上可以做到安全事件的預(yù)警。

3、第三階段：安全智能中心（SIC）態(tài)勢(shì)感知階段

隨著云計(jì)算與大數(shù)據(jù)的發(fā)展，安全智能中心(SIC)成為了企業(yè)級(jí)威脅態(tài)勢(shì)感知平臺(tái)。安全智能中心以大數(shù)據(jù)為技術(shù)支持，以企業(yè)的業(yè)務(wù)為核心，進(jìn)行實(shí)時(shí)的異常檢測(cè)，實(shí)現(xiàn)安全分析智能化與威脅可視化，并提供威脅情報(bào)共享、安全態(tài)勢(shì)感知和高級(jí)威脅偵測(cè)分析等服務(wù)。

從上述態(tài)勢(shì)感知的發(fā)展歷程可以清晰知道，不管是前期數(shù)據(jù)收集還是后期數(shù)據(jù)關(guān)聯(lián)分析及可視化展現(xiàn)，核心都是數(shù)據(jù)。高價(jià)值的數(shù)據(jù)是態(tài)勢(shì)感知類產(chǎn)品的命脈，也是其發(fā)揮溯源、預(yù)測(cè)等功能的基礎(chǔ)。

高價(jià)值數(shù)據(jù)源是檢驗(yàn)態(tài)勢(shì)感知能力的重要標(biāo)準(zhǔn)

為能夠在攻擊鏈早期就檢測(cè)到真實(shí)的攻擊行為，那么態(tài)勢(shì)感知類產(chǎn)品就需要有效的高價(jià)值數(shù)據(jù)作為支撐。傳統(tǒng)態(tài)勢(shì)感知絕大多數(shù)屬于以事件為中心的網(wǎng)絡(luò)態(tài)勢(shì)感知，主要是通過(guò)對(duì)互聯(lián)網(wǎng)節(jié)點(diǎn)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控探測(cè)，形成局部的威脅事件采集能力，這實(shí)際上是一種基于事件檢測(cè)維度的視角。但受限于威脅情報(bào)來(lái)源、數(shù)據(jù)分析能力和安全響應(yīng)能力，市場(chǎng)上很多態(tài)勢(shì)感知僅僅是通過(guò)一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認(rèn)為態(tài)勢(shì)感知就是大屏展示的“安全地圖”， 只用于直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，比如了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來(lái)源等。這類態(tài)勢(shì)感知產(chǎn)品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來(lái)看，遠(yuǎn)未達(dá)到“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”的要求。

僅僅依靠網(wǎng)絡(luò)側(cè)日志文件和數(shù)據(jù)還遠(yuǎn)遠(yuǎn)不夠。舉個(gè)簡(jiǎn)單例子，發(fā)生在主機(jī)內(nèi)部密碼暴力破解和虛擬機(jī)內(nèi)部橫向移動(dòng)等都是常見(jiàn)的黑客攻擊行為，但僅僅依靠網(wǎng)絡(luò)側(cè)流量，將很難發(fā)現(xiàn)這些攻擊行為。

高價(jià)值的主機(jī)側(cè)數(shù)據(jù)不可缺少

現(xiàn)有態(tài)勢(shì)感知缺乏主機(jī)相關(guān)信息，對(duì)于失陷主機(jī)的“態(tài)”及脆弱主機(jī)的“勢(shì)”無(wú)法精準(zhǔn)有效的呈現(xiàn)。而全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，要求除了對(duì)基于網(wǎng)絡(luò)流量進(jìn)行威脅可視化呈現(xiàn)，還要求對(duì)全網(wǎng)主機(jī)及關(guān)鍵節(jié)點(diǎn)的綜合信息進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)控。

為此，針對(duì)現(xiàn)有態(tài)勢(shì)感知不足，青藤云安全提供獨(dú)有的主機(jī)層高價(jià)值數(shù)據(jù)，包括操作審計(jì)日志、進(jìn)程啟動(dòng)日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。每一個(gè)進(jìn)程啟動(dòng)過(guò)程都會(huì)被記錄下來(lái)，并且可以與網(wǎng)絡(luò)連接日志、DNS解析日志進(jìn)行關(guān)聯(lián)。這將助力安全人員快速精準(zhǔn)定位問(wèn)題，徹底解決通過(guò)傳統(tǒng)日志進(jìn)行溯源時(shí)只能定位到哪臺(tái)機(jī)器被黑，但是無(wú)法定位到具體進(jìn)程的難題。

青藤在主機(jī)層面全面的、細(xì)粒度的數(shù)據(jù)，可通過(guò)syslog和API提供給用戶的態(tài)勢(shì)感知平臺(tái)，讓態(tài)勢(shì)感知類產(chǎn)品“功力大增”。

1、擴(kuò)大了分析內(nèi)容的范圍。由于傳統(tǒng)態(tài)勢(shì)感知威脅檢測(cè)技術(shù)的局限性，因此所能發(fā)現(xiàn)的威脅也是有限的。通過(guò)在數(shù)據(jù)分析方面引入主機(jī)層高價(jià)值數(shù)據(jù)，可以更全面地發(fā)現(xiàn)針對(duì)這些主機(jī)資產(chǎn)的攻擊。

2、增加攻擊威脅的預(yù)測(cè)性。傳統(tǒng)的安全防護(hù)技術(shù)或工具大多是在攻擊發(fā)生后對(duì)攻擊行為進(jìn)行分析和歸類，并做出響應(yīng)。大量主機(jī)側(cè)高價(jià)值數(shù)據(jù)讓態(tài)勢(shì)感知平臺(tái)變得更加智能，基于大數(shù)據(jù)的威脅分析，可進(jìn)行超前的預(yù)判，它能夠?qū)ふ覞撛诘陌踩{，對(duì)未發(fā)生的攻擊行為進(jìn)行預(yù)防。

3、提升檢測(cè)未知威脅的能力。通過(guò)增加主機(jī)側(cè)高價(jià)值數(shù)據(jù)，采用恰當(dāng)?shù)姆治瞿Ｐ停稍鰪?qiáng)發(fā)現(xiàn)未知威脅的能力。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。