态势感知在网络安全建设中的意义

- 2018-11-28 -

网络安全风险态势感知系统是主动安全防御体系的“指挥中心”,结合企业资产,通过威胁情报、机器学习、用户和行为分析等技术对动态的流量、日志等海量信息进行深度分析,江苏安全态势感知同时关联企业信息资产的漏洞、所面临的威胁,自动化、可视化地实现全网的安全风险态势感知、事件响应以及资源协同联动。

打个比方,态势感知系统相当于人类的神经中枢。防火墙、入侵检测系统等相当于神经元,而安全事件的处置过程则相当于神经传导与处理过程。从这个角度来看,态势感知处理数据、将信息变成知识的过程与人脑的对外界信息的感知过程是类似的。

主动安全防御的“指挥中心”

网络安全风险态势感知系统是主动安全防御体系的“指挥中心”,结合企业资产,通过威胁情报、机器学习、用户和行为分析等技术对动态的流量、日志等海量信息进行深度分析,同时关联企业信息资产的漏洞、所面临的威胁,自动化、可视化地实现全网的安全风险态势感知、事件响应以及资源协同联动。网络安全风险态势感知系统将极大程度降低企业内部安全运维人员的时间成本,有效的提升了对于高级威胁事件发现和处理能力。

IDC认为,网络安全风险态势感知系统是由大数据/分析子系统、安全生态子系统、信息采集子系统构成对网络攻击的识别系统,通过网络安全风险态势可视化子系统将企业网络安全风险现状及发展态势展示出来,并最终与智能信息安全运维子系统完成对来自内外部攻击的协同指挥,激发并提高信息防御体系内部各个安全组件的“战斗力”。

提升主动安全防御综合能力

在过去,黑客在暗处,用户在明处。黑客是谁、采用什么手段进行攻击都是不可预知的。但通过态势感知技术,用户可利用历史攻击数据为黑暗中的对手画出肖像,总结出他的行为习惯。态势感知技术就像显影液,把过去那些看不见的攻击痕迹呈现在用户面前,并结合当下的安全情况,给出一份可持续的安全策略方案。(下图来自捷普NGFW态势感知地图)

另一方面,有了基础数据,再辅以云端海量的安全威胁情报,态势感知团队人员就能够通过大数据建模分析,实现对黑客可能的行为、网络中可能存在的入侵事件进行预警。

感  知  内  容

1感知网络资产

IT系统越来越复杂,从而产生大量的无主资产、僵尸资产,且这些资产长时间无人维护,存在大量的漏洞和配置违规,为用户网络安全带来了极大隐患。因此,首先要摸清资产家底。任何网络入侵和攻击都是以资产为载体或目标,如果网络资产是一笔糊涂账,那么网络安全状况将无法保障。

感知资产的方法主要有主动探测和被动分析。主动探测主要用于对未知网络下的资产发现探测,被动分析主要用于7×24小时持续性的监听已知网络下的未发现资产。通过强大的资产指纹库建立各类型资产的特征,包括网络设备、安全设备、各类操作系统、数据库和应用中间件等,进行识别资产并完成资产属性的补全,最终实现未知资产的发现、识别与管理。同时,需要通过有代理或无代理方式监控资产的运行状态,包括主机CPU、内存、磁盘占用率变化情况、网络带宽的占用变化情况和交换机每个端口的流量情况。更进一步,可采集服务进程、线程数据、CPU和内存占用率等,为安全检测分析提供数据支撑。

2感知资产脆弱性

网络安全脆弱性主要包括资产漏洞和弱密码等配置不当。脆弱性已经成为网络攻击者入侵网络窃取信息或者破坏系统的重要入口。因此,“摸清家底”的一个重点就是要摸清资产的脆弱性。如果资产漏洞和不合理配置不明确,将无法进行资产安全加固并采取防护措施。

对于资产漏洞,感知方法是基于已知的漏洞信息,采用端口探测等手段,对网络中指定的主机、网络设备等资产进行漏洞检测,发现网络资产存在的漏洞;资产配置脆弱性感知方法是采用基线安全配置检测工具,深度获取主机、服务器和网络设备等资产的配置信息,并与配置基线进行比较,发现资产配置的脆弱性。最终,在发现脆弱性基础上,维护所有资产脆弱性的生命周期信息,并分析可能的攻击面和攻击路径。

3感知安全事件

随着网络技术的发展,网络安全威胁的方式层出不穷。病毒、蠕虫、后门和木马等网络攻击方式越来越多,逐渐受到人们的广泛关注。为了保证网络系统的安全运行,网络中广泛使用了防火墙、入侵检测系统、漏洞扫描系统和安全审计系统等安全设备。这些安全设备会产生大量违反安全策略和安全规则的告警事件。但是,这些安全告警事件信息中含有大量的重复报警和误报警,且各类安全事件之间分散独立,缺乏联系,无法给安全管理员提供在攻击时序上和地域上真正有意义的指导。

实际中,大部分的安全告警事件并不是孤立产生的,它们之间存在一定的时序或因果联系。结合安全告警事件的运行环境,对原来相对孤立的低层网络安全事件数据集进行关联整合,并通过过滤、聚合等手段去伪存真,发掘隐藏在这些数据之后的事件之间的真实联系,确定事件的时间、地点、人物、起因、经过和结果。

4感知网络威胁

随着技术的不断进步,网络攻击行为逐渐呈现分布化、远程化与虚拟化等趋势。传统基于对攻击行为进行特征识别与比对的威胁感知和甄别机制,受到了来自新型攻击手法的巨大挑战。层出不穷的各类高危漏洞、0Day漏洞,使攻击特征库的及时更新与长期维护面临巨大困难。此外,传统的威胁检测手段在应对APT攻击时显得力不从心,因为传统的检测手段主要针对已知的威胁,对未知的漏洞利用、木马程序、攻击手法无法进行检测和定位。

面对层出不穷的网络攻击和新的网络安全形势,感知网络威胁的方法可以概括为“知己”和“知彼”两个方面。“知己”方面是采集内部网络流量数据、日志数据和安全数据等,进行基于大数据分析、人工智能技术的异常行为检测,发现隐藏在海量数据中的网络异常行为;“知彼”方面是通过监测、交换和购买等各种方式,搜集恶意样板Hash值、恶意IP地址、恶意域名、攻击网络或者主机特征、攻击工具、攻击战技术、攻击组织等网络威胁情报数据,用于支撑安全运行维护、安全检测分析和安全运营管理。

5感知网络攻击

在网络攻击的一次迭代过程中,一般分为情报收集、目标扫描、实施攻击、维持访问和擦除痕迹5个阶段。感知网络攻击是持续不断地收集当前网络中的攻防对抗数据。一方面实时展现当前网络中的攻防对抗实况,深入挖掘各种攻击行为,如端口扫描、口令猜测、缓冲区溢出攻击、拒绝服务攻击、IP地址欺骗以及会话劫持等;另一方面,借助网络异常行为检测和历史攻击信息,分析潜藏的高危攻击行为和未知威胁,并协助安全分析师抽取高价值的威胁情报。

6感知安全风险

网络安全风险感知是在感知网络资产、脆弱性、安全事件、安全威胁和安全攻击的基础上,进一步进行数据融合分析,建立全网的安全风险指标体系和风险评估模型,从抽象的高度来评估当前网络的整体安全风险。风险评估可采用定量与定性相结合的综合评估方法。层次分析法(AHP)是一种典型的评估方法,是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断予以量化,从而为决策者提供定量形式的决策依据。

如何利用大数据、人工智能等新兴技术去实现网络空间中“态”与“势”的感知;如何利用感知结果提升系统安全防御能力;如何让态势感知系统与单点防御设备群发生更有效联动..... 这些都是将来安全态势感知领域亟待重点关注、迫切解决的问题。态势感知作为复杂的安全体系,在企业单位安全建设之前,建议先和专业的咨询机构和专业的安全服务商一起进行咨询、规划,作为前期的配合。