什么是态势感知呢?
一时间,面对扑面而来的态势感知热潮,混乱的概念和良莠不齐的方案,无论是作为需求方的客户还是作为建设方安全厂商都还有点“消化不良”。到底何为态势感知?
根据Gartner2011年定义,态势感知是通过对威胁情报及资产漏洞信息的集成和分析,形成一幅业务系统安全状态的准实时视图,提供包括资产状态信息的收集,威胁行为信息的收集、风险分析、可视化展现等能力支持。
这样定义对于大部分人理解还是比较晦涩难懂,笔者基于自己理解,概括为四句话:态,即现状,包括自身威胁状态和整体安全现状;势,即趋势,预测未来安全之趋势;感,即采集,指通过多种途径,采集多种安全信息的过程;知,即理解、认知,指对采集到安全要素相关信息进行理解和认知的过程。
态势感知的视角和定位
传统态势感知绝大多数属于以事件为中心的网络态势感知,主要是通过对互联网节点网络流量进行监控探测,形成局部的威胁事件采集能力,这实际上是一种基于事件检测维度的视角。但受限于威胁情报来源、数据分析能力和安全响应能力,市场上很多态势感知仅仅是通过一些安全可视化方法做了数据的图像呈现。甚至很多人都认为态势感知就是大屏展示的“安全地图”,只用于直观显示网络环境的实时安全状况,比如了解网络的状态、受攻击情况、攻击来源等。这类态势感知产品具有一定威胁展示的直观性,但从感知深度、感知广度和感知的有效覆盖范围来看,远未达到“全天候全方位感知网络安全态势”的要求。
那么态势感知一个合理视角应该是什么?笔者认为应该从以事件为中心转到以资产为中心。从哲学角度看,态势感知是对网络空间中的主体、客体和关系进行认识和表达的过程。攻击方、用户、厂商等属于主体,而攻击工具、服务器、虚拟数据资产等都属于客体。青藤云安全认为态势感知是围绕资产(即客体)展开的,其对资产的信誉、风险进行评估,对资产与威胁的关系进行揭示,对主体进行画像,对主体与客体进行关联。因此,用户安全防护的本质是通过相应的检测与防御最后阻断攻击者的意图,确保自身资产的可用性、可靠性、完整性和保密性的目的。
态势感知不只是地图炮
现有态势感知缺乏主机相关信息,对于失陷主机的“态”及脆弱主机的“势”无法精准有效的呈现。而全方位感知网络安全态势,要求除了对基于网络流量进行威胁可视化呈现,还要求对全网主机及关键节点的综合信息进行网络态势监控。为此,针对现有态势感知不足,青藤云安全推出态势感知增强方案:
(1)事前预判:全面资产清点,及时了解风险漏洞
自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等十余类安全资产,覆盖全部典型通用资产。根据每个服务器业务特点,系统针对性识别应用,目前可识别业务应用已覆盖200余类,例如Nginx、Apache、JBoss、Memcached、Redis等。每个应用在风险发现与入侵检测中,均提供对应安全策略保护。允许自定义清点对象,可根据业务需要,自助清点数据。不同清点对象均采用单独模块管理,模块间保持一定联动性,确保同时运行的清点单元最小化,瞬时性能消耗最低。
(2)事中防护:对漏洞和风险的精准管理,全面应对安全威胁
自动识别应用配置缺陷,通过比对攻击链路上的关键攻击路径,发现并处理配置中存在的问题,降低可被入侵的风险。同时,基于Agent的持续监测与分析机制,迅速与庞大的漏洞库进行比对,精准高效地检测出系统漏洞,并且能精准检测几十种应用弱密码,覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN等。全方位检测IT系统存在的脆弱性,发现信息系统存在的安全补丁、安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,为企业提供无死角的风险状况视图,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
(3)事后取证:强调检测和响应的联动,智能化追溯分析
系统能够把用户所有主机行为数据都保存下来,进行历史记录,如有问题就可以追溯分析,实现实时监测和智能化取证。通过多维度的感知网络叠加能力,对攻击路径的每个节点都进行监控,并提供跨平台多系统的支持能力,保证了能实时发现失陷主机,对入侵行为进行告警。
写在最后
青藤态势感知增强方案,补充现有态势感知的不足,完善主机态势感知版图,提供全面的海量资产数据、漏洞数据、风险数据、资产数据供给联动分析和呈现,提供高扩展接口,可针对特殊场景迅速拓展定制模块。在Agent探针能力支持下,结合IoC、大数据、机器学习等多种分析方法,基于对攻击时间和攻击维度的深度分析,整理入侵事件的来龙去脉,以可视化方式完整呈现。让用户对于整体环境的入侵情况和需要处理的入侵事件有清晰的了解,使得入侵分析“深可见底”。
青藤云安全以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全自适应平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。