专栏首页信息化漫谈云安全:浅谈态势感知

云安全:浅谈态势感知

"态势感知"于美国空军提出,包括“感知、理解、预测”三个层次。在目前的一些安全系统中,实际仅做到了“感知”。借用客户一句话,安全的核心技术实际还在国外,今天从我们自己做起,来点滴学习安全知识。

一、态势感知的三个层面的递进关系

1、感知,实际是获取一些安全事件的重要线索。在网络环境中,IDS、IPS实际上是这个层面的工作。

2、理解,分析安全事件之间的相关性。

3、预测,能够基本模型预测安全事件未来的一些发展趋势

二、态势感知的建设推进

1、明确建设的目标、需要保护的业务资产范围

2、平台五大目标“安全集成、智能分析、态势感知、协同处置、运营可视”

三、态势感知的发展趋势

1、中国的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台

2、态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币,占安全市场的5%。

3、国外一般不谈态势感知系统,而称为威胁管理、威胁发现产品,并把网络安全态势感知作为由多个系统、工具整合实现的状态效果。

4、在国内态势感知被寄予了很高的期望,希望能够知道过去、预测未来。

5、国内的厂商平台一般含有的功能:资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。

5、态势感知在不同的行业有不同的核心技术需求。a、金融行业有着更多的业务场景,注重关联分析能力、威胁告警精确度、用户行为分析能力。b、运营商的SOC(Security Operation Center)除了关注自身的安全,也会注重利用本身的数据资源优势,拓宽行业市场。c、能源行业的IT种类繁多,非常注意安全生产,因此看重产品的兼容性、可连续性。d、政府机构关注对外部攻击防范、高级威胁检测。

6、目前,态势感知更多是提供数据分析结果。在大数据分析技术应用于预测方面,仍然做得不够。

四、态势感知的1.0

1、传统安全体系中,各类安全产品各自作战,不利于企业了解、应用整体安全风险,形成了安全孤岛。1.0打破了日志、告警孤岛,将各类安全设备的log采集到统一的日志存储平台,实现了集中存储。

2、1.0阶段以资产为核心,通过互联网已公开的漏信息信息、恶意域名、代理攻击IP等信息与资产进行匹配,呈现组织的安全风险状况。

3、1.0阶段呈现有限,多以汇总数据和静态呈现为主,采用定期刷新统计数据为主,智能分析技术较少应用。

4、1.0阶段主要是定位于事件分析、风险可视、告警管理等。

5、1.0在系统上增加了产生合规性报告的功能,以满足内控、审计方面的要求。

五、态势感知的2.0

1、 2.0将在1.0基础上,扩展大数据技术、人工智能技术、威胁情报等。

2、数据采集阶段,2.0要求安全厂商以API接口和SDN网络对接,突破Vxlan技术限制,使用可以采集东西向的流量。在云环境时代,东西流量占据了业务流量的大部分。

3、态势感知与大数据、人工智能联合,将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理,可以满足近实时的风险发现。

4、用机器学习更好实现风险预警、响应处理,提高对未来的预测、实时处置能力。系统可以从采集的数据中学习,形成一个具有自身相关特性的分析模型。

六、体会

1、1.0往往注重安全设施的建设,疏于安体运营体系的建设,造成感知能力差、使用功能有限,通常用来作日志查询和事件调查事后追查使用。

2、2.0时代融合了更多自动化、智能技术,将安全运营进行了体系化的运行,服务于实时生产过程中。

本文分享自微信公众号 - 信息化漫谈(informationwalk),作者:新梦飞

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 向IPv6演进的三种场景方案

    劳动的人民最光荣,周末坚持学习的您们最可爱。因为IPv4地址的空间,IPv6已经逐渐走进了我们的工作和生活。对IPv6使用的三种场景,今天我们进行简要剖析。

    希望的田野
  • 公有云如何做等级保护(二)

    用户使用了公有云后,存在安全责任的边界。就像客户使用了云桌面,中病毒、删除驱动造成无法登陆等问题出现, 都会联系到云服务商进行处理。安全责任边界的清晰,将使云等...

    希望的田野
  • Https网站的应用场景是什么?

    您经常在访问加密的网站,如建设银行的网银系统,https://ibsbjstar.ccb.com.cn 。加密网站最明显的标志是https,而不是http,你一...

    希望的田野
  • nfs服务部署记录

    一、概念介绍 NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布。功...

    洗尽了浮华
  • Docker 配置远程连接

    docker是c/s架构的应用程序,默认仅监听socket格式的地址,只支持在本地管理。

    隔离没老王
  • 怎么用Node.js创建HTTPS服务器?

    HTTPS已经无所不在,作为开发者,我们经常需要访问或者使用HTTPS服务器。本文重要介绍了如何用 Node.js 在本地创建一个HTTPS开发服务器。

    用户7261497
  • 29. Flask 部署项目 nginx + gunicorn + flask

    当我们执行下面的hello.py时,使用的flask自带的服务器,完成了web服务的启动。在生产环境中,flask自带的服务器,无法满足性能要求。

    Devops海洋的渔夫
  • 蓝桥杯之夺冠取宝

    题目 足球比赛具有一定程度的偶然性,弱队也有战胜强队的可能。假设有甲、乙、丙、丁四个球队,根据他们过去比赛的成绩,得出每个队与另一个队对阵时取胜的概率表: ...

    用户4492257
  • 函数指针数组的指针

    pf是一个指针,这个指针指向一个有3个元素的数组,每个元素是一个参数为char* ,返回值为char *的指针。 示例:

    Daotin
  • 【C++简明教程】随机数生成

    【C++ 简明教程】每次更新将会以代码块的形式发布,可以作为手册或者模块以供查询。

    机器视觉CV

扫码关注云+社区

领取腾讯云代金券