主機層數據，是如何讓態(tài)勢感知“功力大增”的？

全球最權威的IT研究機構Gartner曾經發(fā)表過一份題為《信息安全正在成為一個大數據分析問題》(Information Security Is Becoming a Big Data Analytics Problem)的報告，表示當前真正的信息安全問題都需要由數據來解決，大數據的出現將對信息安全產生深遠的影響。

眾所周知，通常情況下，企業(yè)會根據資產的重要性以及攻擊的危害性來制定安全防護策略。當然前提是能夠檢測到黑客攻擊，并能夠收集攻擊行為、攻擊路徑等數據進行詳細分析。因為態(tài)勢感知類產品能夠靈活地從龐大的工具堆棧中攝取、關聯(lián)和可視化數據，為此成為了安全溯源重要工具之一。

從態(tài)勢感知前世今生看數據的重要性

當然，從態(tài)勢感知的發(fā)展歷史我們也不難看出，數據在信息安全中扮演的重要角色。

1、第一階段：安全信息和事件管理（SIEM）

安全信息和事件管理產品及服務(SIEM)，負責從大量企業(yè)安全控件、企業(yè)應用和企業(yè)使用的其它軟件中收集安全日志數據，并進行分析和報告。這一階段主要是整合了應用程序和網絡硬件生成的安全警報，當攻擊已經侵入到系統(tǒng)中時能及時報警。嚴格意義上來講，還無法做到威脅態(tài)勢的感知。

2、第二階段：安全運營中心（SOC）

安全運營中心(SOC)，采用集中管理方式統(tǒng)一管理相關安全產品，搜集所有安全信息，并通過對收集到各種安全事件進行深層的分析、統(tǒng)計和關聯(lián)、及時反映被管理資產的安全基線，能夠為各類安全事件及時提供處理方法和建議。安全運營中心能夠集中管理相關安全產品，搜集所有安全信息，并對收集到信息進行分析和處理，在一定程度上可以做到安全事件的預警。

3、第三階段：安全智能中心（SIC）態(tài)勢感知階段

隨著云計算與大數據的發(fā)展，安全智能中心(SIC)成為了企業(yè)級威脅態(tài)勢感知平臺。安全智能中心以大數據為技術支持，以企業(yè)的業(yè)務為核心，進行實時的異常檢測，實現安全分析智能化與威脅可視化，并提供威脅情報共享、安全態(tài)勢感知和高級威脅偵測分析等服務。

從上述態(tài)勢感知的發(fā)展歷程可以清晰知道，不管是前期數據收集還是后期數據關聯(lián)分析及可視化展現，核心都是數據。高價值的數據是態(tài)勢感知類產品的命脈，也是其發(fā)揮溯源、預測等功能的基礎。

高價值數據源是檢驗態(tài)勢感知能力的重要標準

為能夠在攻擊鏈早期就檢測到真實的攻擊行為，那么態(tài)勢感知類產品就需要有效的高價值數據作為支撐。傳統(tǒng)態(tài)勢感知絕大多數屬于以事件為中心的網絡態(tài)勢感知，主要是通過對互聯(lián)網節(jié)點網絡流量進行監(jiān)控探測，形成局部的威脅事件采集能力，這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數據分析能力和安全響應能力，市場上很多態(tài)勢感知僅僅是通過一些安全可視化方法做了數據的圖像呈現。甚至很多人都認為態(tài)勢感知就是大屏展示的“安全地圖”， 只用于直觀顯示網絡環(huán)境的實時安全狀況，比如了解網絡的狀態(tài)、受攻擊情況、攻擊來源等。這類態(tài)勢感知產品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來看，遠未達到“全天候全方位感知網絡安全態(tài)勢”的要求。

僅僅依靠網絡側日志文件和數據還遠遠不夠。舉個簡單例子，發(fā)生在主機內部密碼暴力破解和虛擬機內部橫向移動等都是常見的黑客攻擊行為，但僅僅依靠網絡側流量，將很難發(fā)現這些攻擊行為。

高價值的主機側數據不可缺少

現有態(tài)勢感知缺乏主機相關信息，對于失陷主機的“態(tài)”及脆弱主機的“勢”無法精準有效的呈現。而全方位感知網絡安全態(tài)勢，要求除了對基于網絡流量進行威脅可視化呈現，還要求對全網主機及關鍵節(jié)點的綜合信息進行網絡態(tài)勢監(jiān)控。

為此，針對現有態(tài)勢感知不足，青藤云安全提供獨有的主機層高價值數據，包括操作審計日志、進程啟動日志、網絡連接日志、DNS解析日志等。每一個進程啟動過程都會被記錄下來，并且可以與網絡連接日志、DNS解析日志進行關聯(lián)。這將助力安全人員快速精準定位問題，徹底解決通過傳統(tǒng)日志進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體進程的難題。

青藤在主機層面全面的、細粒度的數據，可通過syslog和API提供給用戶的態(tài)勢感知平臺，讓態(tài)勢感知類產品“功力大增”。

1、擴大了分析內容的范圍。由于傳統(tǒng)態(tài)勢感知威脅檢測技術的局限性，因此所能發(fā)現的威脅也是有限的。通過在數據分析方面引入主機層高價值數據，可以更全面地發(fā)現針對這些主機資產的攻擊。

2、增加攻擊威脅的預測性。傳統(tǒng)的安全防護技術或工具大多是在攻擊發(fā)生后對攻擊行為進行分析和歸類，并做出響應。大量主機側高價值數據讓態(tài)勢感知平臺變得更加智能，基于大數據的威脅分析，可進行超前的預判，它能夠尋找潛在的安全威脅，對未發(fā)生的攻擊行為進行預防。

3、提升檢測未知威脅的能力。通過增加主機側高價值數據，采用恰當的分析模型，可增強發(fā)現未知威脅的能力。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。