首頁 > 關于我們 > 新聞動態 > 公司新聞

話說!全方位態勢感知在政企側如何落地運用?

發布時間 2018-03-30

網絡安全態勢感知(SituationalAwareness)被系統化引入到信息技術安全領域里,相對成熟的應用當屬美國愛因斯坦計劃了。早在2003年,愛因斯坦計劃中態勢感知被提出的目的是讓“計算機系統能夠自動地收集、關聯、分析和共享美國聯邦國內政府之間的計算機安全信息,從而使得各聯邦機構能夠接近實時地感知其網絡基礎設施面臨的威脅?!逼湓O計初衷是能夠對網絡威脅形成感知和預判,這就為以后網絡安全態勢感知系統的整體化運作定了基調。
 
隨著時間的推移,我國在信息領域各個方面取得飛速的進步,在相繼出臺的《網絡安全法》和《國家網絡空間安全戰略》等相關法律法規之后,尤其是國家領導人在“4·19講話中”提到的“全天候全方位感知網絡安全態勢。知己知彼,才能百戰不殆”,政企側對網絡安全的深層次防護也提出了相應的需求,態勢感知被各政企側用戶正式提上了議事日程。
 
看著政企側態勢感知建設上的熱情,不免引發我們想到“怎么樣的態勢感知系統才是好的系統”、“如何才能運營好態勢感知系統”“如何在收集上的安全數據形成對全網的安全形勢研判”等一系列思考。事實上,只有建設好態勢感知系統,才能幫助我們的決策者們,依托這個平臺形成威脅閉環管理和決策鏈管理。因此,作為國內唯一一家進入GartnerSIEM魔力象限的信息安全產品提供商,我們有必要從體系化建設態勢感知的角度,為這些戰略客戶、各大行業、大型企業的態勢感知項目建設提供一些建議和幫助。
 
全天候全方位的態勢感知平臺建設,不是一蹴而就的。一個態勢感知系統,從項目立項到前期調研,到方案落地,再到部署實施,最后到運營維護,是需要跨越一個比較長的周期的。在我們看來,要做到真正的全方位態勢感知的落地,至少需要從以下幾個方面入手。
 
首先,整個平臺要盡可能全面的采集所有安全要素信息。
 
人類分析問題通常會基于線索展開,因此,態勢感知平臺在進行態勢的理解和分析時,也是基于這樣的原理。一套態勢感知平臺需要大量的安全要素原始信息(線索)支撐,僅僅只采集安全設備產生的各種日志事件是不夠的,為了能夠做到追蹤溯源,我們還需要采集更多的有效信息。為了把握資產態勢,需要采集資產要素信息如資產類型、系統版本、資產歸屬等。為了把握業務運行態勢,需要采集設備運行日志、網絡運行日志、業務系統性能日志等;為了補全攻擊鏈條,更準確的做到攻擊鏈還原,我們還需要采集流量信息來進行流量行為分析。

當然,無論什么樣的態勢感知平臺,如果能夠憑借多年來的技術積累,能夠形成一個開放性的信息采集平臺是最好不過的。只有基于開放性,平臺能夠收集網絡內各種業務系統和安全設備的日志、運行信息、資產信息才具備決策的權威性,結合系統本身強大的范式化能力,可以靈活擴展新的采集源能力,就能夠為安全要素的全面收集奠定扎實的基礎。
 
如下圖所示,其平臺的開放性包括的對資產發現的各類信息接入、運行數據采集的數據接入、漏洞情報、威脅情報、攻擊數據等信息接入,有這些技術數據源的支撐,態勢感知平臺才有足夠的分析威脅的能力,才具備對威脅的有效確認與定位的能力。

 


態勢感知平臺的全要素采集布局

 

其次,整個平臺要從攻防視角來進行威脅檢測和發現。


正所謂“知己知彼、百戰不殆”,當我們能夠提前獲知攻擊者的攻擊手段、攻擊目標、攻擊工具、利用的漏洞信息等情報,就能夠對攻擊者進行畫像,更好的幫助我們進行威脅分析。因此,態勢感知平臺必須具備靈活運用威脅情報的能力,這個威脅情報不僅從內部能夠產生并且形成情報轉化,同時,又能夠消費外部第三方威脅情報,由此形成一套比較成熟的威脅情報運用鏈條,從而可以為用戶提供精準快受的威脅判別和自適應防御。
 
根據我們多年的經驗發現,威脅情報的數據積累往往離不開沉淀和導入兩部分組成,沉淀是指在網絡攻防研究中所積累的攻防經驗和攻防數據,在過去的二十年里,我們通過積極防御實驗室(ADLab)積攢了大量的原始攻防數據、0-day漏洞數據等基礎信息,僅2017年,ADLab發現原創漏洞多達400余個,全亞洲排名第一,漏洞覆蓋Windows、Linux、Unix等操作系統。
 

再次,整個平臺要能提供有效的響應處置手段。
 
我們認為,通過態勢感知平臺建設可以為客戶創造價值的亮點非常多,其中針對網絡中檢測到威脅后,進行威脅閉環,就是非常值得用戶關注的核心價值之一。我們堅定認為,一套完整的態勢感知交付平臺,應該具備配套事件的響應和處置流程,只有通過處置,才是真正意義上的威脅閉環。因此,從態勢感知平臺設計之初,我們就在平臺中,內嵌了威脅的預警、告警和響應處置模塊,來幫助用戶完善線上處置的效率,理順威脅閉環的工作流,為安全業務的穩定運營提供保障。
 

最后,整個平臺必須結合安全服務,才能實現用戶網絡的安全保障。
 
我們認為,在建設態勢感知平臺時,應該充分考慮安全服務的能力準備,只有幫助用戶建立成體系的安全服務,才能有效地響應安全事件,才能真正讓態勢感知平臺發揮出應有的效果。根據經驗,安全服務能力只是包括:事件分析能力、攻防滲透能力、脆弱性檢測能力、風險評估能力等,為此,我們也能夠提供多種安全服務和安全培訓,幫助用戶構建自身的安全保障人員體系,讓用戶能夠真正用好態勢感知平臺,幫助用戶做到態勢感知平臺的真正落地。
 

泰合服務團隊能力



 終上所述,我們希望通過網絡全方位態勢感知在政企側落地運用的思考,能夠為廣大用戶在建設安全態勢感知平臺之初提供一些幫助,希望大家的態勢感知平臺建設能與黨的方針政策所指引的方向交相呼應,能順應安全數據大時代的潮流,能為構建一個更加堅固政企側安全壁壘添磚加瓦。

上一篇 下一篇