一、诞生过程
“态势感知”诞生于20世纪80年代,起源于军事领域。国内,“网络安全态势感知”的概念,是在2016年火起来的。
政策上:
2016年,习主席在网络安全座谈会上发表了重要的“4·19讲话”,讲话中提到:
“没有网络安全就没有国家安全。”
“全天候全方位感知网络安全态势。”
所带来的观念的转变,就是网络安全威胁的来源和攻击手段不断变化,“只依靠装几个安全设备和软件就永保安全”的想法已经不合时宜了,需要树立动态综合的防护理念。
技术上:
没有态势感知产品,会存在哪些问题?
(1)部署了大量安全设备,可安全事件还是频繁发生;
(2)海量的安全日志与数据,安全状况却仍不清楚;
(3)一旦发生安全事件,排查繁琐、难度大。
问题的根源是什么?
(1)有限的检测特征库,难以应对新型攻击;
(2)碎片化、割裂的安全设备和日志,缺乏全局视角;
(3)碎片化的日志,缺乏关联分析。
因此,态势感知类的产品应运而生。
在“态势感知”出现之前,国外一直在提SOC,即“安全运营中心”,SOC其实是一种理念,需要技术体系(产品)+人+运营流程。国内将之包装成产品。
二、发展过程
“态势感知”的概念火起来以后,有人提出了:
(1)NGSOC,即下一代SOC;
(2)NTA,即网络流量分析技术。因为,SOC之前是只分析日志,但是一个问题就是,没办法保证收集上来的日志是可信的,进而无法保证分析的结果是正确的。所以,直接分析网络流量,分析结果由分析引擎负责,不用再关心第三方的日志是不是正确的。
(3)监管类态势感知,监控整个区域或行业。
三、常见部署方式
首先,有个态势感知管理平台,然后通过流量探针去收集关键节点(关键交换机)上的镜像流量,复制到流量探针之后,流量探针会先存储原始数据,将关键数据筛选出来,再把关键数据传给管理平台,由管理平台进行统一分析。当前阶段,态势感知产品对流量和日志都会收集,所以也会有日志探针,会收集各个产品的日志,做筛选、泛华之后,也会上传到管理平台,进行统一分析。
来源:B站“不可逆的矩阵”,讲师阿焜
网友评论