美文网首页python自动化运维软件测试AI智能运维
暗流涌动,突破困境 | 安全运营发展趋势——自适应技术

暗流涌动,突破困境 | 安全运营发展趋势——自适应技术

作者: 华青融天 | 来源:发表于2020-11-23 14:12 被阅读0次

    大多数企业的安全攻击事件都来源于外部通报,尽管许多企业实施了网络安全措施,但其发挥的价值远超期待的范畴。

    攻击>防御

    企业缺乏自身的安全巡检能力

    圆通速递,10亿条用户信息数据外泄;华住集团,140G约5亿条信息外泄... 如今,企业面临着大大小小的网络安全问题。我们发现,大多数企业的安全攻击核心来自于外部通报,比如:监管机构及第三方平台、主管单位及安全服务厂商等。

    令人担忧的是,企业并没有为应对网络威胁做好准备。

    调查发现,通过企业内部安全巡检发现攻击勒索的比重只有不到5%,这也是目前很多企业存在的误区,认为只要自己的防火墙、IPS、Waf等边界安全建设足够完善,就不会给攻击者可趁之机,而对内网安全建设缺乏重视。

    导致当依赖于已知的边界安全产品失效时,攻击者极易进入内网,企业面对的将是一览无余的攻击局面。

    正常情况下,安全防御者在各类应用漏洞、主机漏洞及新型攻击手法曝光后,对这些漏洞和攻击行为形成快速有效的防御,尽管在这一领域的企业公认需要更大程度地关注网络安全,但真正具备及时发现、修复能力的企业只占一小部分

    以人工手动排查为主,造成安全处置不及时

    在常规的安全事件响应过程中,通过大数据检索和预警手段分钟级地发现威胁预警,但在应急响应、止损方面大部分企业无法做到分钟级,甚至要到小时级,而在回溯分析的调查处置中手动人工排查需要几小时甚至几天。

    比如在金融行业,运维人员从凌晨1:00到第二天早上7:00才能得出一个报告提交给领导,事件响应团队往往不堪重负,因为他们要面对数以千计的警报,需联动数量众多的产品并分析数以万计多源数据。

    从自适应安全入手

    2016年,Gartner 提出:“安全运营发展趋势的核心是自适应安全”。

    无论企业在安全防护和安全检测上下多大功夫,购买产品、解决方案和各类外包安全服务,都是为了快速对安全事件进行有效检测和响应,在主管单位和核心部门形成威胁预测。

    企业针对安全事件的威胁判定,大部分采用的是对IP和事件进行阻断,但 Gartner 指出:“除了简单的阻隔方法,还应该还原事件的本质”

    企业应该更加关注检测、响应和预测能力,将传统的“触发式事件响应”提升为“持续响应”,也就是说,要关注整个安全事件的持续性监测、止损和修复能力

    同时报告还强调,企业网络、终端和安全防护产品应该通过情境感知关联起来,包括资产脆弱性、威胁情报,提供集成同意的预测、阻止、检测和响应能力,对IT环境构建一个全面、持续、多维度、全层次的监控架构,涵盖从网络包、流、操作活动/内容、用户行为到交易的所有层面。

    所以,企业需要建设一个安全运营平台,进行持续监测、分析,支撑起在攻防不对等情况下的威胁防御过程。

    自适应安全运营建设的核心工作

    核心工作包括以下方面:数据采集、情境融合、场景建模、威胁研判、响应处置、态势呈现。

    拿一家银行来举例,一家普通银行的数据采集量包括数十种安全设备、近万台服务器,采集到数据后,按照业务、资产、区域或用户自定义的维度来完成情境融合,进而发现安全事件的高危攻击、威胁内容,形成威胁研判、历史回溯、全流量数据包解析以及对各类攻击特征的组合分析,再产生响应处置的流程处理机制,最后将整体的安全态势呈现出来。

    这时,建立一个自适应安全运营平台,会显得尤为重要,自适应的数据治理是建设这一整套平台的关键之处。

    华青融天是如何形成数据治理最佳实践的?

    华青融天从安全运营全栈数据内容识别和智能解析技术中,对所有涉及的数据进行自动化清洗和元数据解析,利用语义熵、时序熵和拓扑熵模型构建对原始数据和安全威胁数据的异常检测,通过机器学习、日志训练自动识别IP,智能语义解析,加载数据解析数量及未识别数量预警,再通过内容映射形成数据的最佳实践。

    除了数据实践,华青融天还有更易用、智能化的安全分析,包含基于关联规则/场景分析引擎和基于机器学习的行为分析引擎。

    在关联规则分析引擎中,不单单局限于技术,更关注用户在安全实际场景中落地成效。

    举个例子:门被撬了,东西被翻了,钱被偷了,在这样一个持续性的关系过程中,把事件发生的先后顺序、逻辑关系、场景、IP统统关联,形成可配置化的预定义场景,适用于多变的用户环境,减少人工配置的复杂度。

    同时,利用机器学习分析异常行为,包括行为轮廓、对照分析、预测分析、安全威胁评分等,提供对原始数据的无监督学习和定向行为场景的有监督学习,用户可根据自身的场景分析需要选择维度、算法进行建模。

    通过监督和自动化学习完成安全事件响应

    在整个自动化响应过程中,华青融天依靠对整个事件分析原本的链路分析来完成。

    首先,是检测和预警。通过特征分析、关联预警、影响性分析、优先级定义逐步筛选出最重要的安全事件;接着,是调查和取证,通过自动化关联数据分析、情境关联、外部BI工具快速进行定位;第三,是应急和止损,通过设备联动,和上级监管单位进行应急预案,流程启动;第四,持续监控和分析,获取记录证据,形成对常态化攻击手法和威胁行为的场景监控;最后,根除和修复,提出建议和验证。

    暗流涌动,网络安全乘风而起

    华青融天希望各类威胁事件,可选择手动、半自动或者完全自动化实现监督响应机制。

    企业必须对网络安全采取纵深防御的方法,实施多层安全机制,将预测、防御、监控和响应能力融为一体,构建基于企业内部的自适应安全运营平台,而不是简单地从外部来保护。

    相关文章

      网友评论

        本文标题:暗流涌动,突破困境 | 安全运营发展趋势——自适应技术

        本文链接:https://www.haomeiwen.com/subject/okjciktx.html