说到安全态势感知,很多人都觉得它很神秘很牛逼。基本上,任何正规的网络安全建设都离不开他。同时,感觉也很模糊。自己能做什么,做了什么,却又说不清楚,很矛盾。这也难怪,因为安全态势感知确实很复杂,而且发展很快。今天我们主要聊一聊安全态势感知产品的前世今生。安全态势感知的出现是网络安全防御发展的必然。在互联网的发展过程中,很长一段时间内,人们并没有重视网络安全,至少没有那么重视。即使在目前,仍有一大批人的网络安全意识还很薄弱。随着网络攻击范围越来越大、损失越来越大,网络安全被大家所接受和认可,以被动响应为核心特征的安全防御体系逐渐形成。主要特点是花钱买盒子、防火墙(FW)和入侵防御系统(IPS)。只要不影响业务的正常运行,是否被攻击,被攻击的深度有多深,都没有人关心。但是一旦发生重大安全事件,数据被盗,或者服务器宕机,那么请找安全厂商紧急支持。安全厂商将派安全专家紧急响应。只要生意正常,都无所谓。不过,后来遭受网络攻击的人更多地关注网络安全,但总体来说,这个时期主要是基于这种被动应对。互联网越发达,网络安全形势就越严峻,攻击网络就越容易,做坏事的人就会越来越多,套现牟利的诱惑也会越来越大。被动响应已经不能满足用户对网络安全的需求,需要一种能够满足用户网络安全需求的防御理念和工具。因此,主动防御的应用应运而生,而为了贯彻主动防御的理念,安全态势感知也应运而生。为增强安全防御能力,将安全态势感知分别扩展到事前和事后。在受到攻击之前想清楚风险,提前预防一些流行的攻击,就像接种疫苗一样,将网络攻击降到最低。当然,网络攻击是防不胜防的。一旦受到攻击,能够快速发现网络攻击并快速响应,及时阻断攻击,避免事态扩大,减少攻击可能造成的损失。排除了此次攻击的影响后,就要对没有阻止攻击的原因进行清算,加强防御,避免再次踩坑。这一系列行动构成了以预防为主、防控结合、多手段发现威胁的纵深防御体系。为实现这一目标,需要收集大量数据和各种日志,基于日志分析检测攻击,识别威胁。可以想象,这样处理的数据量会比以前大很多,所以业界普遍采用安全大数据的方式进行数据处理。为了在最短的时间内止损,需要自动化操作。如果等人来操作,就来不及了。因此需要支持安全设备联动,直接执行策略,先阻断,复杂点联动终端杀毒。.一切都搞定之后,是不是还要去排查一些攻击链,修复什么,处理什么?这就是安全态势感知的核心构建思路,确实非常复杂和先进。安全态势感知的产生是国家安全战略发展的必然,但安全态势感知的真正出现是在国家领导人高瞻远瞩、统筹部署之后。习总书记在4月19日的讲话中指出,“安全是发展的前提,发展是安全的保障。安全与发展必须同步推进。必须树立正确的网络安全观念,加快建设构建关键信息基础设施安全体系,全天候、全方位感知网络安全态势,增强网络安全防御和威慑能力”,总书记的讲话提升了网络安全的国家战略地位,让更多人重新认识网络安全,为网络安全行业增添了催化剂。自此,安全态势感知如雨后春笋般涌现。安全靠企业领导,很多SIEM和SOC的人都有疑惑,是不是没有“坐”态势意识出现之前?答案是不。态势感知的雏形其实就是SIEM(SecurityInformationandEventManagement),它是一个广泛收集日志,然后对日志进行分析的平台。SIEM将传统安全设备的日志,如防火墙、IPS、服务器、交换机等收集起来,进行适配,单独存储,利用大数据的关联检索做一些分析,以发现一些威胁,进行响应分析。安全态势感知平台依托SIEM构建更丰富的功能,支撑其强大的安全防御能力。说到SIEM,就必须提到MSS(安全服务)和SOC(安全运营中心)。SOC更加重视安全运营,综合运用工具、人员、流程,最大限度发挥安全工具的价值。SIEM就像一辆汽车,它可以带你又快又舒服地去你想去的地方,但它毕竟是一辆汽车,如果没人开,它就不会动,也不会去任何地方。所以它需要有人激活它并正确操作它才能运行。但是你不能开着它闯红灯,也不能开错方向。这是开车的规则。SOC是持续安全的保障。安全态势感知的几个发展阶段回到安全态势感知的话题,我们来看看安全态势感知的几个发展阶段。第一阶段的安全态势感知是比较初级的,因为大家经验不多。基本上按照传统的SIEM方式,将传统安全设备的告警日志全部收集起来,但是整合起来。除了常规的安全事件,它以资产为核心,从风险资产的角度呈现风险。除了资产上的安全事件,漏洞是必不可少的,所以也将漏洞综合起来形成漏洞分析。考虑到可视化的特点,做了几个大屏,比如风险资产大屏、攻击大屏、漏洞大屏、动态刷新等。别太酷了。这也造成了大家的固有印象,说到态势感知,就是在卖大屏。事实上,它不是。大屏是一种有效的可视化手段,需要后台有大量数据和计算能力的支持。第二阶段的态势感知经历了客户的洗礼,随着更多的实践经验发现,传统安防设备基本属于边防,无法有效看到内部威胁。因此,对数据的要求增加了。不仅需要接收传统安全设备的告警日志,还需要接收客观存在的访问日志。这些访问日志没有主观判断,需要建立一些行为基线,对偏离基线的访问行为进行安全告警。因此,UEBA(userandentitybehavioranalytics)风靡一时,非常有用,尤其是对内部横向渗透的快速检测。此外,威胁情报的使用大大加快并简化了安全威胁的发现。站在别人的肩膀上肯定更快。威胁情报就是拿别人的经验为我所用。外联了一个勒索C2,证实是中毒了。那你这个时候也outreach这个C2。十、十有八九,你也中毒了。所以威胁情报是有用的。威胁情报不仅可以检测漏洞,还可以检测外部攻击者。有了这部分智能,及时阻断这些恶意IP的访问,可以大大降低被攻击的概率。这些都对探头提出了更多的要求。除了检测镜像流量和上报安全告警外,还需要上报客观的访问数据,以供更多分析。随着安全态势感知在客户实际生产环境中的不断实践,其提升效率的服务属性也逐渐得到完善和进化。同时,随着国家网络安全战略的不断完善,人们对网络安全的关注度越来越高,对实用性的期待也越来越高、越来越强、越来越好。比如平战结合的需求,需要快速准确的定位,充分的证据,快速的反应。这对平台有很高的要求。要实现这些需求,需要更高级的检测手段和方法,比如一些AI算法,简单的规则不能满足要求,应用无监督的AI算法,比如孤立森林,寻找异常点,效果还是很好的.同时,知识图谱还应该让数据之间的联系更加紧密,数据挖掘得越深,价值就越大。另外,就是云能力的强大赋能。以往的安全态势感知平台都是单点的,忽略了一个强大的云平台,可以提供更深层次的数据扩展、更快的更新频率、更强的算力支持,更安全知识库和云能力中心的赋能,让安全态势感知觉悟如虎添翼。为了快速响应和整合资源,安全态势感知开始与各种安全设备联动,如防火墙、IPS、交换机、蜜罐、漏洞扫描工具等,根据设备的不同,可以实现全自动化发现问题后,效率会更高。我曾经有一个大学的客户告诉我,一个人每天都可以登录各种安全设备,需要一天的时间。安全态势感知就是要解决这种低效率问题。一直讲到安全态势感知产品的不断升级,往往忽略了一个很重要的事件,那就是产品还是需要人去用。正如我之前所说,汽车必须被驱动才能移动。有人说,你不是说一切都是全自动的吗?还需要谁?这里有个问题,就是开发阶段。就像我们提到的自动驾驶,虽然有了进步,进步很大,但是离真正的自动化还有很长的路要走。现阶段仍需要安全服务来保证产品的功能。这是安全操作。只有操作好,才有真正的安全。安全态势感知的几个发展趋势不难看出。安全态势感知的迭代实际上是一个不断创新、不断提升用户体验、不断提升用户效率的过程。所以,我们要谈的安全态势感知的发展趋势,也离不开这些方面。1、云化初期的态势感知基本是孤立的,一个客户与其他客户没有任何关系。目前的态势感知已经基本与云端建立了通道,数据可以上云下云,增加了数据的流动通道,繁荣了数据的价值。但是,目前与云端的联动还没有完成,我们还是一头雾水。很容易被客户表现出对迁移到云的担忧所吓倒。云化确实容易引起客户对安全的担忧,这是传统的网络安全护城河概念造成的,显然不能满足网络安全新形势的要求。这时候,一是要明确展示云化的安全性,二是要展示云化带来的好处,即为客户提供机会,让他们需要的功能触手可及。这是时代发展的必然选择。背离了这个预期,就会落后,就会被历史淘汰。2、综合安全态势感知是一个比较庞大的系统,涵盖了很多复杂的功能,带来方便的同时也带来了麻烦。各种安全探针难以合理配置,系统配置繁琐,缺乏专业的安全人员。等等,往往导致安全态势感知在实践中没有得到正确的配置和使用。客户期望什么?他们希望“不麻烦、开箱即用、简单统一、易用”,为客户屏蔽安全态势感知平台复杂的系统构建,就像我们开车一样,汽车的发动机、齿轮、我们不需要知道轮胎、空调和车灯之间的关系。我只需要知道如何开车。我把复杂性留给自己,把方便留给客户。所以现在“AllinOne”的想法豁然开朗,全力打造超融合一体机,就是为了让客户省心,减少使用障碍。3.自动化自动化实际上是为了让安全操作人员免于重复低效率的工作。从理论上讲,在一定条件下,只要流量连通,就可以实现从安全威胁分析到安全事件处理的全过程自动化。一旦它实现了自动化,就像自动驾驶一样,它就省心省力了。这是一个非常好的期望,并且整个过程已被证明有效。目前对于抓取比较大的安全威胁,确实可以通过联动脚本布局对终端防护下发策略来实现安全威胁处理。然而,此类安全威胁的比例很低,仍有大量安全威胁需要人工干预和分析,导致自动化流程中断。自动化的另一大挑战是集成不同设备的能力。传统上,很多厂商的安全设备都非常封闭,导致脱链设备堵塞很大。我觉得自动化的发展方向可以理解为地图导航。只要在目标驱动下解决了用户堵塞,无论你如何调整路线,它都会为你规划最合适的路线并推送解决方案,直到目标完成。但这无疑需要更长时间的发展。4、实战威胁日趋严峻,客户对网络安全的迫切需求不断增加,尤其是重大赛事保障、攻防演练等实战需求。客户需要快速、准确地发现安全威胁,并能够为发现的威胁提供更充分的扩展关联信息等,因此提出安全态势感知需求以满足实战需要。很多人为了顺应这个趋势,提出了平战结合的思路。在实战中,可以满足激烈的战斗需要,在平时,可以提供正常的安全保障。实战对扩展信息的掌握要求很高,需要聚合更广泛的安全知识,尤其是安全威胁情报。5.标准化各大安全厂商对安全态势感知的理解不一致,导致安全态势感知产品的构建思路不一致,从而导致各公司的产品理念和功能各不相同。但是经过几年的发展,各大厂商的安全态势感知已经基本趋于同质化。你有的功能我有,我有的功能你覆盖了。整体功能大致相同。区别在于功能细节的紧密程度。客户的水平。因此,经常为一家公司的安全态势意识服务的保安人员,对另一家公司的安全态势意识并不十分了解,但彼此却似曾相识。所以缺乏标准。这不利于安全态势感知的长远发展。也不利于安全服务,不利于整个安全行业的发展,也不利于客户提高网络安全建设水平。虽然目前一些组织正在率先建立标准化,但要真正实施起来还是非常困难的。6、安全操作前面的几点都是关于工具的,还有一个很重要的一点就是安全操作。我遇到过很多客户的负面反馈,说安全态势感知没用。去排查的时候发现根本没用,配置不对,没有上传有效数据,也没有更新威胁情报。如果它有效,这很奇怪。安全态势感知是一种面向服务的产品,需要安全服务的持续安全运营才能发挥作用。幸运的是,越来越多的客户逐渐意识到了这一点。客户购买了安全态势感知,希望用它来保障业务的正常运行。因此,如果通过系统和工具来保障安全运行,让安全态势感知真正发挥作用,也将是未来的热点。结论安全态势感知平台其实并不复杂。它的产生和演变是随着客户需求和认识的发展和变化而发生的。当前的安全态势感知已经走过了最为艰难和迷茫的阶段,开始寻找适合自身发展的路径。逐渐成熟,以其强大的功能为客户的网络安全建设赋能。
