大數(shù)據(jù)分析技術(shù)助力態(tài)勢感知
在日前舉辦的第七屆運營商和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全年會上�,以安全大數(shù)據(jù)為基礎(chǔ)的態(tài)勢感知再次成為業(yè)內(nèi)討論的焦點。
網(wǎng)絡(luò)空間安全形勢發(fā)生變化
當前,IT基礎(chǔ)設(shè)施正在發(fā)生深刻的變化,虛擬化技術(shù)���、軟件定義網(wǎng)絡(luò)、移動辦公技術(shù)逐漸從概念走向?qū)嶋H應用���。云計算的興起����、BYOD(Bring Your Own Device,指攜帶自己的設(shè)備辦公)的普及�����,改變了傳統(tǒng)的數(shù)據(jù)中心架構(gòu)����,也改變了辦公方式,使得傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊��,甚至消失�����,這給傳統(tǒng)的��、以網(wǎng)絡(luò)邊界為核心的防護思想和安全產(chǎn)品帶來了巨大的挑戰(zhàn)�����。
相應的��,安全威脅的形勢也正發(fā)生變化。360企業(yè)安全集團副總裁左英男認為����,網(wǎng)絡(luò)攻擊的實施者不再是個人,而是以明確的政治����、經(jīng)濟利益為目的黑產(chǎn)組織、國家機構(gòu)�。攻擊的手段和工具也日新月異,如滲透至內(nèi)部發(fā)起攻擊��,“傳統(tǒng)的被動防護戰(zhàn)略思維已經(jīng)不能適應”�����。
北京神州綠盟信息安全科技股份有限公司高級副總裁李晨同樣認為��,無論是傳統(tǒng)的威脅��,還是新興的高級�、有組織的定向攻擊�,都為當前企業(yè)的安全管理帶來了非常大的挑戰(zhàn)。
“國內(nèi)對互聯(lián)網(wǎng)安全的監(jiān)測與發(fā)現(xiàn)能力長期缺位���,形勢相當嚴峻���?�!弊笥⒛姓J為�,急需采用更積極的措施來應對這種變化�����,樹立“監(jiān)測���、發(fā)現(xiàn)”的理念�。
態(tài)勢感知為企業(yè)安全“保駕護航”
去年的419網(wǎng)絡(luò)安全和信息化工作座談會上提出“沒有網(wǎng)絡(luò)安全���,就沒有國家安全”�����,“樹立正確的網(wǎng)絡(luò)安全觀�,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系���,全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢���,增強網(wǎng)絡(luò)安全防御能力和威懾能力���。”態(tài)勢感知首次被提升到了國家戰(zhàn)略高度�,并迅速成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。
據(jù)介紹�,態(tài)勢感知不是SOC/SIEM(安全管理系統(tǒng))的簡單升級,而是經(jīng)過徹頭徹尾的改造����,是使用大數(shù)據(jù)技術(shù)、威脅情報���、攻擊場景分析模型和自動化響應處置技術(shù)�����,給SOC/SIEM平臺換了一顆更加強壯有力的心臟����,使以事件和告警響應為中心的安全運營模式��,轉(zhuǎn)變?yōu)橐酝{為中心��,通過持續(xù)檢測���、分析研判����、追蹤溯源�����、響應處置等手段��,以持續(xù)提升安全能力����,持續(xù)降低MTTD/MTTR(平均檢測時間/平均響應時間)為目標的新一代安全運營模式。
360態(tài)勢感知安全服務(wù)團隊去年在給一家從事大型工程建設(shè)的央企做態(tài)勢感知服務(wù)時發(fā)現(xiàn):這家央企財務(wù)部門有一臺電腦��,每天自半夜開始向南美某一個地域大量通信��。但是�����,該央企在南美并無業(yè)務(wù)���。在監(jiān)測到這一危險信號后�,360態(tài)勢感知服務(wù)小組第一時間斷網(wǎng)處置,切斷危險信號���,同時迅速加強防護措施����,補上漏洞���,最大程度為該央企減輕了損失���。
“及時、高效的處置動作完成��,才算真正解決了安全問題���。這對態(tài)勢感知系統(tǒng)的自動化響應處置能力提出了很高的要求��?��!弊笥⒛姓f。
大數(shù)據(jù)分析助力態(tài)勢感知
“大數(shù)據(jù)分析技術(shù)對網(wǎng)絡(luò)安全是徹頭徹尾的改變����。”左英男分析說����,以前網(wǎng)絡(luò)安全維護只能處理一些結(jié)構(gòu)化數(shù)據(jù),處理的量與類型有限�。隨著大數(shù)據(jù)分析技術(shù)的廣泛應用,網(wǎng)絡(luò)安全維護只有依托于海量數(shù)據(jù)和攻擊場景與經(jīng)驗的積累��,通過計算建模等方法���,才能大大提升監(jiān)測能力及自動響應能力�����。
與會專家們認為���,態(tài)勢感知系統(tǒng)一方面要盡可能具備全要素數(shù)據(jù)收集能力。除了資產(chǎn)信息��、系統(tǒng)日志���、安全設(shè)備日志之外�����,還要收集終端數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)等���。另一方面�,還要大量使用威脅情報��,威脅情報的使用對于降低垃圾數(shù)據(jù)產(chǎn)生的噪音�、提升威脅檢測的效率極為關(guān)鍵。
但威脅情報來自哪里��?質(zhì)量和價值如何��?決定著態(tài)勢感知系統(tǒng)的落地能力�。360企業(yè)安全集團通過6億裝機量的客戶端安全軟件,以及基于互聯(lián)網(wǎng)眾測模式的360補天漏洞平臺�����,收集了中國最大的惡意代碼樣本庫和中文漏洞庫�,輔以DNS解析庫、存活網(wǎng)址庫��,形成了360的云端安全大數(shù)據(jù)。截至2016年年底����,360威脅情報中心已經(jīng)發(fā)布了36份APT(高級持續(xù)性威脅)報告�。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試,點擊>>>
“CDA報名”
了解CDA考試詳情�����;
? 想學習CDA考試教材���,點擊>>> “CDA教材” 了解CDA考試詳情���;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情��;
? 想了解CDA考試含金量�,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330