自2016年419讲话中提到“全天候全方位感知网络安全态势”后,“态势感知”在安全界骤然变成了热词。时至今日,国内几乎所有安全大厂以及新兴创业公司都推出了自己的态势感知产品或者解决方案。
在面对种类繁多的态势感知产品,听着售前人员天花乱坠的介绍各种牛逼技术时,相信大部分没有深入接触过的人早已经处于蒙圈的状态,基本上很难分辨哪家技术更好,哪家解决方案更适合自己。
国内态势感知产品从技术实现上来分的话,大体上可以分为基于流量态势感知、基于SIEM态势感知、基于产品集成态势感知三种类型,每种类型都有各自的优势与劣势,下面就来逐一的介绍一下。
一、基于流量的态势感知产品
基于流量的态势感知产品本质上是安全威胁检测+态势感知大屏,利用传统的基于特征安全检测技术,融合一些威胁情报、沙箱或者机器学习算法,来提高安全检测的深度,通过告警合并、攻击链等分析技术优化安全告警后进行可视化展示。
这类态势感知产品实质上还是基于流量的检测设备,其发挥的作用和技术优势与IDS、WAF并没有什么本质区别,只是加上比较炫的态势感知大屏而已。
这类产品的优势是部署非常方便,可以高效利用检测与威胁情报能力,但资产、日志、漏洞接入与关联分析能力弱,无法很方便地对安全事件进行追踪溯源,对重检测轻分析的用户来说是最好的选择。
二、基于SIEM的态势感知产品
基于SIEM的态势感知产品本质上是日志审计+安全分析+态势感知大屏,通过自身的日志解析、处理与分析来展示安全威胁与事件,利用关联分析、威胁情报、机器学习算法来降低安全告警数量与误报,融合资产、漏洞等上下文信息对网络安全整体态势进行可视化展示。
与基于流量的态势感知产品特点正好相反,这类态势感知产品本身并不具备安全威胁检测能力,需要接入其它安全设备的告警日志来进行二次加工与分析。这类产品的优势是展示要素比较丰富,资产、漏洞、威胁、告警只要接入数据进来都可以展示,并且可以作为安全运维人员日常安全监控平台,方便安全事件追踪溯源。
这类态势感知产品的缺点也是比较明显的,首先是接入各种日志实施复杂度与成本比较高,自身检测能力薄弱对其它安全设备有依赖,安全事件追踪溯源与分析对人的能力有一定的门槛要求。
三、基于产品集成态势感知产品
基于产品集成态势感知更像是一种解决方案,其将自家或联盟方某几款产品(FW、WAF等)作为探针,再将告警集中到态势感知平台进行大屏展示,类似于打包的整体态势感知解决方案。
这种态势感知产品/解决方案比较适合在整体网络安全建设中应用,优势是安全探针与态势感知平台整合比较好,在威胁检测、安全分析与可视化展示方面已经进行了优化,并且态势感知平台很方便与探针设备进行联动。
这类态势感知产品/解决方案对于第三方设备兼容性是致命弱点,如果存在或者要新增其它品牌安全设备,默认不支持其它品牌的话定制化成本很高,这对于已经有一定安全基础的用户来说适用性会比较差。
总结:
所有态势感知类产品都没有百分之百完美的,不同行业用户态势感知的需求关注点也不同,在实施态势感知项目前先想清楚自身需求比较关键,毕竟适合自己的才是最好的。
网络安全态势感知系列到此暂时告一段落,美国态势感知+我国态势感知共12篇文章,后续关注点将放在数据安全与个人隐私保护方面,欢迎持续关注。
稿源:微信公众号“微言晓意”
