自2016年419講話中提到“全天候全方位感知網絡安全態勢”后,“態勢感知”在安全界驟然變成了熱詞。時至今日,國內幾乎所有安全大廠以及新興創業公司都推出了自己的態勢感知產品或者解決方案。
在面對種類繁多的態勢感知產品,聽着售前人員天花亂墜的介紹各種牛逼技術時,相信大部分沒有深入接觸過的人早已經處於蒙圈的狀態,基本上很難分辨哪家技術更好,哪家解決方案更適合自己。
國內態勢感知產品從技術實現上來分的話,大體上可以分為基於流量態勢感知、基於SIEM態勢感知、基於產品集成態勢感知三種類型,每種類型都有各自的優勢與劣勢,下面就來逐一的介紹一下。
一、基於流量的態勢感知產品
基於流量的態勢感知產品本質上是安全威脅檢測+態勢感知大屏,利用傳統的基於特征安全檢測技術,融合一些威脅情報、沙箱或者機器學習算法,來提高安全檢測的深度,通過告警合並、攻擊鏈等分析技術優化安全告警后進行可視化展示。
這類態勢感知產品實質上還是基於流量的檢測設備,其發揮的作用和技術優勢與IDS、WAF並沒有什么本質區別,只是加上比較炫的態勢感知大屏而已。
這類產品的優勢是部署非常方便,可以高效利用檢測與威脅情報能力,但資產、日志、漏洞接入與關聯分析能力弱,無法很方便地對安全事件進行追蹤溯源,對重檢測輕分析的用戶來說是最好的選擇。
二、基於SIEM的態勢感知產品
基於SIEM的態勢感知產品本質上是日志審計+安全分析+態勢感知大屏,通過自身的日志解析、處理與分析來展示安全威脅與事件,利用關聯分析、威脅情報、機器學習算法來降低安全告警數量與誤報,融合資產、漏洞等上下文信息對網絡安全整體態勢進行可視化展示。
與基於流量的態勢感知產品特點正好相反,這類態勢感知產品本身並不具備安全威脅檢測能力,需要接入其它安全設備的告警日志來進行二次加工與分析。這類產品的優勢是展示要素比較豐富,資產、漏洞、威脅、告警只要接入數據進來都可以展示,並且可以作為安全運維人員日常安全監控平台,方便安全事件追蹤溯源。
這類態勢感知產品的缺點也是比較明顯的,首先是接入各種日志實施復雜度與成本比較高,自身檢測能力薄弱對其它安全設備有依賴,安全事件追蹤溯源與分析對人的能力有一定的門檻要求。
三、基於產品集成態勢感知產品
基於產品集成態勢感知更像是一種解決方案,其將自家或聯盟方某幾款產品(FW、WAF等)作為探針,再將告警集中到態勢感知平台進行大屏展示,類似於打包的整體態勢感知解決方案。
這種態勢感知產品/解決方案比較適合在整體網絡安全建設中應用,優勢是安全探針與態勢感知平台整合比較好,在威脅檢測、安全分析與可視化展示方面已經進行了優化,並且態勢感知平台很方便與探針設備進行聯動。
這類態勢感知產品/解決方案對於第三方設備兼容性是致命弱點,如果存在或者要新增其它品牌安全設備,默認不支持其它品牌的話定制化成本很高,這對於已經有一定安全基礎的用戶來說適用性會比較差。
總結:
所有態勢感知類產品都沒有百分之百完美的,不同行業用戶態勢感知的需求關注點也不同,在實施態勢感知項目前先想清楚自身需求比較關鍵,畢竟適合自己的才是最好的。