解密网络安全重武器-态势感知

2019-08-12 15:10:10 浏览数 (2)

本期来和大家一起解密态势感知,目前国内外无论安全厂商还是ICT厂商都在紧跟网络安全最新趋势,也都陆续推出各家的态势感知产品。刚刚发布的等保2.0也明确表态在数据中心安全建设中按照“一个中心,三重防护”的思想建立主动安全防御体系,明确说明要建立态势感知安全管理控制中心。通过安全管理控制中心对整个数据中心的安全攻防态势有一个清晰的认识,对将要发生的网络攻击可以做到主动防护的安全战略目标。

态势感知概念内含如下图所示:势态可评估、趋势可预测、知行可管控、风险可感应等,可以通过部署态势感知检测全局安全状态,同时可对攻击趋势进行分析和预测,最终通过多维度可视化报表呈现,将安全风险做成效果图展示给相应级别的网络管理员同时可以提供安全加固方案辅助管理员优化安全策略。

本文以新华三的态势感知“云智”为例,解析方案构成和防护原理:

最底层分为探针层有2类探针,1.主机探针、2.网络探针。主机探针一般部署在PC端、服务器端、手机端等,相当于在这些终端之上安装客户端,通过该方法检测安全状况,不过主机探针由于部署起来不太灵活真实用的并不多。

其次就是网络探针,该探针也分为2类。1.日志探针、2.流量探针。日志探针可以搜集所有设备(ICT设备)产生的日志信息,探针侧做基本的预处理后上送到态势感知平台的后端进行大数据分析关联,比如防火墙和WAF的哪些日志的产生就意味着网络攻击的攻入或者病毒的侵入,从而进行对应的安全操作,通过这种方式来实现。流量探针一般旁挂部署在核心交换机,通过镜像数据流的形式得到来往的数据流量,可分析出流量是否具有威胁流量,一旦发现异常流量立即联动态势感知软件平台实时安全操作,如“阻断”等来响应安全事件。

此处有读者可能有疑问,既然部署了日志探针为什么还要部署流量探针?这么做不是浪费资源吗?其实不然,并不是所有的设备都支持日志的外发,如一些比较老的设备就可能出现各种问题,此时通过流量探针和日志探针相辅相成来实现主动防护的安全目标。注意:无论是日志探针还是流量探针都是主动对现网信息进行采集和研判,并不是出现某种安全事件后才进行相应处理,前面提到的主动安全防护就是这么来的!

在探针层之上就是安全资源层,该层主要包括一系列的安全产品,如防火墙、IPS、IDS、WAF、抗D等,态势感知要做的就是把所有的安全产品的信息集中整合起来从而消除信息孤岛,从而打造一个完整的安全管理中心。

最后是态势感知后台,在该区域有各类安全分析组件,如流量分析组件、日志分析组件、内网行为分析组件等,前端探针和后端组件配合起来实现安全检测目标。下期我们来聊聊云数据中心中的租户安全的整体解决方案。

希望本文可以让各位直观的了解态势感知产品,温馨提示:如果您觉得好看,请在右下角点击“在看”,并欢迎关注我的微信公众号:ICT售前新说。

0 人点赞