007bug
2
安全集成(專業級)SP/PL
CICSA
007bug2
安全集成(專業級)SP/PL
CICSA
1 資產感知
IT 系統越來越復雜,從而產生大量的無主資產、僵尸資產,且這些資產長時間無人維護,存在大量的漏洞和配置違規,為用戶網絡安全帶來了極大隱患。因此,首先要摸清資產家底。任何網絡入侵和攻擊都是以資產為載體或目標,如果網絡資產是一筆糊涂賬,那么網絡安全狀況將無法保障。
感知資產的方法主要有主動探測和被動分析。主動探測主要用于對未知網絡下的資產發現探測,被動分析主要用于 7×24 小時持續性的監聽已知網絡下的未發現資產。通過強大的資產指紋庫建立各類型資產的特征,包括網絡設備、安全設備、各類操作系統、數據庫和應用中間件等,進行識別資產并完成資產屬性的補全,最終實現未知資產的發現、識別與管理。同時,需要通過有代理或無代理方式監控資產的運行狀態,包括主機CPU、內存、磁盤占用率變化情況、網絡帶寬的占用變化情況和交換機每個端口的流量情況。更進一步,可采集服務進程、線程數據、CPU 和內存占用率等,為安全檢測分析提供數據支撐。
2 資產脆弱性感知
網絡安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經成為網絡攻擊者入侵網絡竊取信息或者破壞系統的重要入口。因此,“摸清家底”的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確,將無法進行資產安全加固并采取防護措施。
對于資產漏洞,感知方法是基于已知的漏洞信息,采用端口探測等手段,對網絡中指定的主機、網絡設備等資產進行漏洞檢測,發現網絡資產存在的漏洞 ; 資產配置脆弱性感知方法是采用基線安全配置檢測工具,深度獲取主機、服務器和網絡設備等資產的配置信息,并與配置基線進行比較,發現資產配置的脆弱性。最終,在發現脆弱性基礎上,維護所有資產脆弱性的生命周期信息,并分析可能的攻擊面和攻擊路徑。
3 安全事件感知
隨著網絡技術的發展,網絡安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網絡攻擊方式越來越多,逐漸受到人們的廣泛關注。為了保證網絡系統的安全運行,網絡中廣泛使用了防火墻、入侵檢測系統、漏洞掃描系統和安全審計系統等安全設備。這些安全設備會產生大量違反安全策略和安全規則的告警事件。但是,這些安全告警事件信息中含有大量的重復報警和誤報警,且各類安全事件之間分散獨立,缺乏聯系,無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。實際中,大部分的安全告警事件并不是孤立產生的,它們之間存在一定的時序或因果聯系。結合安全告警事件的運行環境,對原來相對孤立的低層網絡安全事件數據集進行關聯整合,并通過過濾、聚合等手段去偽存真,發掘隱藏在這些數據之后的事件之間的真實聯系,確定事件的時間、地點、人物、起因、經過和結果。
4 網絡威脅感知
隨著技術的不斷進步,網絡攻擊行為逐漸呈現分布化、遠程化與虛擬化等趨勢。傳統基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制,受到了來自新型攻擊手法的巨大挑戰。層出不窮的各類高危漏洞、0Day 漏洞,使攻擊特征庫的及時更新與長期維護面臨巨大困難。此外,傳統的威脅檢測手段在應對 APT 攻擊時顯得力不從心,因為傳統的檢測手段主要針對已知的威脅,對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。
面對層出不窮的網絡攻擊和新的網絡安全形勢,感知網絡威脅的方法可以概括為“知己”和“知彼”兩個方面。“知己”方面是采集內部網絡流量數據、日志數據和安全數據等,進行基于大數據分析、人工智能技術的異常行為檢測,發現隱藏在海量數據中的網絡異常行為 ;“知彼”方面是通過監測、交換和購買等各種方式,搜集惡意樣板 Hash 值、惡意 IP 地址、惡意域名、攻擊網絡或者主機特征、攻擊工具、攻擊戰技術、攻擊組織等網絡威脅情報數據,用于支撐安全運行維護、安全檢測分析和安全運營管理。
5 網絡攻擊感知
6 網絡風險感知
網絡安全風險感知是在感知網絡資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上,進一步進行數據融合分析,建立全網的安全風險指標體系和風險評估模型,從抽象的高度來評估當前網絡的整體安全風險。風險評估可采用定量與定性相結合的綜合評估方法。層次分析法 (AHP) 是一種典型的評估方法,是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷予以量化,從而為決策者提供定量形式的決策依據。
在下炳尚
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
在下炳尚2
風險管理(專業級)RM/PL
高級信息系統項目管理師
態勢感知的核心功能有以下這些:
資產感知:IT系統越來越復雜,從而產生大量的無主資產、僵尸資產,且這些資產長時間無人維護,存在大量的漏洞和配置違規,為用戶網絡安全帶來了極大隱患。因此,首先要摸清資產家底。任何網絡入侵和攻擊都是以資產為載體或目標,如果網絡資產是一筆糊涂賬,那么網絡安全狀況將無法保障。感知資產的方法主要有主動探測和被動分析。主動探測主要用于對未知網絡下的資產發現探測,被動分析主要用于7×24小時持續性的監聽已知網絡下的未發現資產。通過強大的資產指紋庫建立各類型資產的特征,包括網絡設備、安全設備、各類操作系統、數據庫和應用中間件等,進行識別資產并完成資產屬性的補全,最終實現未知資產的發現、識別與管理。同時,需要通過有代理或無代理方式監控資產的運行狀態,包括主機CPU、內存、磁盤占用率變化情況、網絡帶寬的占用變化情況和交換機每個端口的流量情況。更進一步,可采集服務進程、線程數據、CPU和內存占用率等,為安全檢測分析提供數據支撐。
資產脆弱性感知:網絡安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經成為網絡攻擊者入侵網絡竊取信息或者破壞系統的重要入口。因此,“摸清家底”的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確,將無法進行資產安全加固并采取防護措施。對于資產漏洞,感知方法是基于已知的漏洞信息,采用端口探測等手段,對網絡中指定的主機、網絡設備等資產進行漏洞檢測,發現網絡資產存在的漏洞資產配置脆弱性感知方法是采用基線安全配置檢測工具,深度獲取主機、服務器和網絡設備等資產的配置信息,并與配置基線進行比較,發現資產配置的脆弱性。最終,在發現脆弱性基礎上,維護所有資產脆弱性的生命周期信息,并分析可能的攻擊面和攻擊路徑。
安全事件感知:隨著網絡技術的發展,網絡安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網絡攻擊方式越來越多,逐漸受到人們的廣泛關注。為了保證網絡系統的安全運行,網絡中廣泛使用了防火墻、入侵檢測系統、漏洞掃描系統和安全審計系統等安全設備。這些安全設備會產生大量違反安全策略和安全規則的告警事件。但是,這些安全告警事件信息中含有大量的重復報警和誤報警,且各類安全事件之間分散獨立,缺乏聯系,無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。實際中,大部分的安全告警事件并不是孤立產生的,它們之間存在一定的時序或因果聯系。結合安全告警事件的運行環境,對原來相對孤立的低層網絡安全事件數據集進行關聯整合,并通過過濾、聚合等手段去偽存真,發掘隱藏在這些數據之后的事件之間的真實聯系,確定事件的時間、地點、人物、起因、經過和結果。
網絡威脅感知:隨著技術的不斷進步,網絡攻擊行為逐漸呈現分布化、遠程化與虛擬化等趨勢。傳統基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制,受到了來自新型攻擊手法的巨大挑戰。層出不窮的各類高危漏洞、0Day漏洞,使攻擊特征庫的及時更新與長期維護面臨巨大困難。此外,傳統的威脅檢測手段在應對APT攻擊時顯得力不從心,因為傳統的檢測手段主要針對已知的威脅,對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。面對層出不窮的網絡攻擊和新的網絡安全形勢,感知網絡威脅的方法可以概括為“知己”和“知彼”兩個方面。“知己”方面是采集內部網絡流量數據、日志數據和安全數據等,進行基于大數據分析、人工智能技術的異常行為檢測,發現隱藏在海量數據中的網絡異常行為“知彼”方面是通過監測、交換和購買等各種方式,搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網絡或者主機特征、攻擊工具、攻擊戰技術、攻擊組織等網絡威脅情報數據,用于支撐安全運行維護、安全檢測分析和安全運營管理。
網絡攻擊感知:在網絡攻擊的一次迭代過程中,一般分為情報收集、目標掃描、實施攻擊、維持訪問和擦除痕跡5個階段。感知網絡攻擊是持續不斷地收集當前網絡中的攻防對抗數據。一方面實時展現當前網絡中的攻防對抗實況,深入挖掘各種攻擊行為,如端口掃描、口令猜測、緩沖區溢出攻擊、拒絕服務攻擊、IP地址欺騙以及會話劫持等另一方面,借助網絡異常行為檢測和歷史攻擊信息,分析潛藏的高危攻擊行為和未知威脅,并協助安全分析師抽取高價值的威脅情報。
網絡風險感知:網絡安全風險感知是在感知網絡資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上,進一步進行數據融合分析,建立全網的安全風險指標體系和風險評估模型,從抽象的高度來評估當前網絡的整體安全風險。風險評估可采用定量與定性相結合的綜合評估方法。層次分析法(AHP)是一種典型的評估方法,是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷予以量化,從而為決策者提供定量形式的決策依據。
推薦文章
