局域网态势感知与安全运营(转)

局域网

???????局域网的概念应该不用再复杂的赘述一遍,大家都懂。但在这里局域网并非指得是传统概念上的局域网、城域网、广域网中的局域网,而是属于一个组织的所有资产所构成的网络以及其与外界通信信道的集合。

态势感知

???????态势感知的概念这几年都很火,听了很多介绍,宣讲以及产品展示。就在思考一个问题什么是态势感知。态势感知援引美国海军的周边环境敌我识别+敌情系统。其实是所谓宙斯盾级别驱逐舰(具备有源相控阵雷达组,具备敌我识别、目标跟踪、敌情判定等一整套战场环境感知能力的战舰)就是态势感知的一个良品。用盾舰配合潜艇护卫者航母组成了美海军独霸天下的航母打击群。
???????网络是虚拟的战场,我们也需要一整套的宙斯盾系统来作为我们防御和进攻的依据。原来我们用IDS和IPS,可以在一定程度是识别敌人(内部做坏事的也算是敌人),但是我们看到IDS和IPS系统每天成千上万的告警,需要一个很庞大的安全团队去处置。一来,建立一只庞大的安全团队并不容易,二来IDS和IPS的大量误报或者近似误报(技术上不是误报但是业务上算是误报)朗威了大量的人力和时间,三来IDS和IPS的漏报有可能留下隐患。业界了为了解决这个问题,开始不断提升报警率,降低误报率。但是攻防不对等导致的该矛盾不仅没有解决反而愈演愈烈。然后发展到SOC聚合流量和日志分析,这进了一步,但是还不够,海量的数据处理越来越依托大数据,而效果也是不令人满意。

???????真正的态势感知是抽象出来的,不是基于一条一条的告警、或者攻击日志。而要建立攻击链的概念。攻击链就是A攻击了B,无论A使用了什么方法、多少种方法,用了多少个漏洞,前前后后多少次攻击,间隔多久,都归而划一,就是A攻击了B。A到B的整体攻击行为就是一条攻击链。此外对于蠕虫木马类传播的处置还需要建立攻击源的概念,A传播了Wanncry,无论他传播了多少下家,A就是攻击源,掐死A没有问题。当然这里是对威胁三要素中安全情势的处理(这里不再用事件的概念,为了与IDS和IPS的告警事件的概念区分)。至于资产和漏洞(脆弱点)也可以接入整个态势感知系统作为自己方的资料的一部分,从而达到真正的风险评估三要素的统一结合。
???????建立起了攻击链和攻击源的概念,我们对组织内部安全运营就有了新的认识。按照这个理论,我们还有受害者和潜在受害者(两者都是资产),还有潜在受害点的概念(漏洞)。还有一个概念就是暴露面积的概念,比如A传播Wanncry,但是A只能通信B和C,B只能通信D,C和D都不能继续通信出去(ACL限制),那么暴露面积就是B、C、D。如果B已经中招,C和D还没中招,但是C存在MS17-010漏洞,D不存在。那么D就不具备潜在受害点,但是C具备。C和D虽然都是潜在受害者,但是只有C有可能中招。
???????上面的概念有点纷繁复杂了是不是,其实我们可以分类成四个维度来看。第一维度--我情,这里面就包括我方资产信息,这里面就包含了受害者、潜在受害者、潜在受害点、暴露面积等信息。第二维度--敌情:攻击源及其信息(这里面包含了很多公司和实验室现在在做的攻击者画像等等。组织内部的敌情可以根据自己收集的信息去统计归类,组织外部的信息如果不是专门做信息安全类的企业或生态及企业,可能需要去购买威胁情报来补充。)第三维度--战况,战况就是攻击链,以及攻击链的详情(我建议需要重点关注下攻击链中的一些特殊的攻击手段和告警,例如Wanncry)这种情况会有相应的不同的解决方案。第四维度--趋势,从我情、敌情和战况来判断未来趋势走向,这个是企业安全战略的问题。

  • 我情:

    • 技术属性(操作系统版本、开放的端口与服务、使用的组件与版本)
    • 业务属性(承载业务等级评估、资产归属人员与部门、业务负责人员等)
    • 网络属性(连通性图、访问特征)
    • 安全属性(漏洞状况、补丁状况、登录状况、侦查检测)
  • 敌情:
    • 虚拟身份(电子邮箱、社交账号、手机号、论坛ID、归属组织)
    • 基础设置(IP地址、域名、URL、CC地址)
    • 攻击能力(使用工具集、历史攻击行为、攻击特征负载、样本HASH)
    • 受害范围(行业分布、关注目标)
  • 战况:
    • 攻击源(记录IP和身份信息,细节查看敌情分析)
    • 受害者(记录IP和归属信息,细节查看资产系统)
    • 惨烈度(多少次告警、高危告警有多少、是否失陷)
  • 趋势:
    • 潜在受害者
    • 潜在受害点
    • 暴露面积

内网的安全运营

安全情势的响应

???????从安全运营的角度来看一看。首先,我们终于脱离了一条一条去处置告警的繁琐的重复性体力劳动,我们从攻击链的角度来看问题,10000+的告警可能就是三个攻击源攻击了四个目标,一共3x4=12条攻击链信息,追溯攻击源3个,处置3攻击源,就可以遏制时态的进一步扩展。处理四个受害者可以完成定损、止损、回复业务、整改修复方案的指定与推进。站在上帝视野看事情,解决内网安全运营的根本问题。其次,没有告警就没有攻击发生吗?答案显然是否定的,但是整个攻击链条中是否一条告警都不触发呢,不排除这种大神,但是也绝对是凤毛麟角,所以只要有一条告警,就可以抓住整个攻击链,也在一定程度上缓解了漏报带来的风险问题。再次,日志和流量还有告警终于可以在一个平台统一分析整合,避免了之前多平台切换,数据整合分析需要人工完成的尴尬。

风险趋势的评估

???????原有情况新出了一种攻击手段,新出了一个高危漏洞,如何评估组织内部风险,查看机器,排查受影响组件、手工评估多少台机器,多少业务受影响。现在可以自动化完成这一切,得益于我们前期数据的系统性梳理和统计,完美的解决了这个问题。

整体架构

原文地址:https://www.cnblogs.com/backlion/p/10153552.html

时间: 2024-11-08 02:43:58

局域网态势感知与安全运营(转)的相关文章

新态势感知系列(1):从态势感知到全方位态势感知

新态势感知系列(1):从态势感知到全方位态势感知 Last Modified @2017/9/16 1      引言 随着2016年的419讲话中提到要"全天候全方位感知网络安全态势",在安全业界,"态势感知"骤然变成了热词.到现在,几乎所有的国内安全厂商都推出了各自的态势感知产品或者解决方案. 作为一名从事安全管理平台领域十几年的业内人士,本人早就开始接触态势感知这个词了. 早在2003年,我当时作为主要参与者参加了<多信息源智能化安全强审计系统>和

态势感知系统,助力网络更安全

随着网络的普及,互联网上的各种应用得到了飞速发展,而诸多应用也对网络安全提出了更高的要求,网络入侵给全球经济造成的损失也在逐年迅速增长.2016年,网络安全形势愈加严峻,各种数据泄露.黑客入侵事件层出不穷. 2017年,无论是物联网还是互联网都将进入一个新的发展阶段,相应的网络安全面对的挑战也进一步升级. 目前网络安全分析人员只能依靠一些网络安全产品来分析大量的日志信息,从而分析和处理网络异常.但随着网络数据量的急剧增大,网络安全威胁的范围和内容不断扩大和演化,网络威胁的种类急速增长,并且在攻击

安全态势感知:一些哲学思考

生而为人,首要的和最终的任务都是认识自己--我是谁?从哪里来?要到哪里去?怎么去?这一系列问题需要你自己用一生来回答.那么,安全态势感知的终极任务是什么?或者说,我们这一批研究态势感知的安全领域的从业者,使命是什么? 不是说你研究出来新的解决方案,你提交了新专利,你开发出来新产品,这只是过程,只是副产品.自古以来,安全界所有的产品基本分为两大类:攻击和防护.那么,我认为,现在我们就应该站在更高的高度去看,安全态势感知它其实是独立于两者,是以第三方的的角色出场.它以客观的态度去感受攻防双方,描述双

态势感知的支撑和价值落地

当前态势感知现状反思,现状一个很重要的追求是界面的华丽,国内很大的一批工程实践实际上是大规模的互联网探测扫描结果或者开源的威胁情报通过可视化的手段展示出来,这种倾向性将态势感知庸俗化. 现状更多的态势感知是被他华丽的可视化所掩盖,实际上我们来看一种更好的表现形式未必带来生产力,在2010年我们通过一个仪表盘的方式,观测我们后端样本分析自动化流水线的时候,可以给工程师更好的视觉感受和运维效率.当我们尝试通过一个沙盘式进行巡游遍历的时候,我们发现虽然他的接受度更好,但是毫无疑问他的生产力下降了,更好

态势感知

w环境. http://geek.csdn.net/news/detail/136883 "我们认为只有用大数据的手段先解决看问题的全面性,才有可能真正解决安全问题,很多安全解决方案的失败,不是在于防护做得不好,而是在于根本没看见敌人,防护就无从谈起.因为过去缺少对原始数据的计算能力,只靠单机设备想全面的看各个纬度的数据从而分析出威胁几乎是不可能的事情."

态势感知 &gt; 技术运维问题

http://blog.csdn.net/sanmaoljh/article/details/52670226 http://u.sanwen.net/subject/250516.html http://blog.chinaunix.net/uid-23544240-id-2145735.html https://help.aliyun.com/knowledge_detail/44240.html

美国网络安全态势感知(4):威胁情报发展现状

美国政府依托其不断发展完善的威胁情报共享技术,构建了名为"网络天气地图"的威胁情报管理体系,如下图所示: "网络天气地图"的威胁情报管理体系运行过程以及每个过程中的关键信息如下所述: 通过国家网络安全保护系统与互联网中相关的探测器关联,收集相关的威胁情报信息: 利用大数据分析技术,并结合外部的其他威胁情报来源,提取形成有价值的威胁情报: 根据威胁情报信息,生成相关的安全策略,并下发至防护设备,进行有目标的防护: 将获得的威胁情报信息能够快速地在网络中交换共享,并与外

美国网络安全态势感知(5):威慑反制能力建设

美国网络威慑与溯源反制能力建设阶段跨越2011年-2018年,在这个阶段美国的国家战略逐渐从"积极防御"转变为"攻击威慑".在这个阶段,美国政府不但发布了多个网络威慑相关战略政策,同时也开展了一系列的相关具体行动项目. 1.网络威慑与反制相关政策 2011年7月14日美国国防部发布首份<网络空间行动战略>.尽管国防部强调新战略重在防御,即加强美军及重要基础设施的网络安全保护,但从种种迹象来看,美军已经将网络空间的威慑和攻击能力提升到更重要的位置.美国媒体

内网威胁感知与***溯源系统

一.现状与问题 ? ? ? ? 随着<网络安全法>正式成为法律法规,等级保护系列政策更新,"安全" 对于大部分企业来说已成为"强制项".然而,网络空间安全形势日趋复杂和严峻.席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响.高级持续性威胁(APT***).鱼叉***.内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全. ? ? ? ? 威胁一直存在,但企业安全管理人员却没有相应的技术手段和工具发现问题.定位***源. 二.解