在上一篇(《也来聊聊态势感知(上)》),我们了解了什么是态势感知,以及为什么要建设态势感知。我们也提到,现在很多厂商也推出了自己的态势感知产品和方案,但实际的效果却并不是很好,这是什么原因呢?
我结合我了解的一些产品的情况,总结出了以下几个问题,与大家探讨。
3)
态势感知市场存在的问题
首先声明一下,因为本人接触范围有限,所以仅从个人接触或了解的方案中以及和一些客户和专家的进行的交流中总结的,如有不妥,欢迎探讨,欢迎拍砖。我把目前存在的问题总结成了四句话:
把态势感知当产品卖的都是吃政府豆腐
没有大数据支撑的态势感知是无米之炊
不结合情报系统的态势感知都是耍流氓
没有人才支持的态势感知都会沦为鸡肋
一、把态势感知当产品卖的都是吃政府豆腐
话这么说,估计会被不少厂商骂:我们这是市场敏感,不是吃政府豆腐。国家有要求,市场有需求,我们推出相应的产品怎么能是吃政府豆腐呢?
在习主席419讲话之后国家确实把安全态势感知建设做为了一项重点工程,各单位都在蜂拥而上建设安全态势感知系统,但什么是态势感知?应该如何建?很多人并不知道,关键是领导不知道,于是很多厂商推出了以态势感知命名的产品,这样预算上报也好批,购买的产品也对应,一切就都顺理成章、水到渠成了。你好我好大家好,甲方满意,乙方满意,皆大欢喜,合作共赢。
可实际上,态势感知并不是一个单纯的产品可以解决的,准确的说,态势感知应该是一个解决方案,通过一系列的产品和服务,达到最终可以感知威胁的目的,而不是购买一个名叫“态势感知”的产品。
所以,从这一点说,那些名为“态势感知”的产品是在利用国家对态势感知的重视和基层对态势感知的不懂而推出的一个概念型的产品,说是吃政府的豆腐也不为过,这也是大家普遍反应不好的一个原因,非要把一系列的产品和服务硬拼成一个产品,效果当然可想而知。
这一点从IDC对中国网络安全态势感知市场的定义中也可以看的出来,从全球范围内来看,IDC是没有“网络安全态势感知市场”定义的。这个概念 是针对中国市场单独定义的。也因此,IDC将这个市场描述为网络安全态势感 知解决方案,突出了解决方案这个词,表明该市场是一类技术、产品和服务 的集合体。
根据IDC2019年的《全球网络安全产品分类》,IDC对网络安全产品的分类进行了重大调整,其中最大的变化就是在2018年创建的一个名为“AIRO”的全新产品类别,
而我们知道,之前的IDC是把安全市场分为:硬件、软件和服务三个领域,如下图:
根据IDC的最新定义,网络安全产品的一类分类不再按照软件、硬件和服务三种产品形态来划分,而是根据其应用的领域来界定,产品形态策划成为了产品属性,并且更加多样化。新的一级分类包括:网络安全、内容检测、互联网防御、端点安全、AIRO、身份与数字信任、应用安全与DevSecOps、平行市场及其它安全产品。
AIRO是由分析与情报(输入与分析)、响应(行动)和编排(自动化)三个子类组合起来的一个分类。在命名上,则取了三个子分类的首字母组合(Analyticsand Intelligence、Response、Orachestration)。
IDC定义:AIRO是一套专注于允许组织确定、解析和改进公司风险态势的全面的解决方案,是成熟安全架构的基本组成部分。该市场中的产品(无论是硬件,软件还是服务)包括那些创建、监控和实施安全策略的产品以及确定给定设备的配置、结构和属性的产品。
如上图所示,AIRO包括了:
· 分析与情报
o SIEM与安全分析
o 威胁分析
o 威胁情报
o 欺骗
· 响应
o 取证和应急响应(IR)
o 策略与合规管理:譬如设备集中管理、策略集中下发
o GRC
· 编排
o 脆弱性评估与管理
o NAC
o 编排自动化工具:相当于Gartner定义的SOAR中的SOA部分
来看网络安全态势感知的概念:
网络安全态势感知系统以特定网络空间资产及上面运行的业务系统为保护对象,整合分散的安全防护和检测技术,持续收集目标对象的资产数据、运行数据、脆弱性数据、内外部安全情报、日志及流量数据,及各类情境数据,进行多层次安全分析,从多个维度持续监测、评估和预测网络安全态势,及时进行预警、告警、 响应处置和情报分享,协助网络管理者全面细致地掌握网络安全运行状况,有效识别入侵、攻击、违规、泄露和破坏行为,并通过与其它系统的协同联动来达成对目标网络安全的有效防护。
所以,态势感知是一个整体的解决方案,包括内部数据收集、外部威胁情报、脆弱性分析、日志管理、安全服务等一系列产品和服务,共同打造的一个系统,可以对威胁进行主动防御和感知。而不是一个产品,所以那些以态势感知为产品命名的算不算吃国家的豆腐呢?
_二、_没有大数据支撑的态势感知是无米之炊
我这里用的是大数据,而实际上,现在的态势感知连大量数据都没有。就别说大数据了。
从态势感知的三个步骤可以看到。数据收集是第一步。
数据是网络安全态势感知的输入和要求提取源。网络安全的攻防对抗,其本质还是双方知识的较量,无论是攻击方还是防守方,谁能够率先从海量数据中筛选和分析出有价值的内容,谁就能抢占先机。那么对态势感知系统而言,我们要收集的数据都有哪些呢?
1、完整内容数据:如通过Wireshark抓包得到的完全数据包内容。这是众数据之首。
2、提取内容数据:从包捕获数据中导出来的,介于完整数据和会话数据之间的一种数据格式。
3、会话数据:是指两个网络设备之间的通信行为的汇总,也称流数据。
4、统计数据:对其他类型数据的组织、分析、解释和演示得到的数据。
5、元数据:又称中介数据,是用于描述数据的数据,主要用于描述数据属性的信息。
6、日志数据:日志数据是非常重要和有价值的网络安全数据类型。
物理设备日志:如UPS、摄像头、门禁、工控设备等
网络设备日志:防火墙、路由器、交换机等
操作系统日志:WINDOWS\LINUX等操作系统上的日志
应用程序日志:如WEB、数据库、邮件、认证服务器、DNS服务器等
7、告警数据:当前检测系统中数据出现异常时产生的警告信息。
收集数据就不得不提到SIEM,SIEM(Security Information and Event Management,安全信息和事件管理)是SOC平台的基础支撑技术,主要用来收集、监测和分析网络资产和安全设备的日志和事件。
Gartner对SIEM进行了如下定义:SIEM为来自企业和组织中所有IT资产(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。
大家可以看到。部署态势感知系统,数据的收集是最基础的一步,能不能采集到更多的数据,并从这些海量网络数据中抽取出影响安全态势的关键信息,是网络安全态势感知的基础。
现在一些国产的产品中不支持SIEM平台,这是一个很大的问题,只是依赖自身的探针去抓取数据,这样能抓到的数据有限。甚至有些品牌的产品要求只能抓取本品牌的安全设备中的日志信息,这样的小范围数据又能分析出来什么呢?
也有一些产品可以通过支持SPLUNK或者ELK(Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称)的方式实现日志的收集。
或许有看官说了,看SIEM功能这么强大,这不是跟态势感知功能差不多吗?是不是有了SIEM就可以了,事实上,SIEM本身也有问题,其中两个最明显的问题就是:
1、数据量过大,如果众多的设备产生的数据,如果没有有效的数据清洗,没能做有效的上下文分析,就会产生大量的报警,而导致安全运营人员无暇处理。
2、企业缺乏专业的网络安全分析人员,不能从众多的告警事件中抽丝剥茧找出真正的威胁所在。
所以对于态势感知系统的建设而言,大量数据是基础,在大量数据之上,还要有专业的分析算法和专业的人员支持。
在数据收集上的主要考察的问题是:
1、是否支持SIEM。刚才提到过,如果网络内有SIEM系统,将会为态势感知系统提供最直接的数据来源,因此支持SIEM应该是态势感知系统的一个基本功能。
2、是否支持多源:因为我们的收集的数据源很多,既包括安全设备日志,又要包括网络设备的日志,还要包括主机操作系统和应用程序的日志,甚至还要包括物理设备如门禁、UPS、摄像头等的数据。重点是网络数据和终端数据。这些源数据可能不是一个品牌、一个厂商的。
3、是否支持多格式 :不同设备的格式是不一样的,如何将这些不同格式的数据整合到一起,变成有价值的信息,是数据收集阶段的一个难点。
4、是否进行数据清洗:清洗的过程大致是:将不同途径、不同来源、不同格式的安全数据进行格式转换、垃圾过滤、数据去重、格式清洗等操作去除“脏”数据。将异常、报警、威胁、五元组等关键信息标记出来,形成精准的基础安全数据。
数据收集常用的方法很多,主要是通过各种探针或插件,通过SNMP、 SYSLOG等协议进行收集。也可以通过漏洞和端口扫描工具进行采集,也可以通过“蜜罐”和“蜜网”进行采集,也可以通过端口镜像的方式进行收集。等等。
在IDC2019年的报告中,也专门强调了探针部署的重要性,强调边缘威胁分析、终端威胁分析与态势感知平台的融合; 以及平台与其他安全设备的接口问题。
建设态势感知系统,数据采集是基础,不支持SIEM平台,没有大量数据支持的方案,就是“巧妇难为无米之炊”,没有原料,又能做出什么美味的大餐呢?
而那些只能收集本公司产品日志的所谓态势感知,根本就是对客户的绑架。
还有两个常见的问题,我们下一期再发,敬请关注。
延伸阅读:
欢迎扫描二维码关注:大兵说安全