本文主要基于目前業(yè)界主流的兩大安全態(tài)勢感知系統(tǒng)安全要素獲取維度, 進(jìn)行綜合對比分析,旨在為安全態(tài)勢感知系統(tǒng)的建設(shè)尋找更適合的建設(shè)模式。
本模式主要通過在網(wǎng)絡(luò)的關(guān)鍵路徑,如服務(wù)器區(qū)、核心區(qū)、出口區(qū)旁路部署探針設(shè)備(一般均為軟硬件一體設(shè)備),對網(wǎng)絡(luò)流量中的異常安全事件進(jìn)行解析,包括攻擊流量特征、威脅文件傳輸?shù)?,然后把結(jié)果實(shí)時(shí)同步到上端分析平臺(tái),進(jìn)行深度關(guān)聯(lián)分析及問題定位呈現(xiàn)。
不需要現(xiàn)網(wǎng)其他設(shè)備對接配合,可實(shí)現(xiàn)快速部署,可復(fù)制性強(qiáng),且借助原始流量關(guān)鍵信息的還原、存儲(chǔ),可以提供更多的原始數(shù)據(jù)回溯支持,便于深度分析。
不能整合現(xiàn)網(wǎng)已有網(wǎng)絡(luò)組件的安全信息,包括已經(jīng)部署的大量安全設(shè)備,分析能力受限于一家廠商的研發(fā)水平,不能集各家所長,同時(shí)對于需要日志強(qiáng)相關(guān)的分析模型無法建立,例如本地異常登錄、NAT溯源等等,這些模型必須依靠日志的強(qiáng)支撐。
本模式主要通過采集現(xiàn)網(wǎng)網(wǎng)絡(luò)組件的日志,包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、甚至業(yè)務(wù)系統(tǒng)等,進(jìn)行統(tǒng)一日志標(biāo)準(zhǔn)處理后,對安全問題進(jìn)行關(guān)聯(lián)分析。廣義上說,其實(shí)所對接的安全設(shè)備等也屬于平臺(tái)的感知探針之一。
能充分整合全網(wǎng)安全相關(guān)信息,采集分析維度更全面,依據(jù)各安全設(shè)備的分析日志結(jié)果,可以集各家所長,不受限于一家廠商的分析能力。同時(shí)對日志的采集,也天然滿足了網(wǎng)絡(luò)安全法、等保日志審計(jì)的合規(guī)要求,這個(gè)是流量分析所不具備的。
由于每個(gè)用戶現(xiàn)場設(shè)備廠商、類型差異非常大,所以可采集到的信息不可控,分析模型的復(fù)制性受限,對接優(yōu)化周期較長,同時(shí)對安全問題回溯,由于沒有原始流量數(shù)據(jù)支撐,深度排查可能受限。
只有將“日志維度+流量維度”有效融合,同時(shí)結(jié)合威脅情報(bào)、智能分析的建設(shè)模式才是后續(xù)安全態(tài)勢感知系統(tǒng)發(fā)展的方向。此模式可以很好地發(fā)揮日志分析全面性、異構(gòu)性、合規(guī)性優(yōu)勢,同時(shí)配合流量分析維度,解決威脅深度分析、回溯支持、快速部署等問題。基于以上理念,銳捷網(wǎng)絡(luò)在2016年推出了安全態(tài)勢感知系統(tǒng)RG-BDS大數(shù)據(jù)安全平臺(tái)。
三、流量分析是否可以替代日志分析
雖然從協(xié)議層面,日志發(fā)送大部分采用SYSLOG非加密方式,通過流量探針,理論上是可以解析出來所傳輸日志內(nèi)容,但實(shí)際項(xiàng)目部署角度,所有的網(wǎng)絡(luò)組件默認(rèn)都是不往外發(fā)送日志的,只有配置日志外發(fā)功能后,才有日志的流量產(chǎn)生。因此直接配置將日志外發(fā)到分析平臺(tái)最直接、最準(zhǔn)確的方式,而通過配置日志外發(fā)后再用流量探針從流量中抓取出來,本身就是不合理的方式,同時(shí)還會(huì)帶來原始日志還原度問題。
網(wǎng)絡(luò)中不是所有的日志,都是主動(dòng)發(fā)送模式,例如很多業(yè)務(wù)日志、文件日志,是需要分析平臺(tái)主動(dòng)讀取日志,所以通過流量探針無法讀取到其日志數(shù)據(jù)。
另外需要強(qiáng)調(diào)的是,日志抓取并不是分析平臺(tái)的核心技術(shù),考驗(yàn)一個(gè)平臺(tái)對日志的分析能力,最關(guān)鍵的是平臺(tái)對各類型日志的解析能力以及綜合關(guān)聯(lián)分析能力。
綜上所述,安全態(tài)勢感知平臺(tái)建設(shè)應(yīng)有效融合“日志+流量”兩大維度,相互發(fā)揮各自優(yōu)勢。實(shí)際應(yīng)用中也可考慮采用分階段建設(shè)模式,如先將日志維度納入,在建設(shè)態(tài)勢感知平臺(tái)的同時(shí)滿足等保、安全法合規(guī)需求,再分階段納入流量分析維度進(jìn)行安全分析能力的進(jìn)一步完善。
當(dāng)前文章:流量分析?日志分析?安全態(tài)勢感知該怎么選?
文章起源:http://www.rwnh.cn/news/105151.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、移動(dòng)網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站內(nèi)鏈、App設(shè)計(jì)、網(wǎng)站設(shè)計(jì)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)