主机层数据，是如何让态势感知功力大增的？.docxVIP

主机层数据，是如何让态势感知功力大增的？ 导语 全球最权威的IT研究机构Gartner曾经发表过一份题为《信息安全正在成为一个大数据分析问题》(Information Security Is Becoming a Big Data Analytics Problem)的报告，表示当前真正的信息安全问题都需要由数据来解决，大数据的出现将对信息安全产生深远的影响。 众所周知，通常情况下，企业会根据资产的重要性以及攻击的危害性来制定安全防护策略。当然前提是能够检测到黑客攻击，并能够收集攻击行为、攻击路径等数据进行详细分析。因为态势感知类产品能够灵活地从庞大的工具堆栈中摄取、关联和可视化数据，为此成为了安全溯源重要工具之一。 一、从态势感知前世今生看数据的重要性 当然，从态势感知的发展历史我们也不难看出，数据在信息安全中扮演的重要角色。 1、第一阶段：安全信息和事件管理（SIEM） 安全信息和事件管理产品及服务（SIEM），负责从大量企业安全控件、企业应用和企业使用的其它软件中收集安全日志数据，并进行分析和报告。这一阶段主要是整合了应用程序和网络硬件生成的安全警报，当攻击已经侵入到系统中时能及时报警。严格意义上来讲，还无法做到威胁态势的感知。 2、第二阶段：安全运营中心（SOC） 安全运营中心（SOC），采用集中管理方式统一管理相关安全产品，搜集所有安全信息，并通过对收集到各种安全事件进行深层的分析、统计和关联、及时反映被管理资产的安全基线，能够为各类安全事件及时提供处理方法和建议。安全运营中心能够集中管理相关安全产品，搜集所有安全信息，并对收集到信息进行分析和处理，在一定程度上可以做到安全事件的预警。 3、第三阶段：安全智能中心（SIC）态势感知阶段 随着云计算与大数据的发展，安全智能中心（SIC）成为了企业级威胁态势感知平台。安全智能中心以大数据为技术支持，以企业的业务为核心，进行实时的异常检测，实现安全分析智能化与威胁可视化，并提供威胁情报共享、安全态势感知和高级威胁侦测分析等服务。 从上述态势感知的发展历程可以清晰知道，不管是前期数据收集还是后期数据关联分析及可视化展现，核心都是数据。高价值的数据是态势感知类产品的命脉，也是其发挥溯源、预测等功能的基础。 二、高价值数据源是检验态势感知能力的重要标准 为能够在攻击链早期就检测到真实的攻击行为，那么态势感知类产品就需要有效的高价值数据作为支撑。传统态势感知绝大多数属于以事件为中心的网络态势感知，主要是通过对互联网节点网络流量进行监控探测，形成局部的威胁事件采集能力，这实际上是一种基于事件检测维度的视角。但受限于威胁情报来源、数据分析能力和安全响应能力，市场上很多态势感知仅仅是通过一些安全可视化方法做了数据的图像呈现。甚至很多人都认为态势感知就是大屏展示的“安全地图”， 只用于直观显示网络环境的实时安全状况，比如了解网络的状态、受攻击情况、攻击来源等。这类态势感知产品具有一定威胁展示的直观性，但从感知深度、感知广度和感知的有效覆盖范围来看，远未达到“全天候全方位感知网络安全态势”的要求。 仅仅依靠网络侧日志文件和数据还远远不够。举个简单例子，发生在主机内部密码暴力破解和虚拟机内部横向移动等都是常见的黑客攻击行为，但仅仅依靠网络侧流量，将很难发现这些攻击行为。 三、高价值的主机侧数据不可缺少 现有态势感知缺乏主机相关信息，对于失陷主机的“态”及脆弱主机的“势”无法精准有效的呈现。而全方位感知网络安全态势，要求除了对基于网络流量进行威胁可视化呈现，还要求对全网主机及关键节点的综合信息进行网络态势监控。 为此，针对现有态势感知不足，云安全提供独有的主机层高价值数据，包括操作审计日志、进程启动日志、网络连接日志、DNS解析日志等。每一个进程启动过程都会被记录下来，并且可以与网络连接日志、DNS解析日志进行关联。这将助力安全人员快速精准定位问题，彻底解决通过传统日志进行溯源时只能定位到哪台机器被黑，但是无法定位到具体进程的难题。 在主机层面全面的、细粒度的数据，可通过syslog和API提供给用户的态势感知平台，让态势感知类产品“功力大增”。 1、扩大了分析内容的范围。由于传统态势感知威胁检测技术的局限性，因此所能发现的威胁也是有限的。通过在数据分析方面引入主机层高价值数据，可以更全面地发现针对这些主机资产的攻击。 2、增加攻击威胁的预测性。传统的安全防护技术或工具大多是在攻击发生后对攻击行为进行分析和归类，并做出响应。大量主机侧高价值数据让态势感知平台变得更加智能，基于大数据的威胁分析，可进行超前的预判，它能够寻找潜在的安全威胁，对未发生的攻击行为进行预防。 3、提升检测未知威胁的能力。通过增加主机侧高价值数据，采用恰当的分析模型，可增强发现未知威胁的能力。