什麼是態勢感知
|| 定義
ssa(securitysituation awareness),即安全態勢感知,可以幫助使用者理解並分析其安全態勢,其通過使用者安全態勢、攻擊者態勢兩個維度,增強使用者從海量的資訊中發現有用資料的能力,幫助使用者準確理解過去一周發生的每一件安全事件,並為使用者進行安全態勢**提供有效依據。
|| 功能
安全態勢感知有以下功能。
安全態勢總覽:按不同的維度統計使用者每一天內的受攻擊次數和受威脅資產個數,以及一周被攻擊趨勢。
使用者安全態勢:站在使用者資產的角度,通過威脅分析幫助使用者理解其資產是否易受攻擊、資產的受損程度和受損過程。
攻擊者態勢:利用大資料技術分析攻擊事件之間的關聯,識別出不同攻擊者的行為特徵,從攻擊者角度分析其攻擊規模、攻擊手段、活躍時間,幫助使用者分析不同的攻擊者以進行有針對的防範。
|| 約束
安全態勢感知的底層資料來自各個安全服務或安全服務的能力提供方,當前態勢感知依賴邊界防火牆的硬體防火牆和資料庫安全服務,其中資料庫安全服務資料來源在安裝部署時已通過huawei cloud stack deploy配置完成,邊界防火牆資料來源已由邊界防火牆的系統管理員登入管理介面配置。
邊界防火牆(edgefw):華為usg9000v系列和usg6000v系列。奇安信主機安全服務(奇安信hss):奇安信網神虛擬化安全管理系統v7.0p004u2。
網路安全智慧型系統(cis):huawei sdsec解決方案 v1r18c10的產品,cis c50。
資料庫安全服務(dbss):fusionguard。
相關概念
|| 資料來源
資料來源是指安全態勢感知接收、處理的各類安全類日誌,包括網路類安全日誌、資料庫安全日誌等。
|| 攻擊
即安全攻擊。攻擊者對主機進行不同程度的入侵與破壞。
|| 地域溯源
通過對攻擊行為的檢測和追蹤,在攻擊地圖上追溯出攻擊地域源頭,形成地域溯源檢視。
價值檢測型別全面
攻擊檢測型別覆蓋面廣,能夠檢測挖礦程式、殭屍網路、病毒、木馬等多種雲上安全風險。
攻擊者、病毒關聯關係和趨勢視覺化
主機感染病毒事件的統一呈現以及感染病毒趨勢視覺化,可通過主機安全服務完成隔離受感染病毒的主機、病毒清理、刪除受感染的檔案等操作,同時呈現被攻擊使用者、受威脅資產、攻擊者和攻擊源的關聯關係。
攻擊者地域態勢感知
呈現攻擊**的地理位置資訊,可以實時動態感知受威脅資產和攻擊者的地域分布情況。
一鍵隔離
將受威脅的資產一鍵隔離,阻斷其全部網路,保證雲上其他資產安全。
應用場景
|| 雲上安全監控
對雲上的安全事件進行告警,如殭屍網路、sql注入、病毒入侵等。
|| 威脅分析
對安全事件進行回溯,發現彈性雲伺服器中威脅事件發生的原因以及攻擊全過程,實時定位攻擊源,以便展開有針對性的防禦。
實現原理:
圖1安全態勢感知架構
表1元件詳情
元件
功能描述
典型部署原則
scc-console
安全服務管理控制台,使用者通過該模組訪問ssa,實現對服務的建立、使用和管理等。
部署於global層,兩節點集群部署。
scc-lb
安全服務負載均衡節點,對通過scc-service的集群進行負載均衡。
部署於region層,兩節點主備部署。
scc-service
安全服務業務節點,實現對ssa的服務化管理。
部署於region層,兩節點集群部署。
scc-gaussdb
資料庫節點,為ssa提供資料儲存能力。
部署於region層,兩節點主備部署。
ssa management
ssa南向業務節點,對威脅資料進行進一步分析、按業務整合和儲存,並向提供服務介面。
部署於region層,兩節點集群部署。
ecs安全服務的保護物件。
ssa的業務流為:
1.使用者通過manageone運營面(b2b場景為manageone租戶面)安全服務介面( scc-console )申請ssa。
2.由scc-service調取ssa management通過scc-gaussdb獲取租戶認證資訊、彈性雲伺服器資訊和網路資訊。
3.scc-service
與ecs互動,獲取資源池資料反饋給ssa management。
與其它雲服務的關係
圖2 安全態勢感知與其他雲服務的關係
雲服務名稱
描述
虛擬私有雲(vpc)
ssa獲取使用者vpc的彈性ip、子網資訊。
彈性雲伺服器(ecs)
ssa獲取ecs資訊,根據組網進行組織並直觀的呈現各裝置間關係。
訪問與使用
租戶使用者登入manageone運營面(b2b場景為manageone租戶面),從「控制台」選單選擇該雲服務。
安全態勢感知
態勢感知的基礎是對報警和元資料的收集,為達到 全方位全天候 的目標,需要在流量 內容 終端三個方面,利用實時資料和歷史資料進行檢測。但單純報警的視覺化展示並不是真正的 態 要呈現當前的 態 需要針對報警或者異常,進行誤報甄別 定性分析 識別定向型攻擊或是隨機性攻擊 了解攻擊的影響範圍和危害 確定緩解...
態勢感知平台分析流程
1.明確態勢感知平台需求背景 1 安全防禦防外為主 防內為主,安全審計需求增多 2 安全審計需求增加 3 新型犯罪增多,需要新技術解決新問題 2.態勢感知大致分為感知 理解 三個層次,伴隨網路興起公升級為 網路態勢感知 詳細一點可以分為態勢察覺 主動探測 被動監聽採集實現多維度多層次資料來源收集 態...
美國推出網路安全態勢感知計畫
美國國家標準及技術研究所 nist 提出了乙個名為 態勢感知 的計畫,旨在保護能源公司免受黑客針對其電網開展的攻擊。該計畫到4月17日前將廣泛收集相關建議。按照該計畫,能源公司需要對其正在執行的技術進行實時跟蹤,還需要對與實物資產管理相關的資訊科技加以保護,以便能夠盡早檢測到異常事件或安全漏洞,並生...