0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全态势感知专家说第1期:安全运营技术的现状与展望

华为数据通信 来源:未知 2022-12-19 19:45 次阅读

89992f76-7f91-11ed-8abf-dac502259ad0.png

89a85f3c-7f91-11ed-8abf-dac502259ad0.jpg

两年前,笔者写了一篇文章《一花独放不是春,百花齐放春满园》,简要阐述了国内态势感知的市场和华为的HiSec Insight态势感知系统(以下简称HiSec Insight)。当时国内态势感知市场方兴未艾,还处在技术炒作的高峰期,Gartner也没有态势感知的市场或技术分析。今年,Gartner专门面向中国市场发布了《2022中国安全成熟度曲线》(Hype Cycle for Security in China, 2022),在报告中态势感知已成为成熟期产品

如何解决安全问题已成为客户的主要诉求

近两年,我们也经常听到一些“新贵”产品的名字,例如XDR(Extended Detection and Response,扩展检测和响应)、SASE(Secure Access Service Edge,安全访问服务边缘)。安全运营市场一时间风起云涌,俨然一幅“你方唱罢我登场” 的繁荣景象。但无论是什么新技术或新概念,最关键的还是可以解决客户什么痛点?通过哪些技术手段解决的?而不仅仅是创造一个新名词。

笔者近期和一些客户交流时,经常能听到客户的抱怨:“购买的安全产品种类越来越多,投入也越来越大,但是好像安全问题并没有显著减少!”这里固然有一部分原因是网络安全具有“伴生”的性质,即随着业务的数字化转型,各种应用和IT新环境也在不断发展,安全问题必然也会越来越多。但是,市场上安全合规类的产品偏多,注重实效的产品偏少,这也是不可回避的事实。所以,这又引出客户的另一个问题:“检测出恶意威胁后,我怎么判定结果是否准确?怎么做到自动化处置?”这个问题很好理解,用户对安全的核心诉求就是合规的基础上不能出现网络安全事故,所以只有识别和检测是远远不够的,必须要解决问题。

如图1-1所示,NIST的IPDRR(Identify, Protect, Detect, Respond and Recover)安全框架下从识别阶段到恢复阶段,依赖人的程度是逐步递增的,而依赖技术能力是逐步递减的。这也是为什么众多安全厂商的产品都集中在识别、保护和检测阶段,而响应和恢复阶段的产品种类非常少。这个事实与客户安全运营的实际诉求充满矛盾,因为多数客户是没有或者只有很少人力做专业的安全运营工作,所以即使部署了再多的识别和检测设备,安全实效也提升不大。对于客户来讲,以前是看不到威胁,现在是天天看到大量的威胁告警但无从下手,只是徒增更多烦恼而已。

89b923a8-7f91-11ed-8abf-dac502259ad0.png

图1-1网络空间安全防御矩阵

89de7770-7f91-11ed-8abf-dac502259ad0.png

所以,对于态势感知产品来说,不仅仅是要满足合规要求或者尽可能多的发现安全风险,从能够发现威胁到自动处置闭环的过程尤为重要。自动处置闭环的挑战主要有以下几点:

  • 威胁检测要支持有效的反馈机制,例如能够实时纠偏,快速更新相应的威胁检测规则或模型。

  • 检出的威胁尽可能是准确的,且能够对正常业务进行白名单保护。

  • 有比较完备的产品生态,能够与异构的厂商形成完整的联动方案。

针对以上挑战,华为通过大量实践总结出几点建议:

  • 云服务是解决威胁检测正负向反馈的最佳机制,可以解决模型实时更新的问题。

  • 基于多种手段(包括签名、规则、人工智能等)的单点检测能力需要借助强大并易用的关联引擎能力,才能做好完整攻击链的关联和风险排序。通过学习正常业务的基线,可以减少大量的误报。

  • 利用SOAR(Security Orchestration, Automation and Response,安全编排和自动化响应),通过自动化运营代替传统人工运营。这里的SOAR存在于IPDRR的所有阶段中,即将安全专家的经验融入运营人员的工作流中,使安全更具灵活、高效和可落地性。

  • 除了能够与自有产品联动闭环外,要形成产业生态链,最好能够在国家相关监管机构的指导下形成统一的互联互通标准

因为国外没有态势感知这个产品品类,与态势感知最贴近的就是SIEM(Security Information and Event Management,安全信息与事件管理),所以笔者下面将从SIEM的角度谈一下安全运营类产品。全球IT研究与顾问咨询机构Gartner在今年10月份发布了2022年Magic Quadrant for Security Information Event Management报告(以下简称2022年SIEM MQ),Gartner对SIEM的定义是:“安全信息和事件管理(SIEM)技术通过收集和分析(近实时和历史)安全事件以及各种其他事件和上下文数据源,支持威胁检测、合规性和安全事件管理。核心功能是范围广泛的日志事件收集和管理、跨不同来源分析日志事件和其他数据的能力,以及运营能力(例如事件管理、仪表板和报告)。”

Gartner在评估SIEM厂商时,制定了三个重要的技术入选标准:

1. 必须具备云原生或者SaaS方式交付SIEM的能力。

2. 必须至少具有SOAR、TIP(Threat Intelligence Platform,Threat Intelligence平台)、UEBA(User and Entity Behavior Analytics,用户行为分析)、长期的数据存储和安全运营报告等4项能力中的2项。

3. 除了支持收集自有产品的数据流或日志之外,还必须支持从异构第三方来源捕获和分析数据。这里提到的异构第三方包括市场领先的网络、终端PC/服务器、云(IaaS或SaaS)和业务应用的厂商,这也意味着入围者必须与至少10家主要安全技术厂商形成伙伴关系。

Gartner的SIEM入围标准明确表达出了一个观点:Cloud SIEM将成为SIEM的主流形态,这也从IDC市场数据中得到基本验证。另外,入围标准也表达出客户对检测和响应高级功能(如SOAR、Threat Intelligence等)以及异构安全运营方案的渴望。

从商业上看,SIEM市场从2020年的34.1亿美元增长到2021年的41.0亿美元,年增长率为20%。客户购买SIEM的主要驱动因素是威胁检测、响应、攻击面管理和合规性。客户正在寻求一个具有广泛和深入能力的SIEM生态系统,以满足多种安全和业务的使用场景,并能够支持多样化的IT环境。

结合客户需求、Gartner报告以及笔者个人经验来看,SIEM这个品类正逐步向以下几个层面演进:

  • 支持集成SaaS应用的Cloud SIEM将成为主流产品。因为国外客户普遍接受SaaS的方案,所以他们更加关注Cloud SIEM是否支持多云,是否支持与主流SaaS应用集成。

  • 可以识别出真正产生危害的攻击。为了实现这个目标,不管是基于流量的检测(NDR,Network Detection and Response)、基于终端的检测(EDR,Endpoint Detection and Response),还是UEBA或TIP,都将是不可或缺的。

  • Threat Intelligence在SIEM产品上的应用将越来越关键。Threat Intelligence除了可以增强威胁检测能力外,还可以用于调查取证和威胁狩猎。

  • 基于SOAR的自动化运营能力将成为SIEM产品的标配。只有不断提升客户的自动化运营程度,才能真正解决客户安全运营缺乏资源投入的痛点。另外,通过SOAR编排灾备系统能够快速恢复业务,保证客户的业务韧性。

XDR将取代SIEM?言之尚早

最后简单谈一下最近比较“热”的XDR(Extended Detection and Response,扩展检测和响应)和SIEM之争。

Gartner给出的XDR定义为:“XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一纳管的内聚安全运营系统中。”XDR和SIEM的核心区别如表1-1所示。

对比项XDRSIEM核心区别 只取后台系统需要的一手数据聚合分析 海纳百川,数据源众多,但大多数为后台无法理解的数据,需要对二手数据做关联分析适用场景 中小企业 大型企业或监管部门

表1-1XDR和SIEM的核心区别

其实SIEM厂商很早就已经意识到:与其花费大力气对浩如烟海的各种安全日志做安全分析,不如找到真正所需的数据。这种直接采集数据的效率更高、效果更好,这也是部分人认为XDR最大的优势——数据遥测能力。但是,笔者认为XDR目前最多只能算作是SIEM的一个子集,还谈不上取代。NTA(Network Traffic Analyzer,网络流量分析器)、UEBA和SOAR等技术不断融入SIEM都是市场的选择,并不是技术主导的结果。其实XDR能不能取代SIEM还要从两个角度分析:

  • 后者能够替代前者的所有功能吗?退一步讲,即使不能完全替代,那么无法替代的功能需求是否会逐步消失?

  • 从商业上来看,后者的市场规模前景是否足够大?

综上所述,尽管存在一些客户部署态势感知或SIEM失败的案例,但大家对安全运营中心的建设依然乐此不疲。这从侧面说明安全运营市场有刚性需求,但目前还无法被很好的满足,这就对乙方提出了更高的要求。华为愿意携手安全产业的合作伙伴,聚合业界最优的产品与技术,为客户提供“业务连续、数据安全、隐私保护、合规遵从”的安全运营方案。

参考文献:

Pete Shoard, Andrew Davies, Mitchell Schneider《Magic Quadrant for Security Information and Event Management》


原文标题:安全态势感知专家说第1期:安全运营技术的现状与展望

文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 华为
    +关注

    关注

    215

    文章

    34293

    浏览量

    251159

原文标题:安全态势感知专家说第1期:安全运营技术的现状与展望

文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    GB/T4706.1-2024 家用和类似用途电器的安全1部分:通用要求

    电子发烧友网站提供《GB/T4706.1-2024 家用和类似用途电器的安全1部分:通用要求.pdf》资料免费下载
    发表于 11-01 17:07 11次下载

    华为政务HiSec Insight安全态势感知系统促进网络安全产业发展

    Insight安全态势感知系统以出色的创新能力、领先的技术成熟度及强大的复制推广能力,从200多个参赛作品中脱颖而出,在数字城市安全
    的头像 发表于 06-29 11:00 738次阅读
    华为政务HiSec Insight<b class='flag-5'>安全</b><b class='flag-5'>态势</b><b class='flag-5'>感知</b>系统促进网络<b class='flag-5'>安全</b>产业发展

    态势数据可视化技术有哪些

    的一些主要类型及特点: 智慧华盛恒辉网络安全态势指标可视化分析系统: 基于地理信息系统、网络拓扑图、攻击路径等的安全态势可视化分析系统方法。 通过可视化
    的头像 发表于 06-11 15:47 351次阅读

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    以下内容整理自谈思AutoSec 8周年年会。 分享嘉宾:小米科技高级安全专家 尹小元 嘉宾简介:小米车联网安全专家,智能终端安全实验室负责
    的头像 发表于 05-27 14:31 1171次阅读
    小米科技高级<b class='flag-5'>安全</b><b class='flag-5'>专家</b>:智能汽车Tbox<b class='flag-5'>安全</b>漏洞分析

    Arbe感知雷达技术赋能汽车驾驶安全

    及轻型卡车均需标配自动紧急制动(AEB)系统,包括行人AEB功能。这一开创性的安全举措预计将大幅度降低追尾碰撞事故和涉及行人的交通安全事故发生率。 AEB系统借助先进传感器技术,能够精准探测到与前方车辆或行人的潜在碰撞风险,并在
    的头像 发表于 05-22 10:14 353次阅读

    影响国家安全的十大新兴技术感知技术在列

    来源:远望智库开源情报中心,谢谢 编辑:感知芯视界 Link 近日,美Booz Allen Hamilton咨询公司发布研究报告,提出影响国家安全的十大新兴技术,主要包括: 1.用于人
    的头像 发表于 05-20 09:23 307次阅读

    态势数据可视化技术有哪些

    智慧华盛恒辉态势数据可视化技术是一种将复杂、动态的态势数据以直观、易于理解的方式展现出来的技术手段。以下是几种主要的态势数据可视化
    的头像 发表于 04-22 15:17 378次阅读

    专家访谈 | AI如何助力汽车功能安全?(汽车安全②:功能安全

    在汽车行业中,确保功能安全至关重要。开发汽车功能需要一个严格的流程来最小化风险并增强安全性。本期“专家访谈”栏目,我们邀请到广电计量汽车功能安全经理曹铭,为大家介绍汽车功能开发期间的完
    的头像 发表于 04-08 15:42 390次阅读
    <b class='flag-5'>专家</b>访谈 | AI如何助力汽车功能<b class='flag-5'>安全</b>?(汽车<b class='flag-5'>安全</b>②:功能<b class='flag-5'>安全</b>)

    专家访谈 | 汽车信息安全强标即将落地,企业该如何应对?(汽车安全①:信息安全

    智能网联汽车信息安全随着信息技术的快速发展和智能化趋势的持续推进,智能网联汽车为人们出行带来了前所未有的便利和智能化体验,但是随之而来的用户隐私泄露和网络攻击等安全问题也敲响了警钟。信息安全
    的头像 发表于 03-12 17:34 1115次阅读
    <b class='flag-5'>专家</b>访谈 | 汽车信息<b class='flag-5'>安全</b>强标即将落地,企业该如何应对?(汽车<b class='flag-5'>安全</b>①:信息<b class='flag-5'>安全</b>)

    知语云智能科技揭秘:无人机威胁如何破解?国家安全新防线!

    。这不仅保护了公民的合法权益,也维护了国家的安全和稳定。 四、展望未来 随着科技的不断发展,无人机技术将会更加成熟和普及。因此,对无人机威胁的破解和防控工作也将面临更大的挑战。知语云智能科技将继续
    发表于 02-27 10:41

    知语云全景监测技术:现代安全防护的全面解决方案

    是一种先进的安全防护手段,它集成了大数据分析、人工智能、云计算等尖端技术,能够实时监测网络环境中的各种安全风险,为企业和个人的数据安全提供坚实保障。 该
    发表于 02-23 16:40

    工程振弦采集仪监测技术的发展现状展望

    振弦采集仪监测技术的发展现状展望 目前,工程振弦采集仪监测技术已经具备了以下几个方面的发展现状1
    的头像 发表于 01-22 14:44 305次阅读
    工程振弦采集仪监测<b class='flag-5'>技术</b>的发展<b class='flag-5'>现状</b>与<b class='flag-5'>展望</b>

    2024技术展望安全领域这些话题与趋势值得关注

    技术带来的复杂性。在即将开启的2024年中,有哪些需要关注的安全话题与趋势?富士通安全专家为您进行了总结与展望
    的头像 发表于 12-26 17:15 834次阅读
    2024<b class='flag-5'>技术</b><b class='flag-5'>展望</b>:<b class='flag-5'>安全</b>领域这些话题与趋势值得关注

    机器人的态势感知成为行业研究热点

    新一代机器人的态势感知将成为研究的热点和难点。通过解决环境感知、自身状态感知和多传感器融合等问题,可以提高机器人的自主性、可靠性和适应性,从而推动机器人
    发表于 12-05 11:30 353次阅读

    边缘智能4部分:边缘节点安全

    电子发烧友网站提供《边缘智能4部分:边缘节点安全.pdf》资料免费下载
    发表于 11-24 09:34 0次下载
    边缘智能<b class='flag-5'>第</b>4部分:边缘节点<b class='flag-5'>安全</b>