縱觀業(yè)界安全態(tài)勢感知平臺建設(shè)模式����,態(tài)勢感知平臺安全要素獲取維度分為兩個(gè)大類:流量分析和日志采集分析�,同時(shí)再結(jié)合威脅情報(bào)��、智能分析等技術(shù)實(shí)現(xiàn)對整網(wǎng)安全問題的分析�、定位以及安全狀態(tài)的可視化度量。而對于流量分析和日志分析兩大維度的差異點(diǎn)以及可替代性分析如下:
一�����、流量分析
本模式主要通過在網(wǎng)絡(luò)的關(guān)鍵路徑,如服務(wù)器區(qū)�����、核心區(qū)�、出口區(qū)旁路部署探針
設(shè)備(一般均為軟硬件一體設(shè)備),對網(wǎng)絡(luò)流量中的異常安全事件進(jìn)行解析�����,包括攻擊流量特征��、威脅文件傳輸?shù)?����,然后把結(jié)果實(shí)時(shí)同步到上端分析平臺�����,進(jìn)行深度關(guān)聯(lián)分析及問題定位呈現(xiàn)���。
本模式的優(yōu)勢:
不需要現(xiàn)網(wǎng)其他設(shè)備對接配合���,可實(shí)現(xiàn)快速部署,可復(fù)制性強(qiáng)�����,且借助原始流量關(guān)鍵信息的還原����、存儲,可以提供更多的原始數(shù)據(jù)回溯支持�����,便于深度分析�。
本模式的劣勢:
不能整合現(xiàn)網(wǎng)已有網(wǎng)絡(luò)組件的安全信息,包括已經(jīng)部署的大量安全設(shè)備��,分析能力受限于一家廠商的研發(fā)水平�����,不能集各家所長�,同時(shí)對于需要日志強(qiáng)相關(guān)的分析模型無法建立,例如本地異常登錄����、NAT溯源等等�,這些模型必須依靠日志的強(qiáng)支撐����。
二、日志分析
本模式主要通過采集現(xiàn)網(wǎng)網(wǎng)絡(luò)組件的日志�����,包括安全設(shè)備�、網(wǎng)絡(luò)設(shè)備、服務(wù)器���、中間件����、甚至業(yè)務(wù)系統(tǒng)等�����,進(jìn)行統(tǒng)一日志標(biāo)準(zhǔn)處理后���,對安全問題進(jìn)行關(guān)聯(lián)分析�。廣義上說���,其實(shí)所對接的安全設(shè)備等也屬于平臺的感知探針之一��。
本模式的優(yōu)勢:
能充分整合全網(wǎng)安全相關(guān)信息�����,采集分析維度更全面�,依據(jù)各安全設(shè)備的分析日志結(jié)果����,可以集各家所長,不受限于一家廠商的分析能力���。同時(shí)對日志的采集���,也天然滿足了網(wǎng)絡(luò)安全法、等保日志審計(jì)的合規(guī)要求�,這個(gè)是流量分析所不具備的。
本模式的劣勢:
由于每個(gè)用戶現(xiàn)場設(shè)備廠商����、類型差異非常大���,所以可采集到的信息不可控,分析模型的復(fù)制性受限���,對接優(yōu)化周期較長���,同時(shí)對安全問題回溯,由于沒有原始流量數(shù)據(jù)支撐�����,深度排查可能受限���。
最合適的態(tài)勢感知建設(shè)模式建議:
只有將“日志維度+流量維度”有效融合�,同時(shí)結(jié)合威脅情報(bào)�����、智能分析的建設(shè)模式才是后續(xù)安全態(tài)勢感知系統(tǒng)發(fā)展的方向����。此模式可以很好地發(fā)揮日志分析全面性�、異構(gòu)性��、合規(guī)性優(yōu)勢�,同時(shí)配合流量分析維度����,解決威脅深度分析、回溯支持��、快速部署等問題�����?;谝陨侠砟睿覀兺瞥隽税踩髷?shù)據(jù)安全平臺�����。
以某實(shí)際用戶案例為例�,用戶部署了基于流量分析的態(tài)勢感知方案,通過探針流量分析確實(shí)發(fā)現(xiàn)下聯(lián)單位存在勒索病毒異常主機(jī)���,但下聯(lián)單位都是通過NAT地址轉(zhuǎn)換后接入����,由于沒有NAT日志的結(jié)合,異常主機(jī)無法溯源�����,問題無法得到有效閉環(huán)�。
目前業(yè)界將日志和流量維度有效融合的方案還十分欠缺,大部分為日志和流量取其一�����,或者雖包含有兩個(gè)維度����,但仍然割裂狀態(tài),分屬不同模塊����。安全態(tài)勢感知方案早在上市時(shí)就已經(jīng)完成了日志維度的全面分析,并于2018年將流量分析納入安全態(tài)勢感知產(chǎn)品體系���,并開發(fā)上線了專業(yè)流量探針�����,真正將“日志+流量”兩大維度有效融合����,整合全網(wǎng)安全監(jiān)測防護(hù)資源,進(jìn)行更全面����、更準(zhǔn)確的安全分析��。
三�����、流量分析是否可以替代日志分析
有用戶和廠商持有疑慮或觀點(diǎn):由于網(wǎng)絡(luò)日志也是一種流量����,因此流量探針也可
以抓取到網(wǎng)絡(luò)中的日志,從而可以替代日志分析��。但如果真正落地的用戶場景去深入分析�����,流量分析和日志分析是無法相互替代的�,原因如下:
1�����、 雖然從協(xié)議層面��,日志發(fā)送大部分采用SYSLOG非加密方式�����,通過流量探針
理論上是可以解析出來所傳輸日志內(nèi)容�����,但實(shí)際項(xiàng)目部署角度���,所有的網(wǎng)絡(luò)組件默認(rèn)都是不往外發(fā)送日志的,只有配置日志外發(fā)功能后�,才有日志的流量產(chǎn)生。因此直接配置將日志外發(fā)到分析平臺最直接��、最準(zhǔn)確的方式���,而通過配置日志外發(fā)后再用流量探針從流量中抓取出來��,本身就是不合理的方式���,同時(shí)還會帶來原始日志還原度問題�����。
2����、 即使通過流量探針抓取日志�����,由于日志產(chǎn)生源眾多且高度分散�����,全網(wǎng)部署探針
為了抓取日志�����,無論從建設(shè)成本和網(wǎng)絡(luò)運(yùn)維都不現(xiàn)實(shí)�。
3�����、網(wǎng)絡(luò)中不是所有的日志,都是主動發(fā)送模式�����,例如很多業(yè)務(wù)日志���、文件日志�,
是需要分析平臺主動讀取日志���,所以通過流量探針無法讀取到其日志數(shù)據(jù)����。
另外需要強(qiáng)調(diào)的是�,日志抓取并不是分析平臺的核心技術(shù),考驗(yàn)一個(gè)平臺對日志的分析能力��,最關(guān)鍵的是平臺對各類型日志的解析能力以及綜合關(guān)聯(lián)分析能力�����。
綜上所述�����,安全態(tài)勢感知平臺建設(shè)應(yīng)有效融合“日志+流量”兩大維度,相互發(fā)揮各自優(yōu)勢�。實(shí)際應(yīng)用中也可考慮采用分階段建設(shè)模式,如先將日志維度納入���,在建設(shè)態(tài)勢感知平臺的同時(shí)滿足等保�����、安全法合規(guī)需求���,再分階段納入流量分析維度進(jìn)行安全分析能力的進(jìn)一步完善。
