网络安全态势感知与管控平台

网络安全态势感知

网络安全

发布日期: 2023-10-02

更新日期: 2025-04-02

文章字数: 4.1k

阅读时长: 13 分

阅读次数:

安全态势感知与管控平台

[TOC]

1. 面临问题和挑战

1.1. 面临问题

随着各类信息技术及软硬件系统的持续演进，信息安全问题日益严峻，而且我国当前信息系统安全产业及相关安全法律法规及其标准也不甚完善，这导致国内信息安全保障工作严重滞后于信息技术发展的速度。

由此，目前各企业 IT 系统安全面临巨大的困境，主要包括：

落后的边界隔离理念 VS 灵活多变的渗透技术
日益臃肿的攻击特征库 VS 专业智能的 SaaS 服务
一片祥和的监控页面 VS 暗流涌动的隐蔽信道

总而言之，只重视边界的防护，而忽视内部系统的安全问题的传统观念已经无法适应当前日益严峻的安全形势；没有安全事件和告警不等于没有被攻击者盯上和攻击。

1.2. 当前挑战

企业面临的信息安全挑战包括：

企业购置了大量安全设备及产品，但这些产品所报告出来的问题往往不是难于理解就是极其分散，从而无法确定当前企业的网络和系统运行到底是否安全；
一般安全设备所报告的安全事件，往往存在误报率高，需要人工甄别；
传统安全设备或系统只会报告当前发生了什么，而无法对未来的安全形势进行预判，简而言之，就是缺乏一定的安全形势预估能力；
传统的安全设备，如入侵检测或入侵防护一般不会存储过程数据，所以在出现安全问题时，完全无法对历史数据进行回溯，所以如何调查安全事件变成了不可能的任务；
一般的传统的安全设备，无论是防火墙、入侵检测/入侵防护、防病毒等系统都是利用特征库对相关安全问题进行检测，如果数据被加密或者被做了免杀处理，则无能为力。

2. 客户需求

针对上述问题和挑战，一般企业的信息安全管理人员不仅对各类安全合规方面功能有着较高要求，而且对这在日常安全问题的发现、潜在问题的萃取、未发生问题的预防等都有较高期望，特别是对于一些隐蔽安全问题的追根溯源（包括各类高级持续威胁等），也有现实需求，包括：

通过企业网站等途径的外部渗透行为；
通过邮件钓鱼等途径的鱼叉攻击行为；
访问控制混乱而导致的隐蔽通道或服务端口暴露问题；
内部潜在威胁源或威胁用户的发现；
潜在的数据泄露或外传风险；
安全问题爆发时的预警和处置；
其它各类用户或异常行为的侦测，如异常地区访问、异常时间访问、异常访问次数、异常用户类别等。

3. 安全态势与管控平台解决方案

网络科技自主开发的基于大数据技术的安全态势感知与管控平台，统一采集各类结构化和非结构化的数据，包括各类设备、应用日志以及网络流量和各种脆弱性，提供基于标准风险模型通过实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析。

安全态势感知与管控平台，充分收集各类安全相关数据，通过大范围和深度地广泛检查，尽可能发现相关安全问题

3.1. 解决方案整体框架

安全态势感知与管控平台，具有完全分布式的数据采集和分析框架，包含了数据采集、数据预处理、数据分析、高级分析、数据可视以及安全处理和响应、安全知识库（含漏洞库、安全事件库、安全配置库等等），如下图所示：

3.2. 方案组成

与传统的安全管理中心 [SOC]或下一代安全管理中心 [NGSOC]不完全相同的是传统 SOC 或 [NGSOC 均是依赖于收集第三方日志或脆弱性，在问题的解读和追溯上存在非常大的不足，因而不足以支撑整体安全管理] ，由于安全态势感知与管控平台集成了众多自有的安全问题感知子模块，这些安全感知子模块包含了如下内容：

网络攻击检测子模块
网络性能检测子模块
文件安全检测子模块
威胁情报检测子模块
日志安全审计子模块
漏洞扫描检查子模块
安全配置核查子模块

另外，除上述基础安全检测子模块外，安全态势感知与管控平台还综合了如下高级安全检查功能：

安全对象失陷分析子模块
安全问题告警分析子模块
主机及用户行为分析子模块
网站安全检测分析子模块
安全风险分析子模块

除了上述各类模块外，为了向用户提供完善的安全运维能力，安全态势感知与管控平台提供了完善的安全资产管理模块、安全运维工单模块以及安全知识库等模块。

3.3. 解决的安全问题

以下就安全态势感知与管控平台能够探知和发现的安全问题进行探讨。

3.3.1 网站安全

众所周知，网站是企业等单位的重要信息资产，网站的安全问题不仅关乎企业的网络安全问题，更重要的是如果其被随意篡改或者修改则会造成严重的政治问题或声誉问题。

安全态势感知与管控平台包含独有技术对网站的安全状况进行检查，其检查的范围主要包含针对网站漏洞的攻击或渗透行为、各种网站链接挂马行为、网页篡改行为以及其它针对网站的拒绝服务攻击、一般漏洞扫描等等。

3.3.2 数据库安全

除了网站以外，数据库是企业另一个特别重要的信息资产，数据库出现安全问题会对企业的信息安全工作以及日常工作产生毁灭性的打击，如 2018 年出现的XX酒店将关键数据库信息暴露在公网上（其数据库类型为 MySQL）而且密码极其简单，直接被一般黑客所破解，导致大量重要客户数据的信息泄露，对企业声誉造成了不可挽回的损失

3.3.3 企业内网安全

包括北向安全以及东西向安全，因为经权威机构调研，信息安全的堡垒一般总是从内部被攻破的，这主要是存在如下原因：

内部系统移动介质的滥用，导致各类僵尸、蠕虫以及木马等恶意软件的传播；
企业员工由于存在各种好奇心，会有意或无意地打开各类钓鱼邮件，从而导致其工作计算机沦陷；
企业员工在上网时，下载和安装了一些做过免杀处理的软件从而导致被种植了木马、矿机；
另外，企业员工在上网时，由于其系统没有及时更新相关软件，从而被直接渗透
最后，也不排除一些别有用心的员工故意在办公网或生产网传播恶意软件，从而导致企业信息安全的问题。

通过安全态势感知与管控平台可以充分发现南北向以及各类东西向安全问题，包括诸如各类木马行为、隐蔽通道连接、勒索软件行为（含与服务器通讯以及横向传播）以及各类电子加密货币矿机行为，充分保障内部服务器及用户终端的安全，避免造成各类损失。

4. 主要功能简介

4.1. 对象失陷风险感知

在安全态势感知与管控平台中，对象不仅包含了各种形态的资产信息，还包括各类没有被纳入到资产的对象，这些对象可能是各类服务器或主机以及账号或网站，故一般用户无需配置资产也可以对相关对象的失陷问题进行查看和处理，这大大降低了初次使用本平台的门槛，也减轻了相关配置工作。对象失陷的含义是相关主机、账号、网站等对象由于某些原因，如遭受鱼叉攻击或水坑攻击而被植入各类木马、勒索软件以及蠕虫等恶意程序，从而产生相应的异常行为，导致重要数据被泄漏、重要文件被加密等；严重还会在内网（包括工作网络或生产网络等）肆意传播（横向传播）最终造成企业相关重要信息资产（不仅指有形资产还包括无形资产）的损失。

一般而言对象的失陷会包含探测、植入、回传、横向传播、收集数据以及数据外穿等若干阶段，如果在其中任意一环发现问题，则能够防止损失，评估对象失陷风险的感知是安全态势感知与管控平台的核心内容

4.2. 外部攻击威胁感知

所谓外部威胁是指有外网主机或系统对内网的主机或系统发起的网络攻击或可能的非法连接及探测。

网络攻击一般是指攻击者利用受害者主机或系统存在的一些缺陷/漏洞或者配置上的不足或者网络拓扑存在的问题，使用专用工具或手段对其进行探测、尝试、渗透，试图最终获得目标主机或系统的控制权，或者使受害者无法正常运行。

另外，可能的非法连接是指利用受害者主机或系统在某种情况下出现了不应暴露的端口，从而被非法入侵者所利用，如错误地将一些远程登录服务、数据库服务等暴露在公网环境。

4.3.外连攻击威胁感知

所谓外连威胁是指内网主机或系统对外网相关主机或系统发起的攻击或可疑连接，若存在此类威胁则说明内网主机可能存在失陷危险。

内网主机或系统的失陷原因可能存在多种可能，如因为从某些网站或服务器下载、安装了有害的程序或木马，或者被邮件钓鱼（如鱼叉攻击）诱使打开了危险邮件，或者插入移动介质而被感染了有害程序或木马，或者被内网其它主机所渗透而植入了有害程序；用户应特别重视此类危险；但也不排除内网有主机或系统主动发起了对外网的攻击。

从信息安全的角度而言，如果网络中出现外连攻击威胁，则其风险其实要较外部的攻击威胁更大，从而更应引起相关安全人员的注意。