全球最權(quán)威的IT研究機(jī)構(gòu)Gartner曾經(jīng)發(fā)表過一份題為《信息安全正在成為一個大數(shù)據(jù)分析問題》(Information Security Is Becoming a Big Data Analytics Problem)的報告，表示當(dāng)前真正的信息安全問題都需要由數(shù)據(jù)來解決，大數(shù)據(jù)的出現(xiàn)將對信息安全產(chǎn)生深遠(yuǎn)的影響。

眾所周知，通常情況下，企業(yè)會根據(jù)資產(chǎn)的重要性以及攻擊的危害性來制定安全防護(hù)策略。當(dāng)然前提是能夠檢測到黑客攻擊，并能夠收集攻擊行為、攻擊路徑等數(shù)據(jù)進(jìn)行詳細(xì)分析。因為態(tài)勢感知類產(chǎn)品能夠靈活地從龐大的工具堆棧中攝取、關(guān)聯(lián)和可視化數(shù)據(jù)，為此成為了安全溯源重要工具之一。

從態(tài)勢感知前世今生看數(shù)據(jù)的重要性

當(dāng)然，云服務(wù)器，從態(tài)勢感知的發(fā)展歷史我們也不難看出，數(shù)據(jù)在信息安全中扮演的重要角色。

1、第一階段：安全信息和事件管理（SIEM）

安全信息和事件管理產(chǎn)品及服務(wù)（SIEM），負(fù)責(zé)從大量企業(yè)安全控件、企業(yè)應(yīng)用和企業(yè)使用的其它軟件中收集安全日志數(shù)據(jù)，并進(jìn)行分析和報告。這一階段主要是整合了應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報，當(dāng)攻擊已經(jīng)侵入到系統(tǒng)中時能及時報警。嚴(yán)格意義上來講，還無法做到威脅態(tài)勢的感知。

2、第二階段：安全運營中心（SOC）

安全運營中心（SOC），采用集中管理方式統(tǒng)一管理相關(guān)安全產(chǎn)品，搜集所有安全信息，并通過對收集到各種安全事件進(jìn)行深層的分析、統(tǒng)計和關(guān)聯(lián)、及時反映被管理資產(chǎn)的安全基線，能夠為各類安全事件及時提供處理方法和建議。安全運營中心能夠集中管理相關(guān)安全產(chǎn)品，美國站群服務(wù)器，搜集所有安全信息，并對收集到信息進(jìn)行分析和處理，在一定程度上可以做到安全事件的預(yù)警。

3、第三階段：安全智能中心（SIC）態(tài)勢感知階段

隨著云計算與大數(shù)據(jù)的發(fā)展，安全智能中心（SIC）成為了企業(yè)級威脅態(tài)勢感知平臺。安全智能中心以大數(shù)據(jù)為技術(shù)支持，以企業(yè)的業(yè)務(wù)為核心，進(jìn)行實時的異常檢測，實現(xiàn)安全分析智能化與威脅可視化，并提供威脅情報共享、安全態(tài)勢感知和高級威脅偵測分析等服務(wù)。

從上述態(tài)勢感知的發(fā)展歷程可以清晰知道，不管是前期數(shù)據(jù)收集還是后期數(shù)據(jù)關(guān)聯(lián)分析及可視化展現(xiàn)，核心都是數(shù)據(jù)。高價值的數(shù)據(jù)是態(tài)勢感知類產(chǎn)品的命脈，也是其發(fā)揮溯源、預(yù)測等功能的基礎(chǔ)。

高價值數(shù)據(jù)源是檢驗態(tài)勢感知能力的重要標(biāo)準(zhǔn)

為能夠在攻擊鏈早期就檢測到真實的攻擊行為，那么態(tài)勢感知類產(chǎn)品就需要有效的高價值數(shù)據(jù)作為支撐。傳統(tǒng)態(tài)勢感知絕大多數(shù)屬于以事件為中心的網(wǎng)絡(luò)態(tài)勢感知，主要是通過對互聯(lián)網(wǎng)節(jié)點網(wǎng)絡(luò)流量進(jìn)行監(jiān)控探測，形成局部的威脅事件采集能力，這實際上是一種基于事件檢測維度的視角。但受限于威脅情報來源、數(shù)據(jù)分析能力和安全響應(yīng)能力，市場上很多態(tài)勢感知僅僅是通過一些安全可視化方法做了數(shù)據(jù)的圖像呈現(xiàn)。甚至很多人都認(rèn)為態(tài)勢感知就是大屏展示的“安全地圖”， 只用于直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，比如了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源等。這類態(tài)勢感知產(chǎn)品具有一定威脅展示的直觀性，但從感知深度、感知廣度和感知的有效覆蓋范圍來看，遠(yuǎn)未達(dá)到“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的要求。

僅僅依靠網(wǎng)絡(luò)側(cè)日志文件和數(shù)據(jù)還遠(yuǎn)遠(yuǎn)不夠。舉個簡單例子，發(fā)生在主機(jī)內(nèi)部密碼暴力破解和虛擬機(jī)內(nèi)部橫向移動等都是常見的黑客攻擊行為，但僅僅依靠網(wǎng)絡(luò)側(cè)流量，將很難發(fā)現(xiàn)這些攻擊行為。

高價值的主機(jī)側(cè)數(shù)據(jù)不可缺少

現(xiàn)有態(tài)勢感知缺乏主機(jī)相關(guān)信息，對于失陷主機(jī)的“態(tài)”及脆弱主機(jī)的“勢”無法精準(zhǔn)有效的呈現(xiàn)。而全方位感知網(wǎng)絡(luò)安全態(tài)勢，要求除了對基于網(wǎng)絡(luò)流量進(jìn)行威脅可視化呈現(xiàn)，還要求對全網(wǎng)主機(jī)及關(guān)鍵節(jié)點的綜合信息進(jìn)行網(wǎng)絡(luò)態(tài)勢監(jiān)控。

為此，針對現(xiàn)有態(tài)勢感知不足，青藤云安全提供獨有的主機(jī)層高價值數(shù)據(jù)，包括操作審計日志、進(jìn)程啟動日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。每一個進(jìn)程啟動過程都會被記錄下來，并且可以與網(wǎng)絡(luò)連接日志、DNS解析日志進(jìn)行關(guān)聯(lián)。這將助力安全人員快速精準(zhǔn)定位問題，徹底解決通過傳統(tǒng)日志進(jìn)行溯源時只能定位到哪臺機(jī)器被黑，但是無法定位到具體進(jìn)程的難題。

青藤在主機(jī)層面全面的、細(xì)粒度的數(shù)據(jù)，可通過syslog和API提供給用戶的態(tài)勢感知平臺，讓態(tài)勢感知類產(chǎn)品“功力大增”。