什么是态势感知:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness,CSA)”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
流量分析?日志分析?安全态势感知的建设模式该怎么选?
“态势感知”并不是一个新名词,最早是在军事领域被提出并应用,主要体现在对现有状态的感知理解以及对未来趋势的预警能力。而如今,伴随着网络安全问题重视程度日益提升,在网络领域升级为“网络安全态势感知“,旨在对网络环境中对能够引起网络安全态势发生变化的安全要素进行获取、分析、呈现并进行趋势的预测。
本文主要基于目前业界主流的两大安全态势感知系统安全要素获取维度, 进行综合对比分析,旨在为安全态势感知系统的建设寻找更适合的建设模式。
纵观业界安全态势感知平台建设模式,态势感知平台安全要素获取维度分为两个大类:流量分析和日志采集分析,同时再结合威胁情报、智能分析等技术实现对整网安全问题的分析、定位以及安全状态的可视化度量。而对于流量分析和日志分析两大维度的差异点以及可替代性分析如下:
一、 流量分析
本模式主要通过在网络的关键路径,如服务器区、核心区、出口区旁路部署探针设备(一般均为软硬件一体设备),对网络流量中的异常安全事件进行解析,包括攻击流量特征、威胁文件传输等,然后把结果实时同步到上端分析平台,进行深度关联分析及问题定位呈现。
- 优势:
不需要现网其他设备对接配合,可实现快速部署,可复制性强,且借助原始流量关键信息的还原、存储,可以提供更多的原始数据回溯支持,便于深度分析。
- 劣势:
不能整合现网已有网络组件的安全信息,包括已经部署的大量安全设备,分析能力受限于一家厂商的研发水平,不能集各家所长,同时对于需要日志强相关的分析模型无法建立,例如本地异常登录、NAT溯源等等,这些模型必须依靠日志的强支撑。
二、 日志分析
本模式主要通过采集现网网络组件的日志,包括安全设备、网络设备、服务器、中间件、甚至业务系统等,进行统一日志标准处理后,对安全问题进行关联分析。广义上说,其实所对接的安全设备等也属于平台的感知探针之一。
- 优势:
能充分整合全网安全相关信息,采集分析维度更全面,依据各安全设备的分析日志结果,可以集各家所长,不受限于一家厂商的分析能力。同时对日志的采集,也天然满足了网络安全法、等保日志审计的合规要求,这个是流量分析所不具备的。
- 劣势:
由于每个用户现场设备厂商、类型差异非常大,所以可采集到的信息不可控,分析模型的复制性受限,对接优化周期较长,同时对安全问题回溯,由于没有原始流量数据支撑,深度排查可能受限。
最合适的态势感知建设模式建议:
只有将“日志维度+流量维度”有效融合,同时结合威胁情报、智能分析的建设模式才是后续安全态势感知系统发展的方向。此模式可以很好地发挥日志分析全面性、异构性、合规性优势,同时配合流量分析维度,解决威胁深度分析、回溯支持、快速部署等问题。基于以上理念,锐捷网络在2016年推出了安全态势感知系统RG-BDS大数据安全平台。
以某实际用户案例为例,用户部署了基于流量分析的态势感知方案,通过探针流量分析确实发现下联单位存在勒索病毒异常主机,但下联单位都是通过NAT地址转换后接入,由于没有NAT日志的结合,异常主机无法溯源,问题无法得到有效闭环。
目前业界将日志和流量维度有效融合的方案还十分欠缺,大部分为日志和流量取其一,或者虽包含有两个维度,但仍然割裂状态,分属不同模块。锐捷安全态势感知方案早在上市时就已经完成了日志维度的全面分析,并于2018年将流量分析纳入安全态势感知产品体系,并开发上线了专业流量探针,真正将“日志+流量”两大维度有效融合,整合全网安全监测防护资源,进行更全面、更准确的安全分析。
三、 流量分析是否可以替代日志分析
有用户和厂商持有疑虑或观点:由于网络日志也是一种流量,因此流量探针也可以抓取到网络中的日志,从而可以替代日志分析。但如果真正落地的用户场景去深入分析,流量分析和日志分析是无法相互替代的,原因如下:
1. 虽然从协议层面,日志发送大部分采用SYSLOG非加密方式,通过流量探针理论上是可以解析出来所传输日志内容,但实际项目部署角度,所有的网络组件默认都是不往外发送日志的,只有配置日志外发功能后,才有日志的流量产生。因此直接配置将日志外发到分析平台最直接、最准确的方式,而通过配置日志外发后再用流量探针从流量中抓取出来,本身就是不合理的方式,同时还会带来原始日志还原度问题。
2. 即使通过流量探针抓取日志,由于日志产生源众多且高度分散,全网部署探针为了抓取日志,无论从建设成本和网络运维都不现实。
3. 网络中不是所有的日志,都是主动发送模式,例如很多业务日志、文件日志,是需要分析平台主动读取日志,所以通过流量探针无法读取到其日志数据。
另外需要强调的是,日志抓取并不是分析平台的核心技术,考验一个平台对日志的分析能力,最关键的是平台对各类型日志的解析能力以及综合关联分析能力。
综上所述,安全态势感知平台建设应有效融合“日志+流量”两大维度,相互发挥各自优势。实际应用中也可考虑采用分阶段建设模式,如先将日志维度纳入,在建设态势感知平台的同时满足等保、安全法合规需求,再分阶段纳入流量分析维度进行安全分析能力的进一步完善。
