中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 資訊 > 文章精選 >
 首頁 > 資訊 > 文章精選 >

淺談網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)業(yè)的發(fā)展

--一花獨放不是春,百花齊放春滿園

2020-04-30 10:32:33   作者:   來源:CTI論壇   評論:0  點擊:


  安全態(tài)勢感知的概念已經(jīng)出現(xiàn)多年,被行業(yè)開始炒作是在4.19講話之后,這兩年被廣大的用戶熟知并接納。關(guān)于什么是安全態(tài)勢感知,NIST、Gart呢如何IDC都有定義?傮w來看都包含以下5個方面:風(fēng)險識別。安全檢測、取證溯源。威脅響應(yīng)以及各種安全態(tài)勢城市呈現(xiàn)和報表,如果按照字面的意思應(yīng)該再加上對未來安全態(tài)勢的預(yù)測,但這是后話了。
  隨著社會數(shù)字化轉(zhuǎn)型的深入,網(wǎng)絡(luò)攻擊事件日漸增多、破壞力逐步增強。國際上通用的安全方法論,正逐步從“針對威脅的安全防御”向“面向業(yè)務(wù)的安全治理”(IPDRR等)演進(jìn)。2014年美國NIST發(fā)布了CSF(Cybersecurity Framework,網(wǎng)絡(luò)安全框架)三大組成部分,IPDRR是其核心框架。
  企業(yè)網(wǎng)絡(luò)安全系統(tǒng)框架(參考IPDRR)
  IPDRR能力框架模型包括風(fēng)險識別(Identify)、安全防御(Protect)、安全檢測(Detect)、安全響應(yīng)(Response)和安全恢復(fù)(Recovery)五大能力,從以防護為核心的模型,轉(zhuǎn)向以檢測和業(yè)務(wù)連續(xù)性管理(韌性)的模型,變被動為主動,最終達(dá)成自適應(yīng)的安全能力。
  IPDRR模型體現(xiàn)了安全保障系統(tǒng)化的思想,管理與技術(shù)結(jié)合,充分利用當(dāng)前“主動縱深防御體系、網(wǎng)絡(luò)信任體系、動態(tài)安全自適應(yīng)體系”的長期積累,設(shè)法建立一個讓攻擊者“進(jìn)不來、看不見、搞不壞、走不脫”的體系,建立不利于攻擊方存活的環(huán)境,通過體系的力量扭轉(zhuǎn)攻防不對稱,從而有效保障系統(tǒng)核心業(yè)務(wù)的安全。整體的IPDRR也是安全態(tài)勢感知體系建立的基礎(chǔ)參考模型,通過動態(tài)的持續(xù)安全檢測來實現(xiàn)IPDR的閉環(huán)安全,為用戶提供完善的安全能力框架和支撐體系。
  安全態(tài)勢感知市場空間巨大
  需求日益增長
  具體到中國的安全態(tài)勢感知市場,相關(guān)咨詢機構(gòu)預(yù)計2021年將達(dá)到54億元左右。這個數(shù)字應(yīng)該包括跟安全態(tài)勢感知相關(guān)聯(lián)的產(chǎn)品及安全服務(wù),在國內(nèi)整體網(wǎng)絡(luò)安全市場中的占比在6%左右。打開全球市場來看,在國際通用的安全產(chǎn)品市場分類中是沒有安全態(tài)勢感知的,SIEM市場是最接近的分類。所以要看安全態(tài)勢感知的市場,我們可以從全球的SIEM市場說起。
  SIEM市場已經(jīng)存在了二十年,最初是從日志管理產(chǎn)品發(fā)展而來的,它結(jié)合了安全事件管理(SEM)和安全信息管理(SIM),可以實時分析事件和日志等數(shù)據(jù),提供威脅監(jiān)控,事件關(guān)聯(lián)和事件響應(yīng)。發(fā)展至今,SIEM產(chǎn)品越來越注重針對內(nèi)部和外部威脅的高級威脅檢測和響應(yīng)功能,尤其是新型的檢測方法和響應(yīng)方式。新型檢測方法指NTA(Network Traffic Analyzer,網(wǎng)絡(luò)流量分析器)、UEBA(User and Entity Behavior Analytics,用戶行為分析)及其他高級安全分析方法(如威脅情報和Deception等);響應(yīng)方式特指Gartner提出的SOAR。另外,大數(shù)據(jù)架構(gòu)已經(jīng)成為主流,這也使得新入局的SIEM廠商有機會利用成熟的大數(shù)據(jù)去構(gòu)建其底層架構(gòu),從而為快速趕上甚至超越傳統(tǒng)的廠商創(chuàng)造了有利條件。Gartner甚至把這種新型的SIEM系統(tǒng)取了一個時髦的名字“Modern SIEM”。另外我們也經(jīng)常聽到SOC(Security Operation Center,安全運營中心)這個概念,本質(zhì)上SOC不是一款單純的產(chǎn)品,而是一個復(fù)雜的體系,他既有產(chǎn)品,又有服務(wù),還有運營。SOC是技術(shù)、流程和人的有機結(jié)合,可以簡單看成是SIEM + 安全運營服務(wù)。
  從2005年開始,Gartner每年都會發(fā)布一份關(guān)于SIEM的報告,至今從未中斷過。有意思的是,Gartner的研究報告投入了大部分的精力在網(wǎng)絡(luò)與信息安全領(lǐng)域。而在所有涉及安全領(lǐng)域的報告中,跟 SIEM有關(guān)的文章占據(jù)了很大的篇幅,分析報告的數(shù)量比例遠(yuǎn)高于SIEM產(chǎn)品在安全市場的占比。盡管市場上有不少客戶部署SIEM失敗的案例,但客戶依然熱此不疲。足見市場背后的需求推動力大過了部署失敗的風(fēng)險。這從側(cè)面說明這是個有剛性需求但目前無法被很好滿足的市場。
  綜合分析Gartner 2019年SIEM MQ報告以及最新發(fā)布的Market Share報告,總結(jié)出下面幾個特點:
  1. 2019年全球SIEM市場總份額已經(jīng)超過30億美元,依然是雙雄爭霸的格局,且集中度更高。Splunk和IBM 2019年占比已達(dá)50%(2017年44%左右),同時在競爭力上也持續(xù)領(lǐng)先。Splunk強在平臺能力和應(yīng)用市場模式;IBM勝在功能更全,除了高級安全分析和響應(yīng)外、UEBA、NTA、脆弱性管理、風(fēng)險管理和Watson的AI一應(yīng)俱全。但這兩強在中國的市場份額并不大,除了價格因素外,本地化的服務(wù)和運營應(yīng)該是最主要原因;
  2. 客戶更加強調(diào)SIEM產(chǎn)品實時分析安全事件的能力,要支持攻擊和違規(guī)行為的早期檢測。單一的NTA和UEBA產(chǎn)品的市場客戶群體太小,它們多是面向一些有能力自建SOC的客戶(金融、OTT、大型企業(yè))。所以類似NTA、UEBA和威脅情報等技術(shù)不斷下沉,越來越多成為SIEM的一個基礎(chǔ)能力,未來我們單純?nèi)ブv述這些技術(shù),或者單純依靠這些技術(shù)的產(chǎn)品將不會再有大的增長,更多見到的是將這些技術(shù)與其它技術(shù)結(jié)合起來的產(chǎn)品和應(yīng)用。客戶更聚焦于結(jié)合這些技術(shù)有什么應(yīng)用場景,達(dá)到了什么安全效果?SIEM產(chǎn)品成為一個高級安全分析和響應(yīng)技術(shù)的全集,與國內(nèi)提出的態(tài)勢感知這個品類無限趨同;
  3. SIEM的供應(yīng)商格局不斷變化,云廠商開始涉足SIEM,帶來了云化的SaaS產(chǎn)品。同時擁有成熟的SIEM技術(shù)的供應(yīng)商也正在迅速更新其架構(gòu)并引入基于云的產(chǎn)品和服務(wù)模式。幾乎所有廠商都通過自研、收購或第三方的合作提供SOAR解決方案,持續(xù)增強調(diào)查能力和威脅的響應(yīng)能力;
  4. 客戶除了在購買SIEM產(chǎn)品外,也更加重視購買原廠的運維服務(wù)或第三方服務(wù)。購買服務(wù)主要是因為自身缺乏安全威脅分析和處理的資源(包括人力、流程和工具等),另外綜合的成本也是一個重要的考慮因素。這其實對MSS或MDR市場是一個極大的促進(jìn)。
  5. 綜上所述,筆者認(rèn)為,整體SIEM市場呈現(xiàn)良好的發(fā)展趨勢。近幾年市場實際規(guī);径急菺artner預(yù)計的市場規(guī)模要高,復(fù)合增長率也近20%。技術(shù)上不斷有新技術(shù)或模式引入,技術(shù)上的豐富和疊加是為了更快更準(zhǔn)的分析和響應(yīng),而不是利用不同安全產(chǎn)品拼湊組合。在實際市場表現(xiàn)方面,越來越多的客戶認(rèn)識到SIEM產(chǎn)品和服務(wù)并重的必要性,同時認(rèn)為建SOC有價值的客戶也日益增多。
  安全監(jiān)管與安全運營,不同?相同?
  SIEM市場的發(fā)展其實給國內(nèi)的安全態(tài)勢感知市場提供了參考,將更多的先進(jìn)的技術(shù)融入安全大數(shù)據(jù)平臺是未來安全態(tài)勢感知發(fā)展的一個方向,要有統(tǒng)一的平臺和豐富的技術(shù)手段及應(yīng)用才能滿足客戶的訴求。國內(nèi)安全態(tài)勢感知市場主要面向兩類場景:監(jiān)管類和安全運營類。從當(dāng)前需求量來看,監(jiān)管類市場是安全態(tài)勢感知的基本盤,是各廠商的必爭之地。安全運營類市場,大家各顯神通,努力爭取各種與SOC相關(guān)的建設(shè)機會。但筆者認(rèn)為,未來的大盤一定是安全運營類市場,包括基于云服務(wù)的安全運營,這其實也就是國際上通用的SIEM市場。具體每類場景的客戶需求可以參考相關(guān)的文章,這里不再贅述。結(jié)合近幾年與客戶交流的心得,講一些有意思的特點。
  監(jiān)管類場景往往有以下特點:
  1. 項目一般分階段建設(shè),不同的階段可能引入不同的廠商
  2. 多數(shù)場景都是多廠商檢測方案的組合
  3. 需要業(yè)務(wù)流程相關(guān)的應(yīng)用定制
  4. 安全服務(wù)資源缺失,需要廠家的服務(wù)支撐
  安全運營場景有以下特點:
  1. 一般都已有自建的SOC,不會推倒重新建設(shè)安全態(tài)勢感知系統(tǒng)
  2. 需要能力非常強的安全組件,比如沙箱、NTA、UEBA和威脅情報等獨立的產(chǎn)品
  3. 有能力自研結(jié)合業(yè)務(wù)的安全應(yīng)用
  4. 有自己的運維團隊,一般自運維,廠家提供技術(shù)支撐
  雖然這兩類場景有一些看似截然不同的需求,究其本質(zhì),還是能歸納出三個重要的共性:檢測要準(zhǔn)確;運維要簡便;應(yīng)用開發(fā)要快速靈活。不管是監(jiān)管類的引入不同的廠商,還是安全運營類需要能力強大的安全組件,主要都是為了增強檢測能力;無論是購買服務(wù)或自運維都希望運維能更簡單,運營更高效;不論是由廠商定制應(yīng)用或自研都希望能有一個好的平臺,能夠快速靈活的開發(fā),同時開發(fā)出來的各種應(yīng)用風(fēng)格和認(rèn)證能夠統(tǒng)一,不是簡單的應(yīng)用拼湊。
  基于自進(jìn)化AI的HiSec Insight
  智能防御的開放創(chuàng)新
  基于上述安全態(tài)勢感知的場景特點,華為在2020年4月21日發(fā)布了基于自進(jìn)化AI的HiSec Insight安全態(tài)勢感知系統(tǒng)。提出了“感知自進(jìn)化、運維自簡化、應(yīng)用自適應(yīng)”的三大理念。
  • 感知自進(jìn)化:業(yè)界首發(fā)自進(jìn)化AI檢測引擎威脅檢測精確率大于95%;
  • 運維自簡化:基于威脅知識圖譜+GNN的安全推理和威脅響應(yīng)引擎,運營成本降低30%;
  • 應(yīng)用自適應(yīng):全國產(chǎn)化開放式數(shù)字安全底座,像搭樂高積木一樣快速開發(fā)應(yīng)用。
  在整體架構(gòu)設(shè)計上,華為HiSec Insight基于分層解耦的原則,將系統(tǒng)劃分為四層,即:平臺服務(wù)層、數(shù)據(jù)服務(wù)層、分析服務(wù)層和安全應(yīng)用層。在每一層都可以將功能都抽象成獨立的微服務(wù),并提供給安全應(yīng)用層使用。同時HiSec Insight微服務(wù)架構(gòu)與華為云上的微服務(wù)架構(gòu)是同源的,因此安全應(yīng)用廠商可以便利借助華為云進(jìn)行開發(fā)和調(diào)測,快速無縫移植到與HiSec Insight安全態(tài)勢感知系統(tǒng)上。針對原有的安全應(yīng)用,HiSec Insight也提供了基于Restful、Syslog等標(biāo)準(zhǔn)的北向接口,進(jìn)行對接適配。具體的技術(shù)細(xì)節(jié)可參考《基于標(biāo)準(zhǔn)化微服務(wù)架構(gòu)加速安全應(yīng)用開發(fā)》。
  安全態(tài)勢感知產(chǎn)業(yè)的發(fā)展僅僅依靠每個廠商各自全棧能力的構(gòu)建,始終無法滿足客戶建立完整安全監(jiān)測中心或運營中心的訴求,所以常見客戶對新建或擴展這類系統(tǒng)孜孜不倦的追求。“一花獨放不是春,百花齊放春滿園”。華為通過HiSec Insight開放的軟硬件平臺,結(jié)合將AI和大數(shù)據(jù)技術(shù)應(yīng)用于安全檢測和運維領(lǐng)域的技術(shù)積累,打造完全開放創(chuàng)新的“數(shù)字安全底座”。希望攜手國內(nèi)在安全態(tài)勢感知應(yīng)用和檢測能力方面具備獨特能力的同行共建滿足客戶業(yè)務(wù)需求,服務(wù)好客戶的安全態(tài)勢感知系統(tǒng),促進(jìn)產(chǎn)業(yè)健康發(fā)展。
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題

CTI論壇會員企業(yè)