征文 | 杨博涵:浅谈全流量安全分析系统POC测试
☝戳链接了解本期征文详情
杨博涵
交通银行股份有限公司安全部门技术工程师,负责安全防护体系建设相关工作,CISSP。
近期由于所在公司的项目建设规划,一直在做网络全流量安全分析系统(以下简称全流量系统)的POC测试。恰巧在群里看到了“安在”新一期的征文主题,自认为可以与各位安全圈同仁分享一下测试感受和部分心得,同时也为甲方采购相关产品、乙方完善产品功能提供一些小的tips。
言归正传,首先阐述一下笔者对全流量系统的定位。在笔者的安全认知中,全流量系统与WAF、IPS等同属流量侧安全产品但定位存在差异:
一、WAF、IPS等系统要串行,投产难度大,全流量系统可旁路,投产难度小;
二、WAF、IPS等系统在自适应安全框架中主要划归防御象限,全流量系统划归检测象限;
三、WAF、IPS等系统归属传统安全,全流量系统是所谓的新一代技术产品;
四、WAF、IPS等系统基于规则与特征库,全流量系统增加了人工智能成分。
因此全流量系统是企业落实“态势感知”、“数据驱动安全”、“SOC”等概念时,最容易部署的一个产品,同时也是一个挖掘企业风险较为有效的途径。
全流量系统一般包含数据采集模块、数据存储模块、安全分析模块,共三个基本组成部分,但根据POC测试经验,建议甲方在计划采购全流量系统时,可要求乙方公司补充两个模块——文件沙箱和威胁情报模块,可以提高分析效果。目前主流厂商的全流量系统产品都包含这五个模块,但是整合能力存在差异(这一点可以从POC测试时硬件服务器的数量看出端倪)。
在POC测试前,建议完成如下几个准备工作,以便于提高测试效果:
一、在企业真实环境部署测试设备,提供真实的流量镜像数据给全流量系统,并运行测试设备3-5天,测试结束后消磁或格式化;
二、在全流量系统中完善企业的资产信息;
三、准备测试样本和pcap数据包,有条件的企业搭建攻击机和靶机;
四、请被测试公司罗列系统功能清单;
五、对于不方便测试的内容,请被测试公司准备相关文档,如压测报告,syslog日志文档,API接口文档等。
在POC测试过程中,重点关注几个内容:
一、基于企业3-5天的真实数据,全流量系统检测出了哪些风险;
二、流量协议的解析、还原、展示能力;
三、网络攻击威胁检测能力;
四、可视化呈现数据能力;
五、沙箱系统的文件检测能力;
六、威胁情报的置信度;
七、数据导出能力。
相关细节和功能点比较多,一时难以表述完整,同时为了规避描述笔者测试过的乙方产品,笔者以问题清单的模式描述测试细节,能基本满足这88个问题要求的乙方全流量系统才能算达到了及格水平,希望这88个问题能有助于乙方产品实现功能的完善。
甲方的同仁可以参考问题清单去测试相关产品,尽量使用攻击机、靶机模式测试(测试结果能把售前工程师测得怀疑人生),PCAP包测试次之,根据乙方产品的真实表现判定其能力水平。
注:本文为原创投稿,获1500元稿费,同时有机会角逐本期征文最终万元大奖。
三月主题:《数据安全面面观》
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?
十月主题:《攻防演练实务》
征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?安在征文,10月月奖是谁胜出?
十一月主题:《不会做规划,怎么做安全》
征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划征文 | 陈皓:年度安全规划–“我们不一样”征文 | 舒胤明:结构化分析,让5W2H贯穿信息安全规划全程
2020征文
六月主题:《红蓝对抗中的心理博弈》
征文 | 王振东:红蓝对抗中的心理博弈 ▼加入诸子云