查看原文
其他

安全叨客 | 520“嗑CP”,不妨看看这些

安全叨客 奇安信集团 2023-06-20



第 23 叨

在古今中外的文学作品中,爱情与CP总是成为读者关注的焦点。


比如中国古代神话爱情故事故事中的梁山伯与祝英台、金庸笔下的神仙眷侣杨过与小龙女、莎士比亚戏剧中罗密欧与朱丽叶的凄惨爱情…… 


除了人与人之外,网络安全产品也是具有明显CP属性的。 


或许绝大多数用户已经习惯了,某些产品或者功能模块总是成对出现,相互之间功能互补、配合默契,可以明显发挥出“1+1>2”的效果,甚至于有不少用户对于任意一方单独出现而感觉到非常奇怪。 


恰在今年,RSAC将“Strong Together”作为大会主题,不仅强调了人与人、组织与组织需要在一起,安全产品也应当更加紧密的结合,可谓是进一步鼓励了安全产品之间搞CP。 


细细数来,安全产品CP还真不少。


01

防火墙&VPN:陪伴是最长情的告白

自上世纪70年代以来,互联网技术取得了飞速的发展。出于安全性和保密性的考虑,人们迫切需要对一些不受控的访问行为进行限制


于是防火墙的雏形产生了,在实验室里,它能够实现简单的网络过滤功能。


在经过一系列的技术演变之后,1994年,CheckPoint创始人吉尔·舍伍德正式带来了世界上第一款可商用的防火墙,奠定了几十年来防火墙在网络安全产品中不可动摇的老大地位。

与防火墙相比,VPN的出现要略微晚一些,但同样与互联网的发展有着紧密的关系。


上世纪九十年代,全球化趋势使得大量企业出现了各地甚至跨国分支机构网络互联的需求,但运营商提供的专线租赁的模式不仅价格昂贵,在安全性方面也没有加密传输的保证。


VPN的出现解决了这样一个难题,它通过在各个机构之间建立一个虚拟专用的加密通信隧道,在大幅提升组网效率的同时,相对保证了访问的安全性。


随着防火墙的广泛应用,VPN的需求也越来越多:当身处外网的用户想要访问内部网络时,就会被防火墙阻断,此时不得不通过VPN来达到访问内网的目的。


正因如此,防火墙和VPN的命运被紧紧捆绑在了一起,一个负责堵,一个负责疏,共同守护组织的网络边界,形影不离。

2004年9月,IDC首次提出了统一威胁管理UTM概念,将防火墙、VPN、邮件过滤等边界安全能力整合到了一起,防火墙与VPN从此结束了“爱情长跑”,彻底走在了一起,几十年如一日。


时至今日,尽管VPN的地位受到了诸如SD-WAN等新技术的挑战,但防火墙和VPN依旧相互陪伴在一起。各类性能强大的防火墙,依然将VPN视作标配。


例如奇安信新一代智慧防火墙,基于第四代高性能SecOS操作系统(鲲鹏平台),完美整合了传统防火墙、VPN、防病毒、防漏洞利用等,可在大流量、复杂场景、多安全功能开启的情况下保持高性能,为客户提供灵活组网、精细化访问控制、高效威胁检测等功能,连续三年在有着“中国含金量最高的防火墙测试”之称的中国移动防火墙集采测试中脱颖而出,并多次入围中国移动、中国联通等大型客户的防火墙集采项目。


02

EPP&EDR:你若不离不弃,我必生死相依

EPP是终端安全保护平台,EDR是终端检测与响应平台,二者本是不同时代的产物,却因同一块阵地而走在了一起


最初的终端安全没有什么花里胡哨的概念,有的只是一个单纯的防病毒软件。那时,杀毒就是终端安全的全部。


很快,随着组织终端、应用数量的不断攀升,单纯的反病毒已经不能满足终端安全需要了,于是安全厂商把终端相关的反病毒、设备管理、应用管理、漏洞和补丁管理等等功能进行了整合,为客户提供更强大的终端安全保护能力。

EPP应运而生,直到现在EPP也一直是保护组织终端的主力产品。


但EPP并非没有缺陷。黑客的攻击手段是会不断变化的,免杀、白利用、逃逸、无文件攻击等等技术层出不穷,这让依靠静态规则匹配的EPP防病毒模块难以招架。


2013年7月,Gartner分析师首次提出了EDR的概念,强调基于终端大数据同时结合外部情报进行分析检测,完成对可疑攻击行为的发现、响应和溯源


由于在应对未知攻击方面的独到优势,EDR一经问世就受到热捧,再加上各大安全厂商、分析机构以及媒体的炒作,一度出现了EDR要取代EPP的论调。


但明眼人都知道,威胁发现仅仅是终端安全的一部分,EDR看上去光鲜亮丽,但背后的设备管理、漏洞管理等脏活累活,还得靠EPP去打理

所幸的是,EDR并没有迷失在众星捧月的高光里,也没有嫌弃看起来已经不再时尚的EPP,而是不离不弃,为终端安全添砖加瓦。


久而久之,EPP和EDR就被整合在了一起,过上了“持证上岗”的生活。


奇安信天擎基于“体系化防御、数字化运营”的思想,全面整合了EDR、EPP等技术,能够为客户提供横跨Windows、Linux、MacOS、移动平台的一体化终端安全能力,全面覆盖病毒防护、高级威胁检测与响应、调查溯源、资产管理以及补丁管理等,帮助客户构建全覆盖、全统一、全协同的一体化终端安全体系;同时依托多元的基础数据、丰富的运营知识、统一的运营平台,保障终端安全效果。

IDC报告显示,奇安信天擎已连续五年位居国内终端安全软件市场首位。


03

NDR&蜜罐:两情若是久长时,又岂在朝朝暮暮

作为EDR的同门师兄弟,网络检测与响应技术NDR正式面世的时间要稍晚一些。


同样是在2013年,Gartner分析师针对网络侧也提出了一个新概念网络流量分析NTA检测网络流量中隐藏的异常行为和威胁,弥补过去入侵检测系统IDS的不足


但NTA依然存在很多问题:误报数量依然居高不下,并且没能解决发现威胁后的响应处置问题,因此不得不依靠人工处置。


所以,安全厂商们开展了对NTA类型产品的改进,比如引入机器学习、威胁情报,提升检测准确率;引入设备联动能力,在发现威胁后,调用其他设备对威胁进行阻断


与EDR类比,大家开始习惯将此类方案称为NDR


直到2020年,Gartner正式将原NTA方案重新命名为NDR方案,并于6月11日发布了首份NDR市场指南,NDR也正式面世。

与NDR相比,蜜罐出现的时间要早得多。 


1988年,Clifford Stoll博士在论文中描述了蜜罐的构想:设置陷阱引诱攻击者,记录攻击者的痕迹,延误入侵的脚步,同时保护真实目标


然而在接下来的十多年里,蜜罐技术也只是作为一种理想存在。


直到2000年前后,蜜罐产品才从开发者的手中诞生,能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应。


蜜罐的商用使得IDS有了最佳伴侣:前者主动出击,后者则严阵以待。并且,蜜罐不像IDS对所有可疑行为都很敏感,它的属性就决定了只有攻击者才会触发蜜罐。


所以,蜜罐基本上没什么误报


听起来一切都很美好,但从蜜罐出生那一刻起,供应商们就一直在解决两个问题:


一是仿真性问题,“一眼假”的陷阱无法欺骗攻击者;

二是安全性问题,决不能让攻击者利用蜜罐为跳板,渗透到真实的业务系统中。

出于这两方面的考虑,蜜罐的应用一直受到很大的限制,无论是最早的IDS、还是后来的NTA、NDR,尽管互相爱慕,却始终没能走在一起。


不过好事多磨,技术的发展也不是一朝一夕的事情。


好在奇安信天眼解决了这个问题。


在流量检测与响应方面,奇安信天眼基于多个威胁检测引擎,可以精准发现网络流量中的攻击行为;利用本地大数据平台对全量数据进行查询,结合威胁情报和攻击链分析对事件进行分析、研判和回溯。


另一方面,天眼可与奇安信攻击诱捕系统(蜜罐)进行完美联动。借助天眼的全流量分析能力,蜜罐能够快速构建符合真实业务逻辑的“陷阱”,将攻击流量主动牵引至蜜罐中隔离起来,使攻击者相信已初步取得部分目标的控制权,并且不能横向渗透进正常系统中。最终,蜜罐产生的威胁告警会发送至天眼分析平台中进行统一的告警管理。


04

SIEM&SOAR:一见倾心

SIEM诞生于2005年,同样是由Gartner分析师提出的概念,中文全称是安全信息和事件管理。


从字面意义上来理解,SIEM的初衷或许很简单,就是把系统中发生的和网络安全相关的信息和事件收集起来进行统一管理


不过随着网络空间的攻防对抗越来越激烈,几乎所有的网络安全产品都会收到一份灵魂拷问:你能检测到网络攻击吗?


所以这十多年来,攻防对抗逐渐发展成为SIEM的核心,Gartner更是在2016年直言攻防检测将成为推动SIEM发展的核心驱动力。

于是安全厂商不断将各类检测能力整合进SIEM,如关联分析、威胁情报、用户实体行为分析……

但问题出现了。由于SIEM强大的数据整合能力,海量日志、数据汇集于此,从而产生了过量的告警,远远超出了人工可以处置的范围。

用户迫切需要一种方法能够对海量告警进行初筛,就像医院的分诊台。普通的安全事件可以按照既定的“剧本”,自动化完成响应处置流程,而分析师只需要关注那些系统无法判定的高级威胁。

SOAR的出现使这个问题迎刃而解。


2017年,Gartner提出了现如今广为接受的SOAR的概念,即安全编排、自动化与响应,其核心目标是为安全运营人员提供机器辅助和自动化,以提升他们的工作效率,而这种自动化是通过对流程的编排(即剧本)来实现的。


很快,在Gartner的一手“撮合”下,SOAR和SIEM可以说是“一见钟情”。 


Gartner在 SIEM的最新定义中特别强调了SIEM应当基于SOAR的响应集成,并且将SOAR视作为SIEM产品的一个重要功能。 


目前来看,SIEM和 SOAR结合方式主要包括两种:


其一是SIEM产品中内置一个附加的SOAR模块;

其二是将SIEM和SOAR打包成一个套件进行联动部署。

比如,奇安信态势感知与安全运营平台NGSOC(核心平台是SIEM)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,能够为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。


在SOAR方面,奇安信SOAR可以与奇安信NGSOC或者第三方SIEM平台进行很好的联动,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将团队、工具和流程高度协同起来,从而将来自SIEM平台的告警处置效率提升十倍以上。


05

番外篇:除了CP还有什么?

有专情的,自然也少不了“滥情”的,也就是俗称的“海王”。


首先被想到的应该就是威胁情报


威胁情报技术发展至今,已经成为提升所有安全设备检测效率和准确率的核心手段之一。因此威胁情报不仅仅是见一个爱一个,也是人见人爱的“俊男靓女”。在前文所述的CP中,或多或少都有威胁情报出现的影子。

奇安信威胁情报检测引擎依托奇安信威胁情报中心多年技术积累、海量的文件信誉库和IP情报库,支持细粒度的规则设置,具备微秒级威胁情报查询能力,检测准确率可达99.9%。

为解决奇安信大客户的威胁情报应用痛点,奇安信对外发布了一站式本地化威胁情报运营系统(简称TIOS)。TIOS整合了多个威胁情报组件,融合了奇安信全面独有的数据视野,结合威胁图谱分析的关联视图展示,实现威胁情报数据接入、生产、处理、运营与消费的闭环建设。

另外一个则是奇安信的“关门弟子”——流量解密编排器

尽管它相对陌生,但受欢迎程度却丝毫不亚于威胁情报,无论是防火墙、WAF、IDS还是NTA、NDR,都向其抛出了橄榄枝。流量解密编排器堪称“万能CP”的不二人选。


这主要是由于为了应对加密流量的威胁,所有处理网络流量相关的安全设备都需具备解密能力。在同时串联部署多个安全设备的情况下,由于解密能力参差不齐,导致流量处理效率极其低下。


奇安信发布的国内首款流量解密编排器则重点解决了这个问题:在流量解密方面,通过搭载硬件加速卡,并配合自研的异步调用技术,理论上可以将SSL解密性能提升10倍以上;在流量编排方面,奇安信首创了智能化服务链编排技术,能够将明文报文分发至服务链上的各个安全设备,从而实现“一台设备成功解密,多台设备成果共享”,大幅提升了加解密效率。


作者简介

本期叨主:魏开元安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭。

分享

收藏

点赞

在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存