“善攻者,敌不知其所守;善守者,敌不知其所攻。”——《孙子・虚实篇》

在网络安全的攻防对抗中,攻击者往往占据主动地位,攻击者可以选择有利时机,采用各种技术或社交欺骗战术,掩盖自己的攻击行为、过程和目标,做到瞒天过海,攻其不备;而防守者则想方设法完善自己的防护体系,力图做到滴水不漏……

然而现实却是,在互联网和数字经济的浪潮下,业务数字化也在迅速发展,企业业务越来越复杂、多变,网络环境越来越开放、高效,且变化极快,数字资产成为了企业的核心资产……这一切都给企业安全带来了新的难题。例如:物理世界和虚拟世界之间的打通,线上和线下的界限的消失;固定的防御边界难以保持,企业面临各种利益驱动、蓄谋已久的攻击,因而难以防护;且攻击直接针对核心资产,风险巨大;而对工业控制系统,物联网的攻击和侵害,则不仅仅针对数字资产,而是可以直接作用到物理空间,对物理世界甚至人身造造成伤害……

在这种形势下,企业传统的基于可信边界的安全防护模式遇到越来越大的挑战:

1、边界防火墙/IPS无法提供数据中心内部的安全保护,并缺乏企业内部“东-西”向的安全防护功能。攻击者使用以诱骗方式(如:钓鱼邮件,鱼叉攻击,水坑攻击)越过企业边界防护,以内部安全薄弱的终端设备为跳板,横向移动,恶意软件可以通过内部网络快速感染其他主机,从内部非关键资产蔓延至企业关键资产(如,重要的服务器),导致严重安全损害。

2、由于业务敏捷性需求,企业数据中心加速向“服务交付”迁移,新业务通过预制备模板快速上线,虚拟机实时迁移,IP地址频繁改变,批量虚拟机按需随时开启等,基础设施的快速变化,导致安全策略无法适应安全需求的变化,使基于静态的安全保护方式无法满足“数字时代”数据中心的敏捷性要求。

3、企业对云架构的需求,快速向混合云,多云架构迁移,在物理机、虚拟机、私有云、公有云共存的状态下何实现统一安全管理也是企业面临的重大挑战。

显然,在这样的情况下,仅仅依靠防火墙、入侵检测、防病毒、WAF等单一的网络安全防护技术,已不能满足企业安全防护的需求;画地为牢式的网络安全体系,已经不能适应新型安全威胁的攻击,如:APT攻击,勒索病毒,未知威胁等。

穷则变,变则通。原有的基于可信边界的PDR安全模型已经不能满足当前安全威胁,数字化转型的要求,自适应安全架构应运而出。

自适应安全架构,是2014年Gartner针对高级别攻击和当时市场上的安全产品偏重防御和边界的问题,设计了一套安全架构,让人们从防御和应急响应的思路中解放出来,加强相应的监测和响应能力,以及持续的监控和分析,同时也引入了安全预警能力。2016年,自适应安全架构在全球范围内得到了广泛认可,在2016年的十大科技趋势中,自适应安全架构首次名列其中。这段时间就是自适应安全架构1.0时期。

2017年,Gartner自适应安全架构有了三点变化:加入了UEBA(用户和实体行为分析)相关内容,引入了大循环中的小循环体系,加入了合规和策略要求;自适应安全架构进入2.0时期。

2017年9月,Gartner颁布持续自适应风险与信任框架(CARTA),加入了认证体系;自适应安全架构从此进入3.0时期。

从这些发展过程可以看出,这四年来,自适应安全架构不断扩展内涵和外延,表现出了极大的生命力,无论是对安全建设方还是对安全厂商,都有很大的参考价值。安全建设方可以按此架构对整个组织的安全状况进行梳理,构建安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善安全态势,而安全厂商可以根据此架构来规划功能和产品,不断增强和加深自适应的各项安全要求。

传统安全的核心思想是防御和控制,就像是建设一座城墙,希望把攻击者阻挡在城墙外面,但是“你有张良计,我有过墙梯”,客户投入大量人力、物力建设的“万里长城”,在APT攻击眼里可能只是一道矮矮的篱笆墙。而且,在数字化时代,企业的业务要具备“敏捷性”——快速、灵活、弹性化是敏捷性的最根本的要求,与传统安全理念讲究的控制与防护是矛盾的,我们经常遇到的“安全不利于业务拓展,安全不利于生产效率”等说法就是这种矛盾的体现。自适应安全架构提出来的就是如何在保证安全的基础上,让企业拥抱数字商业机会:

1、持续高效的检测和响应是自适应安全架构的基础。

2、UEBA加入到自适应安全架构,安全从侧重威胁研究,加入了以“人和实体(终端,服务器设备等)”为中心的行为研究。

3、突出企业资产保护,进一步从与攻击防护相关的威胁检测和响应,到企业资产(数据,业务运营,安全运营)保护相关的检测和响应。

“无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”——《孙子・九变篇》

不论是洛克希德・马丁公司的KillChain,还是MITER的ATT&CK,都是一种从攻击者的角度来解析在攻击企业网络时所采用的策略、战术和技术。但是,对攻击者的了解和研究往往是滞后一步的,著名的勒索病毒,震网病毒都是在事后被研究、分析的。从一定意义上讲,对于攻击者的研究是踩着阵亡者的尸体一步一步走来的,代价巨大。

如果能在准确刻画企业业务系统运转过程中的各种要素,以及它们之间的联系,生成很多体现业务运营的内在特征指标,并且对这些指标进行持续的监控和分析,那么无论攻击者使用了什么漏洞、工具和方法,都会引起这些指标的变化,从而被检测出来。这时企业的安全就不再依赖于对手,而是取决于对自己业务的认知。这也是Gartner将自适应架构引入UEBA,以及把资产作为防护内环的重要因素之一。

全息风险势态感知系统(Onfire)被Gartner定义为“UEBA Driven DCAP“——从字面上理解,就是UEBA驱动的以数据为中心的审计和保护,这个定义体现Onfire的2个特性,一是,以保护企业数据为核心;二是,通过UEBA技术实现对数据的审计和保护。

Onfire通过对网络流量的长期持续采集,从网络原始数据(Meta Data)中,按照时间序列提取“用户,设备,应用,数据”四个维度的信息,实现对业务系统的刻画:

**用户维度:**Onfire采用用户账号信息(包括:邮件账号,HTTP登录账号,RADIUS登录账号)作为用户标识。Onfire也可以和企业LDAP集成获取用户账号信息,或者采用人工导入方式,导入“IP地址——用户名”对应关系,以此建立业务系统“用户”维度的信息。

**设备维度:**Onfire数据采集器(HoloFlow)可以采用多种方式获取用户使用的设备的MAC地址(例如:DHCP Snooping方式,SNMP或者ARP查询方式等),采用MAC地址作为用户使用的终端设备的标识。

**应用维度:**Onfire通过对协议解码,获取网络会话所使用的应用层协议,根据内置的应用服务数据库,标识用户所访问的应用。如:Web网站,邮件收发,云盘,音视频,IM等。

**文件维度:**Onfire系统可以还原采集器获取的网络流量中的文档文件(如:Word,Excel,PPT,PDF等),例如:邮件附件,HTTP,FTP,SMB上传/下载的文件,对文件内容进行扫描,并根据预定义的敏感信息规则判断文件的敏感级别,为不同敏感级别的文件打标签。以此构建客户业务系统数据维度的信息。

Onfire对上述4个维度进行画像,并将相关的4个维度信息关联,构建以用户和设备为基点的业务系统画像,形成对用户的全息立体刻画,刻画网络中抽象的IP所对应用户和设备,并刻画用户和实体(设备)通过网络访问应用的行为,以及传输文件的行为。

Onfire的全息立体刻画,可以支持任意维度的数据挖掘和追溯,如:从可疑应用维度追溯用户维度、设备维度、文件维度的行为;从敏感文件追溯用户维度、设备维度、应用维度等;或者从可疑用户维度追溯文件维度,应用维度;在“刻画”的基础上,利用UEBA,通过机器学习的方式“捕获”异常的用户和设备,从而定位威胁,即,通过对用户和实体的行为的刻画,以时间轴为基准,采用机器学习技术,对用户和设备行为建立基线,实现多个场景的异常行为发现和告警。最终在攻击者获取数据之前阻止入侵。

全息网御科技有限公司从2018年正式进入公司化运营以来,在电信运营商,金融,能源,制造等行业推进以Onfire为核心的安全风险势态感知系统,在数据资产追溯,企业敏感信息合规审计,企业行为审计,高风险应用审计等领域为用户带来了切实的收益。

关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率

自适应安全:知己重于知彼相关推荐

  1. 学术不端网查重靠谱吗_毕业论文查重把知网上的英文文章翻译成中文可以吗

    据说CNKI中国知网5.0就已经添加了中英文互译检测.简单百度一下发现学术不端网有关于:知网查重能否查英文论文呢?英语论文翻译过来查重能过吗?等等这样关于知网查重系统和英文文献的问题有很多.我现在用的 ...

  2. ReID:无监督及领域自适应的目标重识别概述

    无监督(unsupervised)及领域自适应(domain adaptive)的目标重识别是目标重识别领域中两个重要的研究方向,同时二者又关系密切.本文中部分配图和内容参考葛艺潇:无监督及领域自适应 ...

  3. 网格自适应_Abaqus网格重划自适应技术

           " 啰嗦一点,详细讲解Abaqus的几种自适应技术" 之前说过,这篇文章会分多次推送完成.既然上一篇文章我们尝试了ALE自适应网格技术,发现不适用于这个锻造分析案例, ...

  4. Paper系列的查重和知网维普的查重对比

    现在很多同学在最终定稿前,都会在网上进行查重,而近几年也是出现了多种多样的查重网站,这些网站真的是鱼龙混杂. 最主要的一点就是,这些查重网站的查重引擎都是不一样的! 先来一张我在paperok查重的图 ...

  5. 论文查重工具知多少?

    查重工具有paperYY.paperok.paperpass.格子达等. 这部分工具基本上都有免费一次的机会.

  6. 为什么vs数据库中文显示问号_本科论文知网不收录为什么会被知网查重到?

    在我们写本科毕业论文之际,很多同学都会借鉴一些参考文献.其中就包括往届师兄师姐的学位毕业论文,参考的最多.随之而来的问题也会很多.学校要进行知网查重,很多同学都会先把一些前辈的论文在知网上检索一遍,发 ...

  7. 毕业论文知网查重之应对办法

    现在的技术先进了毕业论文都要进行查重,防止论文抄袭.这本是件好事,不过对于学生来讲是比较难受的.下面讲一讲我本人的经验和一些观点.供借鉴. 一.知网查重 是知网搞的牛B系统,分为TMLC,PMLC,V ...

  8. 知网、万方paperfree 查重的区别

    中国的知网检测范围广,查重准确率高,所以大部分学校和期刊对查重都采用中国的知网.而中国的知网并不对个人客户开放,只对有资质的科研院所及学校开放,所以个人无法通过知网做查重.市场上的知网查重属于中间商, ...

  9. 知网开放个人查重服务!

    知网 转自:机器之心 不过,对于 2022 届的毕业生来说,知网的这一决定来得似乎晚了一点. 一年一度的毕业季要结束了,论文答辩也早已提上日程,在这之前你的论文查重了吗? 毕业论文是普通中等专业学校. ...

最新文章

  1. 为放大器模拟输入模块提供可靠的输入过电压保护
  2. linux下查看监听port相应的进程
  3. js array 对象
  4. JavaScript的Cookie操作
  5. 关于论文检索的几点知识
  6. lucene索引的删除和更新
  7. 多线程 - 你知道线程栈吗
  8. linux用while循环输出1到10,Linux Shell系列教程之(十一)Shell while循环 | Linux大学...
  9. Learn day4 函数参数\变量\闭包\递归
  10. 干货 | 这是一份你急需的数据分析的职业规划
  11. js获取浏览器内各种高度宽度总结
  12. 2022 华东师范大学 数据学院复试机考
  13. c语言程序填空 功能:输出结果为:,C语言程序填空题
  14. 微信小程序 使用canvas画圆形倒计时动画
  15. 小程序底部兼容iphoneX
  16. 面试题目:2个鸡蛋100层楼问题
  17. leaflet使用L.KML.js插件上传本地kml文件到leaflet中
  18. gentoo virtual couldnt download
  19. Unity游戏制作问题整理(1)--添加按钮声音
  20. Android Q 10.1 KeyMaster源码分析(二) - 各家方案的实现

热门文章

  1. php程序员好找对象吗,程序员找对象那么难吗
  2. [HEOI2014]人人尽说江南好 博弈论
  3. 汉字,字符和细粒度子字符组成的联合嵌入
  4. jquery数组的遍历
  5. 软文发布实用技巧:软文发布常见的四种形式
  6. python制作音乐相册_装逼篇 | 抖音超火的九宫格视频是如何生成的,Python 告诉你答案...
  7. Glide加载自签名的https图片
  8. 西安电子科技大学-数据结构大作业-TSP问题
  9. a标签中onclick事件的用法
  10. tfidf和word2vec构建文本词向量并做文本聚类