您好、欢迎来到现金彩票网!
当前位置:手机棋牌游戏平台 > 威胁监控 >

一文读透等保20测评要求中的“威胁情报检测系统”

发布时间:2019-06-27 01:53 来源:未知 编辑:admin

  2019年5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。《信息安全技术 网络安全等级保护测评要求》中,首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。我们将分别从产品功能和技术要求的角度,介绍等保2.0中的威胁情报检测系统。

  威胁情报检测系统是一类网络安全基础设施,对网络流量和终端进行实时监控、分析,应用威胁情报,机器学习,沙箱等多种检测方法,发现隐藏在海量流量和终端日志中的可疑活动与安全威胁,帮助企业安全团队精准检测失陷(被控)主机,追溯攻击链,定位当前攻击阶段,防止攻击者进一步破坏系统或窃取数据。

  从系统架构上讲,威胁情报检测系统与传统的基于规则的检测系统相比,有很大变革,至少需要具备如下八个模块:

  一、全流量的日志、文件提取与报警pcap存储:对网络全流量进行协议还原,提取网络流量日志与流量中的文件,对所有报警和可疑网络行为保存pcap以供后续分析,并提供可视化能力对机器的网络行为进行深度分析;

  二、威胁情报检测模块:分钟级别同步最新的专业威胁情报数据,并用于实时流量检测,情报包不只包含基础的失陷指标IOC,还应包含黑客团伙情报信息;

  三、机器学习模型检测模块:应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测,如数据窃取行为、隧道通信行为、DGA域名等;

  四、恶意文件检测引擎模块:对流量中提取的文件应用本地的文件检测引擎,进行高效率的恶意文件识别;

  八、攻击链回溯分析模块:对所有发现的各类威胁告警可以按照攻击链进行关联,完整回溯攻击过程。

  传统边界防护设备在防御常见威胁上起到了重要作用,但不能防范所有的攻击行为,组织处于失陷状态已经成为企业安全管理人员的常识。而威胁情报检测系统的首要作用,就是基于威胁情报,补足传统边界防护设备在防御上缺失的环节, 在关键的“命令与控制”、“横向移动”和“行动数据窃取”等环节中发挥作用,快速检测出正在进行的威胁,并结合流量和终端监控,迅速、精准定位被控主机。

  威胁情报检测系统的核心能力是应用多种检测机制在出站的网络流量中发现访问远控服务器。检测机制包括应用远控类型的情报指标(IOC,Indicator of Compromise)、木马协议分析特征分析、恶意样本检测引擎、沙箱动态行为识别、基于深度学习算法的DGA检测和DNS隧道检测方法等多种方法。利用以上检测方法,不仅定位内部机器被控情况,也能够全阶段追踪网络威胁,及时发现网络内部的暴力猜解、横向移动、外连C&C等恶意行为,并检测出数据窃取、破坏系统和业务连续性、挖矿、劫持肉鸡等恶意行为。

  三、提供丰富的报警上下文,清晰展现内网关联威胁和黑客信息,指导安全分析团队快速分析和响应

  威胁情报检测系统能够清晰地归类威胁事件,并根据威胁情报提供丰富的威胁事件上下文信息,从而以攻击链的角度绘制出主机的行为地图,并通过可视化的方式将发现的失陷告警、关联主机、威胁类型、黑客组织等进行关联展示,呈现当前组织内的所有失陷情况及关联威胁。

  首先,要注重威胁情报的质量。威胁情报检测系统的关键在于引入威胁情报,对于威胁情报质量的评判,全球权威信息化咨询研究机构Gartner提出了覆盖度、可执行力、专业性、准确度、可扩展性五个维度。尤其是准确度,是威胁情报质量中最重要的因素。因此,在评判威胁情报系统之前,要先评判系统的威胁情报来源,尽量选择在威胁情报领域专业度高、产品被广泛部署的厂商。

  其次,做好POC测试验证。威胁情报检测系统归根结底是一项网络安全基础设施,一个合理且完备的测试验证流程应该包括数据集收集、测试、验证三个阶段。

  数据集收集是企业需要收集和整理待测试用的数据集,找到合适的流量镜像点,提供给各个威胁情报检测系统厂商开展测试。数据收集阶段企业应该根据自身安全需求来确定最终测试的网络区域,尽可能接近最终应用情报检测系统的网络区域。测试阶段需尽应用真实的网络流量,尽可能让竞测的厂商使用同一份网络流量横向对比测试结果。在验证阶段,需要对发现的报警进行及时的分析、取证以验证准确性。验证过程不仅包括取证确认报警确实存在,也需要对比各厂商产品提供的事件信息,丰富的上下文是后续使用系统并保证良好阴影效果的基础,最终通过各家的检出率、误报率、上下文丰富程度等几个维度的评估结果,来确定最终的威胁情报检测系统供应商。

  此外,选择一个具有丰富威胁情报检测系统落地案例的厂商,也是保证系统落地成功的重要因素。

  企业应当重视威胁情报,不仅仅因为等保2.0测评要求提出了新标准,更是因为威胁情报的重要性在全球化网络环境中正在越来越清晰地体现出来,“知己知彼,百战不殆”,此次等保2.0测评对于威胁情报的要求,正体现了国家对于建设网络安全环境的重视,像威胁情报这样的新技术在网络安全行业中的应用和普及已经成为必需,把握好威胁情报,对企业网络安全、社会网络安全和国家网络安全都有着重要意义。

  线上休假玩得也挺爽在安徽省合肥市明光路街道填海巷社区,青年志愿者正在为社区孩子们讲解绿色上网知识。 熊伟摄(人民图片) 在刚刚过去的“五一”假期里,很多网友通过朋友圈、微博、抖音等平台,发布视频、照片,即时分…【详细】

  网络“恶搞”要有底线近年来,网络上“恶搞”成风,引发一系列争议。恶搞经典革命歌曲,恶搞影视作品惹上版权官司……一些网民为何热衷恶搞?恶搞的底线又在哪里? “问渠哪得清如许?为有源头活水来”,纵观网上纷繁复杂的恶搞广告、视频、图片、段子,其目的无外乎…【详细】

  不怕骗术翻新 反诈同步更新核心阅读 一段时间以来,网络诈骗出现了新趋势、新招数,不少是紧跟新闻时事,诈骗手法也越发专业化、公司化。针对这样的变化,重庆警方与互联网企业及运营商、银行合作,形成反诈合力。借力网上举报平台,及时发现有诈骗嫌疑的账号,提前介入,…【详细】

http://lake-macquarie.com/weixiejiankong/307.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有