如何应对全面安全问题(一)

发布时间:2020-08-04 01:37:51 作者:布鲁斯丨高
来源:网络 阅读:7294


通过滑动标尺模型理解***、防御与叠加创新

当前,能力型安全厂商普遍互认的公共模型——滑动标尺模型将整个安全能力体系划分为五个阶段,分别是架构安全、被动防御、积极防御、威胁情报和进攻。

从架构安全的角度来看,其是一个自身强身健体的过程,主要是在安全的规划和建立过程中,充分地考虑安全,这也与总书记的“网络安全与信息化要同步建设”的三同步原则相对应。

从被动防御的角度来看,人们往往认为被动的就是不好的,但其实被动防御是一种非常基础的安全措施,比如,防火墙中添加的端口规则或者IP段的规则收窄了***者可能移动的灵活性;建立一些相应的基础日志来保证***者必须留下痕迹,虽然不足以用来暴露高能力的***者,但却是能够有效对抗高能力***者和落实后续安全策略的基础。

在此基础上,则包括了监测威胁、响应对抗、对威胁了解持续提升的上层积极防御手段。在此层次之上,才是威胁情报的积累,包括低阶的情报(比如,IOE的信标、哈希)和高阶威胁情报和高阶威胁情报

从国家的安全战略体系上来看,一定还要包括进攻这一部分,总书记在4.19座谈会上曾讲到“网络安全的本质在于对抗,对抗的本质在于***两端能力的较量”,进攻就是一种威慑能力。但从一个行业、体系或者安全产品体系的实践的角度来看,安全体系总体上是关联于架构安全、被动防御、积极防御和威胁情报的。

态势感知的价值和成本

我们认为这两者具有层面上的差异,同时存在着相互关联的部分。总体来看,有效防护贯穿于被动防御和积极防御等手段,实际上是用来应对架构安全层面上的缺陷,通过积极手段去弥补被动防御的不足,收窄被***面。而态势感知是一种上层建筑,是一种高价值的手段。那么在一定程度上,有效防护构成了态势感知的相关基础。

如何应对全面安全问题(一)

图 1 态势感知的价值与成本

以态势感知要求重构相关能力环节

态势感知与SIEM和SOC的最大差别是,态势感知的基础环节和探针应该是根据态势感知的要求重构的,而不是,现有的终端防护产品是一个杀毒软件,汇集上来的就是文件检测日志;现有的环节是一个IDS,汇集上来的就是包的检测日志。从我的角度来看,无论是流量侧、端点侧,还是分析侧,都是要根据态势感知的要求在端点、流量和分析能力上建立起一套符合态势感知要求的全要素采集能力。

 


推荐阅读:
  1. 一篇关于事件的全面描述的文章
  2. 如何应对全面安全问题(二)

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

态势感知 威胁检测 (一)

上一篇: css折叠样式(2)——定义样式表

下一篇:SSM整合(一):创建项目

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》