即将翻篇的2020年对于网络安全乃至整个世界来说都是艰难的一年,但2021年,企业和政府面对的网络安全威胁将更加难以防御,网络安全呈现如下五大趋势:
- 勒索软件攻击更加猖獗。Cybersecurity Ventures预计,到2021年,企业将每11秒遭受一次勒索软件攻击。
- 到2021年,网络犯罪造成的损失预计每年将达到6万亿美元。
- APT和国家黑客攻击范围和影响力持续扩大,供应链安全威胁等级上升。近日APT组织接连攻陷FireEye和美国商务部等重要企业和政府机构,新型APT和供应链攻击已经对全球企业和政府构成重大威胁。
- 2021年网络安全市场规模将超过1万亿美元。
- 2021年70%的加密货币将用于网络犯罪。
其实无论是网络犯罪(勒索软件)的组织化、规模化,APT攻击的复杂化和商业化,还是不断累积的供应链安全风险,都是传统网络安全防御失效的必然症状,同时也意味着越来越多的企业开始重视网络安全态势感知能力的建设,以应对复杂化、规模化和定制化的网络攻击趋势。
在我国,经过近十年的认知和摸索,网络安全态势感知建设已经被提升到战略高度,众多行业及大型企业用户都开始倡导、建设和积极应用态势感知系统,以应对网络空间安全的严峻挑战。
从工具到方案,从展示到运营,态势感知亟待突破应用瓶颈
然而,在态势感知系统的实际应用中,受限于对态势感知理解、数据采集融合能力、服务保障人员等因素影响,很多企业在巨大投入之后发现,态势感知仅仅成为展示汇报的工具,缺乏有效运营,应用效果与期望有很大的差距,没有真正解决安全问题。
为了进一步让国内用户了解态势感知技术及方案,帮助组织和企业更好地部署应用态势感知平台,安全牛实际走访调研了多家已经建设应用态势感知平台的甲方用户的信息安全管理者,并征集邀请了安恒信息、H3C(新华三)、绿盟科技、奇安信、深信服、亚信科技(以上收录企业按首字母序排列,不代表相关能力排名)等六家态势感知技术领域代表性厂商,分析研究其近年来成功实施的典型态势感知应用案例,撰写发布本次《网络安全态势感知应用指南》报告。
本次调研中,11家已经建设应用了态势感知平台的用户(4家行业类用户、7家商业企业用户)开展了一次微型调研,覆盖银行、保险、汽车、电子等行业,调研对象均是该企业一线的信息化负责人,分别从购买原因、选型因素、使用体验几个方面进行调研,聚焦态势感知市场的四大议题:甲方痛点、选型要素、甲方反馈与建议。报告最后还给出了CISO/CSO的态势感知建设与应用十大建议。
01、部署产品的直接原因(痛点)
在回答部署态势感知的主要原因时(可多选),有5位用户选择了“行政、政策类要求”;5位用户选择了“领导层对于网络安全有提升的要求”;3位用户选择了“企业面临了当前传统安全手段无法解决的问题”、“企业信息化战略”;2位用户选择了“使用国家资金时,国家支持有倾向”、“行业都部署了类似的产品”。
安全牛评:用户选购的直接原因很大程度来源于国家资金支持、行政类要求、领导层意志等高层的支持,最多的是“行政类原因”,这也与态势感知建设正在成为国家、企业信息安全战略部署的定位相吻合。
02、选型的重要因素
在考虑选型的重要因素时(可多选),7位用户选择了“实施与服务”和“技术优势”,5位用户选择了“品牌”,2位用户选择了“价格因素”,1位用户提出了“考虑与现有产品的兼容性”。
调研数据显示,企业用户在实际选型态势感知方案时,考虑最多的还是“实施与服务”和“技术优势”,其次是“品牌”因素,而“价格”因素并未成为目前企业用户优先考虑的因素。
安全牛评:目前,态势感知产品市场尚未成熟,还存在鱼龙混杂的情况,不同厂商对态势感知的理解和功能定位还有较大偏差。所以,企业用户在依靠品牌、口碑因素进行方案选型参考的同时,更需要实际验证厂商的技术实力和售后服务水平。过早进入恶意价格竞争的阶段,不利于态势感知平台的进一步完善与发展。
03、使用后的体验
在使用体验方面,用户体验分为认可和不认可两类,10位用户认为在部署和使用态势感知产品后,该产品是有价值的,1位用户认为无价值。
认可的用户提供了以下应用感受
态势感知项目建设超出了预期设想,能够把团队安全管理的想法更好地落实,技术数据的整理汇总,更有助于之后安全分析研究工作开展;
通过态势感知平台的流量分析技术,结合威胁情报、行为分析建模、失陷主机检测、机器学习、大数据关联分析、可视化等技术,对全网流量实现威胁可视化、攻击与可疑流量可视化等有不错效果,实际帮助了我们在高级威胁入侵之后,损失发生之前及时发现威胁;
态势感知平台建设在一定程度上解决了之前的安全运营问题,帮助了我们从整体宏观的角度去分析安全问题,但目前还涉及较大程度的定制化,相关分析的要求也正在进一步细化中;
通过应用态势感知平台,实现了管理能力、威胁感知能力和报告能力的提升,也提高了便捷性灵活性;
降低运维成本、省却大量查看日志的时间,更快发现安全事件以及安全隐患,自定义的告警以及DAG可以更贴近真实业务场景。
不认可的用户则指出了如下原因:
- 现阶段建设的态势感知平台,存在数据采集质量不高的问题;
- 从较少探针收集到的资产和日志信息,难以进行全方位的威胁评估,对我们企业实际安全能力的提升不明显;
- 系统的自动化能力不足,在一定程度上还增加了我们日常运维工作量和难度,针对具体业务控制系统的联动触发也不完善,仍然需要人工进行干预。
04、最需要的态势感知能力
在问及产品有用功能时,用户认为:数据采集、分析、检测、追溯、响应能力、日志统一收集、算法模型代替人员排查日志、展示呈现量化安全效果的能力是态势感知在部署应用后最有价值的功能点。
态势感知建设与应用十大建议
调研过程中,上述参与调研的企业网络安全管理者也给出了一些态势感知平台的应用建议,我们收集整理了十条建议供参考:
- 运营对态势感知平台的价值发挥来讲尤为重要,因此,企业在建设前期需要综合考虑厂商的品牌、口碑和技术能力,尤其是厂商售后技术支持服务能力,后期应充分发挥厂商远程支持和驻场服务的作用;
- 数据采集探针数量不足,数据采集探针的部署位置不准确,将会导致很多网络流量采集不到,需要在前期规划时给予足够重视;
- 通用性强的态势感知产品不一定适用于实际的管理需要;
- 对服务商的全流量分析能力可以重点关注下;
- 态势感知平台的机器学习和大数据分析能力非常有价值,专业的安全分析师难得但是非常必要;
- 前期应投入足够的资源进行模型规则的梳理整合,磨刀不误砍柴工;
- 要做好日志规范,做好日志数据及相应的授权规则;消除日志误报干扰,呈现的大屏数据才是准确有效的;
- 前期需要做好充分的测试与对接,尤其是对于国外安全品牌,以及公有云的对接,必须要充分测试。同时需要考虑主链路的流量来选型,避免性能跟不上;
- 分阶段进行实施,不要一下子接入所有设备,应该循序渐进;
- 产品的成熟度及灵活性很重要;产品的设计理念很重要;利用人工智能和行为分析能力与业务场景相结合。
《2020网络安全态势感知应用指南》现已在安全牛商城上架,获取完整版本报告,请点击识别下方二维码:
