前兩天一直在做ISC2017演講的slide,現在終於能騰出手來回答一下了。
首先先說,這些概念並不是什麽新鮮的技術,很多都是很老很老的技術了,只是現在安全行業的大背景正在由技術驅動向數據驅動遷移才火起來的,我們一個一個來說。
入侵檢測——其實就跟名字一樣,用來檢測入侵者的裝置/系統,說官話叫做透過對行為、安全日誌或審計數據或其它網路上可以獲得的資訊進行操作,檢測到對系統的闖入或闖入的企圖,用大白話講就是誰在搞我我立刻就能發現防止我長時間被搞然後我還人家數錢,入侵檢測其實真的不是一門新鮮技術,1980年就已經有相關的論文用來說明入侵檢測系統的雛形了(94年出生的表示這貨比我年紀都大)。入侵檢測系統其實常見的只有三種:
基於主機的入侵檢測系統HIDS,也就是在主機上裝一個Agent,然後透過Agent監視系統的狀態和各種行程,其實阿裏雲的安騎士就是個Agent,至於Agent和私密的問題,個人認為Agent是個好東西,至於其他人怎麽看就是你們的事情了。
基於網路的入侵檢測系統NIDS,透過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的資訊,再透過與已知攻擊特征相匹配或與正常網路行為原型相比較來辨識攻擊事件。此類檢測系統不依賴作業系統作為檢測資源,可套用於不同的作業系統平台;配置簡單,不需要任何特殊的審計和登入機制;可檢測協定攻擊、特定環境的攻擊等多種攻擊。但它只能監視經過本網段的活動,無法得到主機系統的即時狀態,精確度較差。
—————————————————————
補上@劉文懋老師的指正
透明部署可以捕獲所有網段的通訊,甚至包括沒有ip的二層封包,nids捕獲的封包跟網段沒關系,只跟拓撲和流量路徑有關。
—————————————————————
第三種就是分布式IDS,也就是主機上才用HIDS+網路上才用NIDS,你懂得。大型互聯網公司和大型企業都在用這種東西,優點是好東西,真是好東西,缺點是太tmd貴了。
TDA——威脅發現裝置,這東西是趨勢提出來的,個人覺得就是個高配的IDS,主要的作用是用來檢測APT這種高級威脅攻擊的,但是話說回來,個人認為還是FireEye的APT檢測解決方案做的不錯,其他的,都tm是抄的,註意,我說的都是所有,不管說什麽自主研發還是什麽其他的。TDA這種東西誕生的大背景是雲端運算和大數據的興起以及高級威脅事件的被發覺和泛濫,至於為啥你懂得。
APT——高級持續威脅,首先說明一點APT≠高級威脅,APT的全寫是高級持續威脅,舉個簡單的例子,滲透測試其實就是一種高級威脅,但是滲透測試不具備高持續性,一般完了就完了,不會有後遺癥,但是APT就不一樣了,一旦發現,你有可能被搞了好幾年了,所以是不是高級威脅,取決於危害性和攻擊鏈復雜度(ISC上我會給大家說明高級威脅和APT之間的關系和什麽是高級威脅),APT這個詞火起來還是因為x蓮花事件,你懂得。但是個人認為APT+網路武器可能會是未來一段時間網路戰的標配。APT的具備高級威脅的一切特征,同時具備持續時間長的特點,也就是攻擊鏈負載(Advanced)、持續時間長(Persistent)、殺傷力大(Threat),分析APT的話請參考我在DEFCON GROUP 010上分享的議題,連結在我專欄裏面找。
態勢感知——這個概念我個人認為其實是個特別偽的概念,簡單來說態勢感知其實就是我的IT架構裏面現在的一個威脅情況,是被打了還是有人準備打還是說已經被打完了,說官話就是態勢感知是一種基於環境的、動態、整體地洞悉安全風險的能力,是以安全大數據為基礎,從全域視角提升對安全威脅的發現辨識、理解分析、響應處置能力的一種方式,最終是為了決策與行動,是安全能力的落地。簡單來說態勢感知的前提是安全大數據,也就是本地日誌集合(本地威脅數據)+外部數據集合(威脅情報、OTX情報、安全資訊、漏洞通告等),你要是沒有這些數據,就目前看來估計跟瞎子一樣。
再次重申,這些概念其實都不是很新的概念,只是借著目前數據驅動安全的大背景火了一下而已,你要說UEBA還算比較新的但是出現在大眾的視野中也都是2014年的事兒了。
