前两天一直在做ISC2017演讲的slide,现在终于能腾出手来回答一下了。
首先先说,这些概念并不是什么新鲜的技术,很多都是很老很老的技术了,只是现在安全行业的大背景正在由技术驱动向数据驱动迁移才火起来的,我们一个一个来说。
入侵检测——其实就跟名字一样,用来检测入侵者的设备/系统,说官话叫做通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图,用大白话讲就是谁在搞我我立刻就能发现防止我长时间被搞然后我还人家数钱,入侵检测其实真的不是一门新鲜技术,1980年就已经有相关的论文用来说明入侵检测系统的雏形了(94年出生的表示这货比我年纪都大)。入侵检测系统其实常见的只有三种:
基于主机的入侵检测系统HIDS,也就是在主机上装一个Agent,然后通过Agent监视系统的状态和各种进程,其实阿里云的安骑士就是个Agent,至于Agent和隐私的问题,个人认为Agent是个好东西,至于其他人怎么看就是你们的事情了。
基于网络的入侵检测系统NIDS,通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。
—————————————————————
补上@刘文懋老师的指正
透明部署可以捕获所有网段的通信,甚至包括没有ip的二层数据包,nids捕获的数据包跟网段没关系,只跟拓扑和流量路径有关。
—————————————————————
第三种就是分布式IDS,也就是主机上才用HIDS+网络上才用NIDS,你懂得。大型互联网公司和大型企业都在用这种东西,优点是好东西,真是好东西,缺点是太tmd贵了。
TDA——威胁发现设备,这东西是趋势提出来的,个人觉得就是个高配的IDS,主要的作用是用来检测APT这种高级威胁攻击的,但是话说回来,个人认为还是FireEye的APT检测解决方案做的不错,其他的,都tm是抄的,注意,我说的都是所有,不管说什么自主研发还是什么其他的。TDA这种东西诞生的大背景是云计算和大数据的兴起以及高级威胁事件的被发觉和泛滥,至于为啥你懂得。
APT——高级持续威胁,首先说明一点APT≠高级威胁,APT的全写是高级持续威胁,举个简单的例子,渗透测试其实就是一种高级威胁,但是渗透测试不具备高持续性,一般完了就完了,不会有后遗症,但是APT就不一样了,一旦发现,你有可能被搞了好几年了,所以是不是高级威胁,取决于危害性和攻击链复杂度(ISC上我会给大家说明高级威胁和APT之间的关系和什么是高级威胁),APT这个词火起来还是因为x莲花事件,你懂得。但是个人认为APT+网络武器可能会是未来一段时间网络战的标配。APT的具备高级威胁的一切特征,同时具备持续时间长的特点,也就是攻击链负载(Advanced)、持续时间长(Persistent)、杀伤力大(Threat),分析APT的话请参考我在DEFCON GROUP 010上分享的议题,链接在我专栏里面找。
态势感知——这个概念我个人认为其实是个特别伪的概念,简单来说态势感知其实就是我的IT架构里面现在的一个威胁情况,是被打了还是有人准备打还是说已经被打完了,说官话就是态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。简单来说态势感知的前提是安全大数据,也就是本地日志集合(本地威胁数据)+外部数据集合(威胁情报、OTX情报、安全资讯、漏洞通告等),你要是没有这些数据,就目前看来估计跟瞎子一样。
再次重申,这些概念其实都不是很新的概念,只是借着目前数据驱动安全的大背景火了一下而已,你要说UEBA还算比较新的但是出现在大众的视野中也都是2014年的事儿了。
