事后难以追溯取证
市面上绝大多数网络安全类产品只能保持HTTP、DNS等常见应用日志的记录,而ARP请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一,引起文件误报等行为,给用户决策带来干扰。其次,在追溯网络犯罪过程中没有原始的数据包作为支撑,当我们故障排查的时候很难准确定位问题环节,阻碍深入追溯分析的进行,给攻击目标带来无法挽回的损失。
单点检测管中窥豹
现如今的安全防御软件检测方式单一。如传统防火墙根据一定格式的协议对文件访问进行过滤,不能防范攻击者IP欺骗攻击;反病毒软件根据病毒特征或者黑白名单判断文件攻击性,无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能,能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀,最终侵入系统核心部位爆发。
这些新型攻击手段,显然需要防御者能够综合分析多维度的信息,进行综合判断才能进行及时的检测和处置。
传统SOC存在局限
传统的安全管理中心(Security Operations Center,SOC)无论在技术层面上还是管理层面上都无法达到预期的效果。绝大多数SOC功能仅仅停留于各类设备日志的收集上,如:路由器、防火墙、交换机、数据库的日志,更谈不上数以千计的安全软、硬件产品的集中综合管理。其定义与实际功能严重不符,SOC平台仍然还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析,以及用户的投资回报(Return On Investment,ROI)。
2方案理念
针对传统安全保障体系难以新型威胁和APT攻击,以及缺乏看到看懂的感知环节的不足,深信服提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则,实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。