近期��,《IDC MarketScape: 中國態(tài)勢(shì)感知解決方案市場(chǎng)研究�����,2023》報(bào)告發(fā)布��。IDC認(rèn)為����,經(jīng)過多年的發(fā)展�,態(tài)勢(shì)感知平臺(tái)技術(shù)持續(xù)演進(jìn)�,更趨向于實(shí)用化��、實(shí)戰(zhàn)化��,有效的幫助客戶應(yīng)對(duì)網(wǎng)絡(luò)攻擊��,平臺(tái)的綜合能力日趨成熟���。盛邦安全在2023年中國態(tài)勢(shì)感知解決方案市場(chǎng)評(píng)估中被IDC認(rèn)定為該市場(chǎng)的“主要廠商”�,再次獲得知名第三方咨詢機(jī)構(gòu)的認(rèn)可��,是盛邦安全堅(jiān)持“兩精一深”研發(fā)戰(zhàn)略的成果體現(xiàn)����。
經(jīng)過多年技術(shù)積累與產(chǎn)品打磨�,盛邦安全靈活應(yīng)對(duì)不同行業(yè)場(chǎng)景的需求痛點(diǎn),構(gòu)建對(duì)應(yīng)不同分析視角的多維度方案��,符合態(tài)勢(shì)感知體系在通用分析模型的基礎(chǔ)上具備個(gè)性化場(chǎng)景理解能力的技術(shù)要求�。在產(chǎn)品理念、技術(shù)實(shí)現(xiàn)和市場(chǎng)應(yīng)用方面具有如下特點(diǎn):
豐富的數(shù)據(jù)源
包含了資產(chǎn)臺(tái)賬信息�����、API資產(chǎn)數(shù)據(jù)、資產(chǎn)脆弱性數(shù)據(jù)��、入侵威脅事件�、高級(jí)威脅事件和橫向異常行為等多種類型的數(shù)據(jù),可以提取資產(chǎn)IP��、域名/子域名���、端口�����、服務(wù)�、系統(tǒng)�、中間件、安全漏洞���、弱口令����、網(wǎng)站腳本(Webshell)后門����、內(nèi)容審計(jì)����、惡意訪問�、非法掃描、僵尸主機(jī)�����、木馬�、蠕蟲攻擊、暴力破解��、注入�、跨站腳本、請(qǐng)求偽造等各種維度的元數(shù)據(jù)�,原始信息豐富��、研判依據(jù)全面��,可以為態(tài)勢(shì)感知提供可靠的數(shù)據(jù)支撐��,并且在事件研判時(shí)提供詳細(xì)的依據(jù)線索�����。
動(dòng)態(tài)的資產(chǎn)視角
通過資產(chǎn)治理的安全視角建立了一套從網(wǎng)絡(luò)資產(chǎn)管理出發(fā),圍繞資產(chǎn)屬性�����、管理狀態(tài)����、自身安全性和被攻擊風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)分析的態(tài)勢(shì)感知模型,在入侵監(jiān)控���、脆弱性監(jiān)控的基礎(chǔ)上進(jìn)一步豐富了事件分析的維度�。通過主動(dòng)測(cè)繪��、被動(dòng)測(cè)繪�、Agent采集和人工上報(bào)、手動(dòng)梳理相結(jié)合的方式����,形成動(dòng)態(tài)更新的多源融合資產(chǎn)臺(tái)賬,保障資產(chǎn)管理的準(zhǔn)確性和時(shí)效性�����,協(xié)助用戶從業(yè)務(wù)角度梳理安全態(tài)勢(shì),精準(zhǔn)識(shí)別安全風(fēng)險(xiǎn)�����,合理執(zhí)行應(yīng)急響應(yīng)措施�。
精準(zhǔn)的關(guān)聯(lián)分析
方案包含了不同維度的原始安全事件,也融合了PDNS�、whois、組織架構(gòu)信息���、網(wǎng)情信息��、威脅情報(bào)����,可以有效提升事件關(guān)聯(lián)分析的準(zhǔn)確性�;通過SOAR安全編排與自動(dòng)化引擎關(guān)聯(lián)分析,找出不同類型安全事件之間的聯(lián)系��,排除干擾因素�����,提取有效信息����,并結(jié)合資產(chǎn)的健康狀態(tài)、遭受威脅的可能性�、威脅的破壞程度等信息準(zhǔn)確判斷事件影響程度并給出處置建議。
閉環(huán)的處置流程
方案整體設(shè)計(jì)思路覆蓋安全事件的態(tài)勢(shì)監(jiān)控��、關(guān)聯(lián)分析��、事件研判�、通報(bào)預(yù)警和應(yīng)急處置等環(huán)節(jié),可以針對(duì)某個(gè)安全事件提供從發(fā)現(xiàn)分析到處置跟蹤的完整流程���,并利用通報(bào)處置功能將安全技術(shù)與管理操作有效結(jié)合起來�,協(xié)助用戶跟進(jìn)事件處置的整個(gè)過程�,不論是高風(fēng)險(xiǎn)的入侵事件、高危漏洞或是非法行為等都能夠真正地做到安全閉環(huán)處置�。
在《IDC MarketScape: 中國態(tài)勢(shì)感知解決方案市場(chǎng)研究,2023》調(diào)研中�����,IDC提出如下建議:
做好運(yùn)營��、度量安全
當(dāng)態(tài)勢(shì)感知平臺(tái)建設(shè)完成后����,如何體現(xiàn)其價(jià)值是非常重要的��。不僅要發(fā)現(xiàn)問題��,更要展現(xiàn)出來�,讓安全的價(jià)值呈現(xiàn)出來��。這就需要與技術(shù)提供商做好充分的配合�����,并通過持續(xù)的運(yùn)營呈現(xiàn)企業(yè)網(wǎng)絡(luò)安全的狀況與發(fā)展趨勢(shì)�����,成為獲得企業(yè)高管安全投資的重要依據(jù)�。
關(guān)注事件分析而非日志分析
日志分析所呈現(xiàn)的只是攻擊環(huán)節(jié)的一個(gè)或多個(gè)片段,而事件分析則可以基于攻擊鏈呈現(xiàn)出完整的攻擊過程及所帶來的危害����。當(dāng)前的態(tài)勢(shì)感知平臺(tái)的遙測(cè)數(shù)據(jù)源很廣泛,這便于其對(duì)網(wǎng)絡(luò)攻擊事件做出更精準(zhǔn)的判斷����。同時(shí),基于ATT&CK框架可以更好的了解攻擊者的技戰(zhàn)術(shù)�,幫助客戶有效的了解并處置安全事件。日志分析側(cè)重過程�����,而事件分析關(guān)注結(jié)果�����。
SOAR助推自動(dòng)化能力提升
SOAR能力已經(jīng)成為態(tài)勢(shì)感知平臺(tái)的標(biāo)配��,進(jìn)一步提升對(duì)安全事件閉環(huán)處置的效率����。當(dāng)然,使用者需要了解其原理�����、結(jié)合自身業(yè)務(wù)特點(diǎn)定制符合自身的劇本是非常必要的���。
低代碼使得快速定制成為可能
平臺(tái)類產(chǎn)品的定制開發(fā)需求不可避免��。過去�����,對(duì)于技術(shù)提供商而言平臺(tái)類產(chǎn)品�����,提供定制開發(fā)周期是比較長的�,但是隨著低代碼技術(shù)的普遍應(yīng)用,定制開發(fā)的效率在快速提升��,這不僅有利于技術(shù)提供商�,也可以將整個(gè)項(xiàng)目的交付周期縮短,讓平臺(tái)快速上線���。
做好生態(tài)融合管理
大型客戶環(huán)境中通常包括大量的不同品牌的安全產(chǎn)品�����,通過態(tài)勢(shì)感知平臺(tái)的納管是從技術(shù)層面完成的�,但客戶要把不同的技術(shù)提供商作為保障自身安全防御能力的生態(tài)來管理���,這樣有助于提升綜合安全效能���,從容面對(duì)網(wǎng)絡(luò)攻擊��。
積極嘗試新技術(shù)�、關(guān)注新能力
部分態(tài)勢(shì)感知技術(shù)提供商開始嘗試增加BAS��、合規(guī)性管理等能力����,最終客戶可以從自身視角驗(yàn)證其價(jià)值����,更多的嘗試新技術(shù)、新功能�,不僅有助于提升自身網(wǎng)絡(luò)安全體系的檢測(cè)有效性,更能促進(jìn)技術(shù)提供者相關(guān)技術(shù)的成熟度�����。
