网络安全建设就是识别并消除网络和业务的风险,保障网络的合法、合规,以及业务的可靠、可信。
过去进行网络安全建设,主要是通过防御设备划分安全边界,构建以隔离为基础、以防护为核心,通过IP、端口和特征进行风险判断的安全体系。
IT业务复杂化,网络更加开放,安全变得不可信任
随着云计算、大数据、移动互联网的日趋普及,IT业务的运行和接入方式变得复杂,更多的业务开始 “流动”起来,网络变得更开放,安全边界变得模糊,绝对可信的安全域逐步消失。
安全风险变得难以识别
新技术的发展和业务的开放带来了作业效率的提升,与此同时,IT业务面临的攻击也变得更加复杂和难以识别:
- 新型的攻击方式不断出现(如APT攻击、0day漏洞攻击等),传统基于静态特征匹配的方式难以识别这些新型的攻击;
- 基于IP和端口的检测难以准确判断威胁,看似合法的用户却可能存在风险(如内网通过身份认证的合法终端,可能已经感染了僵尸木马程序,正在被黑客控制和利用);
- 更多的攻击行为掺杂在合法流量中,难以判断(如服务器主动向外连接访问,这种看似正常的行为,实际上可能意味着服务器已经被黑客控制,正在向控制端发起链接);
基于IP、特征识别安全威胁的方式,难以有效发现网络中的风险
通过认证的用户也存在非法行为,正常的业务交付可能存在恶意风险,通过安全设备的流量也潜藏风险。因此,传统的基于IP、端口和特征的风险识别方式,已经无法有效判断用户、行为、资产是否存在风险,更无法有效的保障网络及业务的安全性。
安全的基础是可视
RSA2016峰会上,众多国际一流的安全厂商一致认为,网络安全需要“看见”。
在万物互联、业务开放、攻击多样的今天,安全可视变得更加重要,只有 “看见”风险,才能有效进行预警和防御,从而保障网络和业务的安全。在新的IT环境下,可视化是网络安全的基础。
深信服助力用户网络可视化
信服君认为,安全可视并不是简单的风险识别和图表统计,而是在识别多种风险要素(如用户身份、终端类型、接入方式、接入位置、应用类型、系统版本、数据内容等)的基础上,进一步关联分析和管理,将安全状况直观地呈现出来,实现更精准的风险分析及判断,更高效的安全运维和风险处置:
精准的风险定位
通过对用户、行为和业务多个维度的安全要素识别,帮助用户全面了解IT网络当前状况,再通过对各种安全要素的关联分析,精确判断信息资产、用户、行为三者之间的风险关系和风险现状。比如发现海量攻击日志中真正有害的“有效攻击”,或及时检测出业务系统上线、更新过程中引入的安全漏洞等。
高效的运维处置
当然,信服君认为,将安全风险精准分析出来之后,还需要把安全现状直观地呈现出来,比如整体网络的安全状况、业务系统的安全状况、内网用户的安全状况等,帮助IT人员快速获得需要运维处置的安全信息,帮助管理人员快速了解IT网络和信息资产的安全态势。
