征文 | 杨博涵:浅谈全流量安全分析系统POC测试

  • A+
所属分类:安全闲碎

征文 | 杨博涵:浅谈全流量安全分析系统POC测试


戳链接了解本期征文详情




杨博涵




交通银行股份有限公司安全部门技术工程师,负责安全防护体系建设相关工作,CISSP。

征文 | 杨博涵:浅谈全流量安全分析系统POC测试



征文 | 杨博涵:浅谈全流量安全分析系统POC测试






近期由于所在公司的项目建设规划,一直在做网络全流量安全分析系统(以下简称全流量系统)的POC测试。恰巧在群里看到了“安在”新一期的征文主题,自认为可以与各位安全圈同仁分享一下测试感受和部分心得,同时也为甲方采购相关产品、乙方完善产品功能提供一些小的tips。


征文 | 杨博涵:浅谈全流量安全分析系统POC测试


言归正传,首先阐述一下笔者对全流量系统的定位。在笔者的安全认知中,全流量系统与WAF、IPS等同属流量侧安全产品但定位存在差异:


征文 | 杨博涵:浅谈全流量安全分析系统POC测试

一、WAF、IPS等系统要串行,投产难度大,全流量系统可旁路,投产难度小;

二、WAF、IPS等系统在自适应安全框架中主要划归防御象限,全流量系统划归检测象限;

三、WAF、IPS等系统归属传统安全,全流量系统是所谓的新一代技术产品;

四、WAF、IPS等系统基于规则与特征库,全流量系统增加了人工智能成分。


因此全流量系统是企业落实“态势感知”、“数据驱动安全”、“SOC”等概念时,最容易部署的一个产品,同时也是一个挖掘企业风险较为有效的途径。


全流量系统一般包含数据采集模块、数据存储模块、安全分析模块,共三个基本组成部分,但根据POC测试经验,建议甲方在计划采购全流量系统时,可要求乙方公司补充两个模块——文件沙箱和威胁情报模块,可以提高分析效果。目前主流厂商的全流量系统产品都包含这五个模块,但是整合能力存在差异(这一点可以从POC测试时硬件服务器的数量看出端倪)。


在POC测试前,建议完成如下几个准备工作,以便于提高测试效果:


征文 | 杨博涵:浅谈全流量安全分析系统POC测试

一、在企业真实环境部署测试设备,提供真实的流量镜像数据给全流量系统,并运行测试设备3-5天,测试结束后消磁或格式化;

二、在全流量系统中完善企业的资产信息;

三、准备测试样本和pcap数据包,有条件的企业搭建攻击机和靶机;

四、请被测试公司罗列系统功能清单;

五、对于不方便测试的内容,请被测试公司准备相关文档,如压测报告,syslog日志文档,API接口文档等。


在POC测试过程中,重点关注几个内容:


征文 | 杨博涵:浅谈全流量安全分析系统POC测试

一、基于企业3-5天的真实数据,全流量系统检测出了哪些风险;

二、流量协议的解析、还原、展示能力;

三、网络攻击威胁检测能力;

四、可视化呈现数据能力;

五、沙箱系统的文件检测能力;

六、威胁情报的置信度;

七、数据导出能力。


相关细节和功能点比较多,一时难以表述完整,同时为了规避描述笔者测试过的乙方产品,笔者以问题清单的模式描述测试细节,能基本满足这88个问题要求的乙方全流量系统才能算达到了及格水平,希望这88个问题能有助于乙方产品实现功能的完善。


甲方的同仁可以参考问题清单去测试相关产品,尽量使用攻击机、靶机模式测试(测试结果能把售前工程师测得怀疑人生),PCAP包测试次之,根据乙方产品的真实表现判定其能力水平。


附件:全流量系统POC测试问题清单:

征文 | 杨博涵:浅谈全流量安全分析系统POC测试

征文 | 杨博涵:浅谈全流量安全分析系统POC测试

征文 | 杨博涵:浅谈全流量安全分析系统POC测试

征文 | 杨博涵:浅谈全流量安全分析系统POC测试


注:本文为原创投稿,获1500元稿费,同时有机会角逐本期征文最终万元大奖。


2019征文合集




三月主题:《数据安全面面观


征文 | 顾伟:关于中国数据跨境传输合规之思考
征文 | 赵锐:云端数据安全浅谈
征文 | 蔚晨:数据驱动的安全防控体系探究
征文 | 张喆:在开放共享环境下的数据安全
安在征文,3月月奖是谁胜出?

四月主题:《一个人的安全


征文 | 周逸传:一个人的安全?我笑了
征文 | 武鑫:一个人的安全,在变化中促成长
征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司
征文 | 黄猛:一个人的安全?你不是一个人在战斗!
征文 | 顾伟:一个信息安全从业者的自我修养
安在征文,4月月奖是谁胜出?


五月主题:《网络安全“值钱”吗


征文 | 陈欣炜:联合起来,让网络安全创造价值
征文 | 顾伟:网络安全“值钱”吗?
征文 | 赵锐 :从网络安全转向业务安全的价值实现
安在征文,5月月奖是谁胜出?


七月主题:《社工记


征文 | 沈青:网络安全社会工程学起源与应用
征文 | 陈欣炜:邮件钓鱼测试和合规性要求
征文 | 顾伟:从社会工程学到信息安全文化模型的创建
征文 | 赵锐:无所不在的社会工程学
安在征文,7月月奖是谁胜出?

十月主题:《攻防演练实务


征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练
征文 | 顾伟:攻防之道,红蓝对抗
征文 | 叶翔:在企业内部搞攻防比赛,很难吗?
征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?
安在征文,10月月奖是谁胜出?

十一月主题:《不会做规划,怎么做安全


征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划
征文 | 陈皓:年度安全规划–“我们不一样”
征文 | 舒胤明:结构化分析,让5W2H贯穿信息安全规划全程

2020征文



六月主题:《红蓝对抗中的心理博弈


征文 | 王振东:红蓝对抗中的心理博弈
   ▼加入诸子云
征文 | 杨博涵:浅谈全流量安全分析系统POC测试

征文 | 杨博涵:浅谈全流量安全分析系统POC测试




征文 | 杨博涵:浅谈全流量安全分析系统POC测试


征文 | 杨博涵:浅谈全流量安全分析系统POC测试

你怎么这么好看


征文 | 杨博涵:浅谈全流量安全分析系统POC测试

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: