☝戳链接了解本期征文详情
杨博涵
言归正传,首先阐述一下笔者对全流量系统的定位。在笔者的安全认知中,全流量系统与WAF、IPS等同属流量侧安全产品但定位存在差异:
一、WAF、IPS等系统要串行,投产难度大,全流量系统可旁路,投产难度小;
二、WAF、IPS等系统在自适应安全框架中主要划归防御象限,全流量系统划归检测象限;
三、WAF、IPS等系统归属传统安全,全流量系统是所谓的新一代技术产品;
四、WAF、IPS等系统基于规则与特征库,全流量系统增加了人工智能成分。
因此全流量系统是企业落实“态势感知”、“数据驱动安全”、“SOC”等概念时,最容易部署的一个产品,同时也是一个挖掘企业风险较为有效的途径。
全流量系统一般包含数据采集模块、数据存储模块、安全分析模块,共三个基本组成部分,但根据POC测试经验,建议甲方在计划采购全流量系统时,可要求乙方公司补充两个模块——文件沙箱和威胁情报模块,可以提高分析效果。目前主流厂商的全流量系统产品都包含这五个模块,但是整合能力存在差异(这一点可以从POC测试时硬件服务器的数量看出端倪)。
在POC测试前,建议完成如下几个准备工作,以便于提高测试效果:
一、在企业真实环境部署测试设备,提供真实的流量镜像数据给全流量系统,并运行测试设备3-5天,测试结束后消磁或格式化;
二、在全流量系统中完善企业的资产信息;
三、准备测试样本和pcap数据包,有条件的企业搭建攻击机和靶机;
四、请被测试公司罗列系统功能清单;
五、对于不方便测试的内容,请被测试公司准备相关文档,如压测报告,syslog日志文档,API接口文档等。
在POC测试过程中,重点关注几个内容:
一、基于企业3-5天的真实数据,全流量系统检测出了哪些风险;
二、流量协议的解析、还原、展示能力;
三、网络攻击威胁检测能力;
四、可视化呈现数据能力;
五、沙箱系统的文件检测能力;
六、威胁情报的置信度;
七、数据导出能力。
相关细节和功能点比较多,一时难以表述完整,同时为了规避描述笔者测试过的乙方产品,笔者以问题清单的模式描述测试细节,能基本满足这88个问题要求的乙方全流量系统才能算达到了及格水平,希望这88个问题能有助于乙方产品实现功能的完善。
甲方的同仁可以参考问题清单去测试相关产品,尽量使用攻击机、靶机模式测试(测试结果能把售前工程师测得怀疑人生),PCAP包测试次之,根据乙方产品的真实表现判定其能力水平。
注:本文为原创投稿,获1500元稿费,同时有机会角逐本期征文最终万元大奖。
三月主题:《数据安全面面观》
四月主题:《一个人的安全》
五月主题:《网络安全“值钱”吗》
七月主题:《社工记》
十月主题:《攻防演练实务》
十一月主题:《不会做规划,怎么做安全》
六月主题:《红蓝对抗中的心理博弈》
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论