常见安全设备及运营方式

安全设备分类

流量侧

流量探针

原理：通过实时捕获和监测网络数据包、数据包解码、流量过滤和实时监控，为网络管理员提供详细的网络行为分析

NIDS（网络入侵检测系统）

原理：NIDS基于入侵检测的原理，通过对网络流量的捕获、数据解析和入侵检测和响应处理，发现异常行为或潜在的入侵行为

NIPS（网络入侵防护系统）

原理：通常基于预定义的规则集或模式库，对解析后的数据进行匹配和检测，发现异常行为或潜在的入侵行为，并采取相应的响应措施，如阻断连接、记录日志、报警通知等

NDR（网络检测及响应系统）

原理：通过收集网络流量数据和元数据，使用行为分析、人工智能和机器学习技术来建立正常网络行为的基线模型，然后监控和分析网络活动，以识别和响应潜在的威胁

态势感知

原理：通过收集网络流量、日志数据、威胁情报等信息，利用机器学习和数据分析技术，对网络中的安全态势进行感知和评估

联系与区别：本质大同小异，能力有较大差别，个人更喜欢EDR

流量探针的主要功能是采集网络流量数据包捕获、数据包解码、流量过滤和实时监控

NIDS除了具备流量采集和分析功能，但其重点更多在于检测潜在的入侵行为

NIPS不仅具备NIDS的入侵检测功能，更重要的是它还能主动阻止恶意流量

NDR则是功能更全面，除了入侵检测和主动防御，更是可以与其他安全功能（如SIEM、SOAR、威胁情报等）集成，形成完整的安全监控和响应体系，并使用机器学习和行为分析等技术进行实时分析，以识别潜在的安全威胁和异常行为

态势感知更注重网络环境中的安全态势进行全局、实时的掌握

终端侧

EDR（端点检测与响应）

HIDS（主机入侵检测系统）

原理：每个需要保护的端系统（主机）上运行代理程序（agent），监视系统日志、文件系统、进程记录等，对主机的网络实时连接以及主机文件进行分析和判断，发现可疑事件并作出响应。

桌面管控

原理：集中控制与管理、远程维护与修复、系统补丁与安全防护

零信任

原理：身份验证、访问控制、实时监测、动态授权

联系与区别：

EDR和HIDS主要关注于检测和响应终端和主机上的安全威胁，而桌面管控则更侧重于统一管理和控制桌面的安全和维护，零信任则是身份验证和授权

运营方式：研判病毒木马、行为特征，一般与威胁情报、沙箱结合，判定为攻击时进行阻断

防火墙侧

WAF（Web应用防火墙）

原理：WAF是一种专门设计用来保护Web应用程序免受攻击的产品。它通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供保护

FW（防火墙）

原理：防火墙主要工作在网络层和传输层，在其内、外网之间构建一道相对隔绝的保护屏障，用于发现安全风险，阻断风险

NGFW（下一代防火墙）

原理：它在传统防火墙的基础上发展而来，不仅包含了传统防火墙的基本功能，如包过滤、状态检测、网络地址转换（NAT）、虚拟专用网络（VPN）等，还集成了入侵防御系统（IDS）、入侵预防系统（IPS）、防病毒、反垃圾邮件等多种安全功能

联系与区别：WAF专门保护Web应用程序，防御针对Web应用的攻击；FW作为内网与外网之间的访问控制设备，提供网络层面的安全防护；NGFW在传统防火墙的基础上发展而来，不仅包含了传统防火墙的基本功能，还集成了多种安全功能

运营方式：通过策略进行数据包过滤，通过告警检测入侵威胁，判定为攻击时封禁IP，一般与流量设备联动，还可以辅助网络隔离

日志侧

SIEM（安全信息和事件管理）

审计侧

日志审计

原理：通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息。这些信息经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理

数据库审计

原理：记录数据库被访问行为的日志系统。它能够对用户访问数据库行为进行实时记录、分析，对数据库操作进行细粒度审计的安全性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断

主动侧

漏洞扫描器

原理：漏洞扫描技术利用已有的漏洞数据库，通过扫描和匹配的方式对计算机系统进行脆弱性检测，以发现系统中存在的漏洞

蜜罐

原理：通过模拟真实或虚拟的系统和服务，故意暴露一些漏洞和弱点，引诱攻击者进行攻击，一旦攻击者进入蜜罐环境，其所有行为和操作都将被记录和分析

威胁情报

原理：通过持续监控和分析网络活动，识别出潜在的威胁，如恶意软件、钓鱼攻击、APT攻击等，可以及时发现并响应潜在的安全事件，从而在安全威胁造成重大损害之前采取行动

内部漏洞平台

原理：用来提交已发现的漏洞，利于实时记录和管理漏洞情况，及同步研发修复

数据侧

DLP（数据防泄漏）

原理：通过监控、检测和阻止敏感数据在终端操作、网络传输和数据存储过程中的潜在泄露，防止企业内部敏感数据或信息资产的泄露

AC（上网行为管理）

原理：通过流量监控与管理、应用监控与控制、行为审计，专用于监控、管理和控制网络内部用户上网行为的安全设备

网络侧

网络准入

原理：通过控制设备和用户对网络资源的访问权限来降低安全风险，设备检测与识别、身份认证、访问控制以及事件监控与响应，对设备的接入进行限制，确保只有符合特定安全要求的设备才能接入网络，访问网络资源

网络隔离

原理：用于在不同网络或网络段之间创建隔离，以保护关键网络区域的信息安全

网关（邮件网关，零信任网关等）

原理：负责数据包的转发和过滤，根据设定的规则允许或阻止特定的数据流

抗DDOS

原理：通过流量过滤、入侵检测、流量清洗等技术手段来识别和阻断恶意流量，同时保证正常流量的通过

云/容器侧

阿里云盾

原理：通过阿里云平台的数据分析能力，为云用户提供多层面一体化的安全防护服务。它包括但不限于DDoS防护、Web应用防火墙（WAF）、服务器安全（安骑士）、态势感知等安全产品及服务

综合侧

UEBA（用户和实体行为分析）

原理：收集和分析用户及实体（如主机、应用程序、网络、数据库等）的行为数据，一般也会接入内部其他安全设备，集成日志和数据

SOC（安全运营中心）

原理：接入内部监控、检测、响应和预防安全威胁的所有安全设备

总结：作为安全运营人员或者蓝队，主要还是和安全设备打交道，熟悉每一类安全设备，是我们必备能力，想做好安全运营还要配置规则策略、设备联动、告警降噪、自动化运营、设备的二次开发、或者自研设备等方式，想做好企业安全建设，很多时候更是离不开安全设备的辅助，如果一个企业拥有各类的安全设备，也为我们反入侵建设减少很多困难，后续将会持续更新更多安全运营需要的技术，谢谢大家的观看！

以上内容仅代表个人见解和运营感受

原文始发于微信公众号（青锋云盾）：常见安全设备及运营方式