常见安全设备及运营方式

admin 2024年10月22日21:31:37评论34 views字数 2834阅读9分26秒阅读模式

安全设备分类

常见安全设备及运营方式

流量侧

流量探针

原理:通过实时捕获和监测网络数据包、数据包解码、流量过滤和实时监控,为网络管理员提供详细的网络行为分析

NIDS(网络入侵检测系统)

原理:NIDS基于入侵检测的原理,通过对网络流量的捕获、数据解析和入侵检测和响应处理,发现异常行为或潜在的入侵行为

NIPS(网络入侵防护系统)

原理:通常基于预定义的规则集或模式库,对解析后的数据进行匹配和检测,发现异常行为或潜在的入侵行为,并采取相应的响应措施,如阻断连接、记录日志、报警通知等

NDR(网络检测及响应系统)

原理:通过收集网络流量数据和元数据,使用行为分析、人工智能和机器学习技术来建立正常网络行为的基线模型,然后监控和分析网络活动,以识别和响应潜在的威胁

态势感知

原理:通过收集网络流量、日志数据、威胁情报等信息,利用机器学习和数据分析技术,对网络中的安全态势进行感知和评估

联系与区别:本质大同小异,能力有较大差别,个人更喜欢EDR

流量探针的主要功能是采集网络流量数据包捕获、数据包解码、流量过滤和实时监控

NIDS除了具备流量采集和分析功能,但其重点更多在于检测潜在的入侵行为

NIPS不仅具备NIDS的入侵检测功能,更重要的是它还能主动阻止恶意流量

NDR则是功能更全面,除了入侵检测和主动防御,更是可以与其他安全功能(如SIEM、SOAR、威胁情报等)集成,形成完整的安全监控和响应体系,并使用机器学习和行为分析等技术进行实时分析,以识别潜在的安全威胁和异常行为

态势感知更注重网络环境中的安全态势进行全局、实时的掌握

运营方式:流量特征研判,一般与威胁情报、行为分析结合,判定为攻击时进行阻断

终端侧

EDR(端点检测与响应)

原理:通过云端威胁情报、机器学习、异常行为分析、云沙箱等方式主动发现终端的各类安全威胁(例如用户、文件、进程、注册表、内存和网络事件)

HIDS(主机入侵检测系统)

原理:每个需要保护的端系统(主机)上运行代理程序(agent),监视系统日志、文件系统、进程记录等,对主机的网络实时连接以及主机文件进行分析和判断,发现可疑事件并作出响应。

桌面管控

原理:集中控制与管理、远程维护与修复、系统补丁与安全防护

零信任

原理:身份验证、访问控制、实时监测、动态授权

联系与区别:

EDR和HIDS主要关注于检测和响应终端和主机上的安全威胁,而桌面管控则更侧重于统一管理和控制桌面的安全和维护,零信任则是身份验证和授权

运营方式:研判病毒木马、行为特征,一般与威胁情报、沙箱结合,判定为攻击时进行阻断

防火墙侧

WAF(Web应用防火墙)

原理:WAF是一种专门设计用来保护Web应用程序免受攻击的产品。它通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供保护

FW(防火墙)

原理:防火墙主要工作在网络层和传输层,在其内、外网之间构建一道相对隔绝的保护屏障,用于发现安全风险,阻断风险

NGFW(下一代防火墙)

原理:它在传统防火墙的基础上发展而来,不仅包含了传统防火墙的基本功能,如包过滤、状态检测、网络地址转换(NAT)、虚拟专用网络(VPN)等,还集成了入侵防御系统(IDS)、入侵预防系统(IPS)、防病毒、反垃圾邮件等多种安全功能

联系与区别:WAF专门保护Web应用程序,防御针对Web应用的攻击;FW作为内网与外网之间的访问控制设备,提供网络层面的安全防护;NGFW在传统防火墙的基础上发展而来,不仅包含了传统防火墙的基本功能,还集成了多种安全功能

运营方式:通过策略进行数据包过滤,通过告警检测入侵威胁,判定为攻击时封禁IP,一般与流量设备联动,还可以辅助网络隔离

日志侧

SIEM(安全信息和事件管理)

原理:通过收集网络中各种设备的日志信息,并进行集中存储和分析
运营方式:研判攻击、排查故障或者应急响应时,辅助判断和定位

审计侧

日志审计

原理:通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息。这些信息经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理

数据库审计

原理:记录数据库被访问行为的日志系统。它能够对用户访问数据库行为进行实时记录、分析,对数据库操作进行细粒度审计的安全性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断

主动侧

漏洞扫描器

原理:漏洞扫描技术利用已有的漏洞数据库,通过扫描和匹配的方式对计算机系统进行脆弱性检测,以发现系统中存在的漏洞

蜜罐

原理:通过模拟真实或虚拟的系统和服务,故意暴露一些漏洞和弱点,引诱攻击者进行攻击,一旦攻击者进入蜜罐环境,其所有行为和操作都将被记录和分析

威胁情报

原理:通过持续监控和分析网络活动,识别出潜在的威胁,如恶意软件、钓鱼攻击、APT攻击等,可以及时发现并响应潜在的安全事件,从而在安全威胁造成重大损害之前采取行动

内部漏洞平台

原理:用来提交已发现的漏洞,利于实时记录和管理漏洞情况,及同步研发修复

数据侧

DLP(数据防泄漏)

原理:通过监控、检测和阻止敏感数据在终端操作、网络传输和数据存储过程中的潜在泄露,防止企业内部敏感数据或信息资产的泄露

AC(上网行为管理)

原理:通过流量监控与管理、应用监控与控制、行为审计,专用于监控、管理和控制网络内部用户上网行为的安全设备

网络侧

网络准入

原理:通过控制设备和用户对网络资源的访问权限来降低安全风险,设备检测与识别、身份认证、访问控制以及事件监控与响应,对设备的接入进行限制,确保只有符合特定安全要求的设备才能接入网络,访问网络资源

网络隔离

原理:用于在不同网络或网络段之间创建隔离,以保护关键网络区域的信息安全

网关(邮件网关,零信任网关等)

原理:负责数据包的转发和过滤,根据设定的规则允许或阻止特定的数据流

抗DDOS

原理:通过流量过滤、入侵检测、流量清洗等技术手段来识别和阻断恶意流量,同时保证正常流量的通过

云/容器侧

阿里云盾

原理:通过阿里云平台的数据分析能力,为云用户提供多层面一体化的安全防护服务。它包括但不限于DDoS防护、Web应用防火墙(WAF)、服务器安全(安骑士)、态势感知等安全产品及服务

云端的用的较少,其他的我没用过

综合侧

UEBA(用户和实体行为分析)

原理:收集和分析用户及实体(如主机、应用程序、网络、数据库等)的行为数据,一般也会内部其他安全设备,集成日志和数据

SOC(安全运营中心)

原理:接入内部监控、检测、响应和预防安全威胁的所有安全设备

总结:作为安全运营人员或者蓝队,主要还是和安全设备打交道,熟悉每一类安全设备,是我们必备能力,想做好安全运营还要配置规则策略、设备联动、告警降噪、自动化运营、设备的二次开发、或者自研设备等方式,想做好企业安全建设,很多时候更是离不开安全设备的辅助,如果一个企业拥有各类的安全设备,也为我们反入侵建设减少很多困难,后续将会持续更新更多安全运营需要的技术,谢谢大家的观看!

以上内容仅代表个人见解和运营感受

原文始发于微信公众号(青锋云盾):常见安全设备及运营方式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月22日21:31:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   常见安全设备及运营方式https://cn-sec.com/archives/3303210.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息