安全设备分类
流量侧
流量探针
原理:通过实时捕获和监测网络数据包、数据包解码、流量过滤和实时监控,为网络管理员提供详细的网络行为分析
NIDS(网络入侵检测系统)
原理:NIDS基于入侵检测的原理,通过对网络流量的捕获、数据解析和入侵检测和响应处理,发现异常行为或潜在的入侵行为
NIPS(网络入侵防护系统)
原理:通常基于预定义的规则集或模式库,对解析后的数据进行匹配和检测,发现异常行为或潜在的入侵行为,并采取相应的响应措施,如阻断连接、记录日志、报警通知等
NDR(网络检测及响应系统)
原理:通过收集网络流量数据和元数据,使用行为分析、人工智能和机器学习技术来建立正常网络行为的基线模型,然后监控和分析网络活动,以识别和响应潜在的威胁
态势感知
原理:通过收集网络流量、日志数据、威胁情报等信息,利用机器学习和数据分析技术,对网络中的安全态势进行感知和评估
联系与区别:本质大同小异,能力有较大差别,个人更喜欢EDR
流量探针的主要功能是采集网络流量数据包捕获、数据包解码、流量过滤和实时监控
NIDS除了具备流量采集和分析功能,但其重点更多在于检测潜在的入侵行为
NIPS不仅具备NIDS的入侵检测功能,更重要的是它还能主动阻止恶意流量
NDR则是功能更全面,除了入侵检测和主动防御,更是可以与其他安全功能(如SIEM、SOAR、威胁情报等)集成,形成完整的安全监控和响应体系,并使用机器学习和行为分析等技术进行实时分析,以识别潜在的安全威胁和异常行为
态势感知更注重网络环境中的安全态势进行全局、实时的掌握
终端侧
EDR(端点检测与响应)
HIDS(主机入侵检测系统)
原理:每个需要保护的端系统(主机)上运行代理程序(agent),监视系统日志、文件系统、进程记录等,对主机的网络实时连接以及主机文件进行分析和判断,发现可疑事件并作出响应。
桌面管控
原理:集中控制与管理、远程维护与修复、系统补丁与安全防护
零信任
原理:身份验证、访问控制、实时监测、动态授权
联系与区别:
EDR和HIDS主要关注于检测和响应终端和主机上的安全威胁,而桌面管控则更侧重于统一管理和控制桌面的安全和维护,零信任则是身份验证和授权
运营方式:研判病毒木马、行为特征,一般与威胁情报、沙箱结合,判定为攻击时进行阻断
防火墙侧
WAF(Web应用防火墙)
原理:WAF是一种专门设计用来保护Web应用程序免受攻击的产品。它通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供保护
FW(防火墙)
原理:防火墙主要工作在网络层和传输层,在其内、外网之间构建一道相对隔绝的保护屏障,用于发现安全风险,阻断风险
NGFW(下一代防火墙)
原理:它在传统防火墙的基础上发展而来,不仅包含了传统防火墙的基本功能,如包过滤、状态检测、网络地址转换(NAT)、虚拟专用网络(VPN)等,还集成了入侵防御系统(IDS)、入侵预防系统(IPS)、防病毒、反垃圾邮件等多种安全功能
联系与区别:WAF专门保护Web应用程序,防御针对Web应用的攻击;FW作为内网与外网之间的访问控制设备,提供网络层面的安全防护;NGFW在传统防火墙的基础上发展而来,不仅包含了传统防火墙的基本功能,还集成了多种安全功能
运营方式:通过策略进行数据包过滤,通过告警检测入侵威胁,判定为攻击时封禁IP,一般与流量设备联动,还可以辅助网络隔离
日志侧
SIEM(安全信息和事件管理)
审计侧
日志审计
原理:通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息。这些信息经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理
数据库审计
原理:记录数据库被访问行为的日志系统。它能够对用户访问数据库行为进行实时记录、分析,对数据库操作进行细粒度审计的安全性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断
主动侧
漏洞扫描器
原理:漏洞扫描技术利用已有的漏洞数据库,通过扫描和匹配的方式对计算机系统进行脆弱性检测,以发现系统中存在的漏洞
蜜罐
原理:通过模拟真实或虚拟的系统和服务,故意暴露一些漏洞和弱点,引诱攻击者进行攻击,一旦攻击者进入蜜罐环境,其所有行为和操作都将被记录和分析
威胁情报
原理:通过持续监控和分析网络活动,识别出潜在的威胁,如恶意软件、钓鱼攻击、APT攻击等,可以及时发现并响应潜在的安全事件,从而在安全威胁造成重大损害之前采取行动
内部漏洞平台
原理:用来提交已发现的漏洞,利于实时记录和管理漏洞情况,及同步研发修复
数据侧
DLP(数据防泄漏)
原理:通过监控、检测和阻止敏感数据在终端操作、网络传输和数据存储过程中的潜在泄露,防止企业内部敏感数据或信息资产的泄露
AC(上网行为管理)
原理:通过流量监控与管理、应用监控与控制、行为审计,专用于监控、管理和控制网络内部用户上网行为的安全设备
网络侧
网络准入
原理:通过控制设备和用户对网络资源的访问权限来降低安全风险,设备检测与识别、身份认证、访问控制以及事件监控与响应,对设备的接入进行限制,确保只有符合特定安全要求的设备才能接入网络,访问网络资源
网络隔离
原理:用于在不同网络或网络段之间创建隔离,以保护关键网络区域的信息安全
网关(邮件网关,零信任网关等)
原理:负责数据包的转发和过滤,根据设定的规则允许或阻止特定的数据流
抗DDOS
原理:通过流量过滤、入侵检测、流量清洗等技术手段来识别和阻断恶意流量,同时保证正常流量的通过
云/容器侧
阿里云盾
原理:通过阿里云平台的数据分析能力,为云用户提供多层面一体化的安全防护服务。它包括但不限于DDoS防护、Web应用防火墙(WAF)、服务器安全(安骑士)、态势感知等安全产品及服务
综合侧
UEBA(用户和实体行为分析)
原理:收集和分析用户及实体(如主机、应用程序、网络、数据库等)的行为数据,一般也会接入内部其他安全设备,集成日志和数据
SOC(安全运营中心)
原理:接入内部监控、检测、响应和预防安全威胁的所有安全设备
总结:作为安全运营人员或者蓝队,主要还是和安全设备打交道,熟悉每一类安全设备,是我们必备能力,想做好安全运营还要配置规则策略、设备联动、告警降噪、自动化运营、设备的二次开发、或者自研设备等方式,想做好企业安全建设,很多时候更是离不开安全设备的辅助,如果一个企业拥有各类的安全设备,也为我们反入侵建设减少很多困难,后续将会持续更新更多安全运营需要的技术,谢谢大家的观看!
以上内容仅代表个人见解和运营感受
原文始发于微信公众号(青锋云盾):常见安全设备及运营方式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论