本文概述了IT安全领域的关键技术和实践,包括数据防泄漏(DLP)、VPND、SD-WAN、防火墙、安全管理和分析工具,以及新兴的零信任、微隔离和同态加密等概念。这些技术旨在保护企业数据、网络通信和访问控制,提升网络安全防护水平。
DLP
数据防泄漏,通过数字资产的精准识别和策略制定,主要用于防止企业的指定数据或者信息资产以违反安全策略规定的形式流出企业。
VPN
虚拟专用网,在公用网络上建立专用网络,进行加密通信,通过对数据包的加密和数据包目标地址的转换实现远程访问。
SD-WAN
软件定义广域网,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式云化。通常情况下,SD-WAN都集成有防火墙、入侵检测或防病毒能力。并且从目前的趋势来看,以安全为核心设计的SD-WAN,包括奇安信、Fortinet等多家安全厂商开始涉足该领域,并提供了较为完备的内生安全设计。
路由器
是用来连接不同子网的中枢,他们工作于OSI7层模型的传输层、网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表(ALCs),允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中,并且自带基础的包过滤(即防火墙)功能。
网关
通常指路由器、防火墙、IDS、VPN等边界网络设备。
WAF
web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品
SOC
安全运行中心或者安全管理平台,通过一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统
LAS
日志审计系统,主要功能是提供日志的收集、检索和分析能力,可为威胁检测提供丰富的上下文
NOC
网络操作中心或网络运行中心,是远程网络通信的管理、监视和维护中心,是网络问题解决、软件分发和修改、路由、域名管理、性能监视的焦点。
SIEM
安全信息和时间管理,负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。
上网行为管理
帮助互联网用户控制和管理对互联网使用的设备。其中包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
蜜罐
包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标,由于蜜罐没有其他的任务需要完成,因此所有连接的尝试都应视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击让攻击者在蜜罐上浪费时间。蜜罐类产品包括蜜网、蜜系统、蜜账号等。好比是情报收集系统.蜜罐好象是故意让人攻击的目标,引诱黑客来攻击,所有攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络.
沙箱
沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。 非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。
沙箱逃逸
一种识别沙箱环境,并利用静默、欺骗等技术,绕过沙箱检测的现象。
网络靶场
主要是指通过虚拟环境与真实设备相结合,模拟仿真出真实赛伯网络空间攻防作战环境,能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证实验平台。
边界防御
以网络边界为核心的防御模型,以静态规则匹配为基础,强调把所有的安全威胁都挡在外网。
南北向流量
指数据中心内外部通信所产生的流量
东西向流量
数据中心内部不同主机之间互相通信所产生的流量
规则库
网络安全的核心数据库,类似于黑白名单,用于存储大量安全规则,一旦访问行为和规则库完成匹配,则被认为是非法行为。所以有人也将规则库比喻为网络空间的法律。下一代网络安全领域经常用到,用于表示产品或者技术有较大幅度的创新,在能力上相对于传统方法有明显的进步,通常缩写为 NG(Next Gen)。 例如 NGFW(下一代防火墙)、NGSOC(下 一代安全管理平台)等。
大数据安全分析
以主动收集和分析大数据的方法,找出其中可能存在的安全威胁,因此也称数据驱动安全,该理论最早在2015年由奇安信提出。
EPP
Endpoint Protection Platform,翻译为端点保护平台,部署在终端设备上的安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁,通常与 EDR 进行联动。
EDR
Endpoint Detection & Response,即端点检测与响应,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀毒软件无法解决未知威胁的目的。
NDR
Network Detection & Response,即网络检测与响应,通过对网络侧流量的持续检测和分析,帮助企业增强威胁响应能力, 提高网络安全的可见性和威胁免疫力。
安全可视化
指在网络安全领域中的呈现技术,将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面,并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。
NTA
网络流量分析,位列五种检测高级威胁的手段之一,它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。
MDR
Managed Detection & Response,即托管检测与响应,依靠基于网络和主机的检测工具来识别恶意模式。 此外,这些工具通常还会从防火墙之内的终端收集数据,以便更全面地监控网络活动。
应急响应
通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。XDR通常指以检测和响应技术为核心的网络安全策略的统称。包括EDR、MDR、NDR等。
威胁情报
是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同,威胁情报主要分为人读情报和机读情报。
TTP
主要包括三要素,战术 Tactics、技术 Techniques 和过程Procedures,是描述高级威胁组织及其攻击的重要指标,作为威胁情报的一种重要组成部分,TTP 可为安全分析人员提供决策支撑。
IOC
失陷标示,用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等。一经确认,则意味着存在已经失陷的主机。
上下文
是指某项威胁指标的关联信息,用于实现更加精准的安全匹配和检测。 STIX STIX 是一种描述网络威胁信息的结构化语言,能够以标准化 和结构化的方式获取更广泛的网络威胁信息,常用于威胁情报的共 享与交换,目前在全球范围内使用最为广泛。 STIX 在定义了 8 中 构件的 1.0 版本基础上,已经推出了定义了 12 中构件的 2.0 版本。 杀伤链最早来源于军事领域,用于描述进攻一方各个阶段 的状态。 在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为 Kill Chain,也称作网络攻击生命周期,包括侦查 追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目 标达成等七个阶段,来识别和防止入侵。
ATT&CK
描述攻击者技术战术的知识库,将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
钻石模型
可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。这种科学的方法和简单性可以改善分析的效率、效能和准确性。是入侵分析的一种方法。
关联分析
又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因 果结构。 在网络安全领域主要是指将不同维度、类型的安全数据 进行关联挖掘,找出其中潜在的入侵行为。 态势感知 是一种基于环境的、动态、整体地洞悉安全风险的能力, 是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、 理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
探针
网络安全探针或安全探针,可以简单的理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量日志,发现异常行为,并对可能到来的攻击发出预警。
网络安全测绘
用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。
SOAR
Security Orchestration, Automation and Response,意即安全编排自动化与响应,主要通过剧本化、流程化的指令,对入侵行为采取的一系列自动化或者半自动化响应处置动作。 UEBA 全称为 User and Entity Behavior Analytics,即用户实体行为分析,一般通过大数据分析的方法,分析用户以及 IT 实体的行为,从而判断是否存在非法行为。
内存保护
内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的主要目的是防止某个进程去访问不是操作系统配置 给它的寻址空间。
RASP
Runtime application self-protection,翻译成应用运行时自我保护。 在 2014 年时由 Gartner 提出,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。
包检测
对于流量包、数据包进行拆包、检测的行为。
深度包检测DPI
Deep Packet Inspection,缩写为 DPI,又称完全数据包探测(complete packet inspection)或信息萃取(Information eXtraction,IX),是一种计算机网络数据包过滤技术,用来检查 通过检测点之数据包的数据部分(亦可能包含其标头),以搜索不 匹配规范之协议、病毒、垃圾邮件、入侵迹象。 全流量主要体现在三个“全”上,即全流量采集与保存,全行为分析以及全流量回溯。 通过全流量分析设备,实现网络全流量采集与保存、全行为分析与全流量回溯,并提取网络元数据上传到大数据分析平台实现更加丰富的功能。
元数据
元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。
欺骗检测
以构造虚假目标来欺骗并诱捕攻击者,从而达到延误攻击节奏,检测和分析攻击行为的目的。
微隔离
是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
逆向
逆向工程或者逆向分析,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。更多是调查取证、恶意软件分析。
无代理安全
在终端安全或者虚拟化安全防护中,往往需要在每一台主机或者虚机上安装 agent(代理程序)来实现,这种方式往往需要消耗大量的资源。 而无代理安全则不用安装 agent,可以减少大量的部署运维工作,提升管理效率。
CWPP
Cloud Workload Protection Platform,意为云工作负载保 护平台,主要是指对云上应用和工作负载(包括虚拟主机和容器主机上的工作负载)进行保护的技术,实现了比过去更加细粒度的防护,是现阶段云上安全的最后一道防线。
CSPM
云安全配置管理,能够对基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密 设置)。如果发现配置不合规,CSPM会采取行动进行修正。
CASB
Cloud Access Security Broker,即云端接入安全代理。作为部署在客户和云服务商之间的安全策略控制点,是在访问基于云的资源时企业实施的安全策略。
防爬
意为防爬虫,主要是指防止网络爬虫从自身网站中爬取信息。网络爬虫是一种按照一定的规则,自动地抓取网络信息的程序或者脚本。
安全资源池
多种安全产品虚拟化的集合,涵盖了服务器终端、网络、业务、数据等多种安全能力
IAM
Identity and Access Management,即身份与访问管理,经常也被叫做身份认证。
4A
即认证 Authentication、授权 Authorization、账号 Account、审计 Audit,即融合统一用户账号管理、统一认证管理、统一授权管 理和统一安全审计四要素后的解决方案将,涵盖单点登录(SSO)等安全功能。Access Control list(ACL) 访问控制列表。
多因子认证
主要区别于单一口令认证的方式,要通过两种以上的认证机制之后,才能得到授权,使用计算机资源。 例如,用户要输入PIN 码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以降低单一口令失窃的风险,提高安全性。 特权账户管理简称PAM。由于特权账户往往拥有很高的权限,因此一旦失窃或被滥用,会给机构带来非常大的网络安全风险。所以,特权账户管理往往在显得十分重要。 其主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
零信任
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、 网络以及设备,采取动态认证和授权的方式,把访问者所带来的网络安全风险降到最低。
SDP
Software Defined Perimeter,即软件定义边界,由云安全联盟基于零信任网络提出,是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。
Security as a Service
安全即服务,通常可理解为以 SaaS 的方式,将安全能力交付给客户。
同态加密
同态加密是一类具有特殊自然属性的加密方法,此概念是 Rivest等人在 20 世纪 70 年代首先提出的,与一般加密算法相比,同态 加密除了能实现基本的加密操作之外,还能实现密文间的多种计算功能。
1204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
