安全术语

最新推荐文章于 2023-11-12 17:11:22 发布

lwxian

最新推荐文章于 2023-11-12 17:11:22 发布

阅读量1.3k

点赞数

分类专栏：安全

原文链接：https://blog.51cto.com/yepeng/2440311

版权

安全专栏收录该内容

1 篇文章 0 订阅

订阅专栏

安全术语

安全信息和事件管理（SIEM：security information and event management）

产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据，并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。

安全管理中心（SOC：Security Operations Center）

一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
　　本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在。

安全编排和自动化响应（SOAR：Security Orchestration, Automation and Response）

Gartner2017年提出的新概念。目前来说，一般大中型企业都已经建立了相对比较完备的安全运营中心SOC，为什么又要提出SOAR的概念呢。主要是因为在SOC的运营过程中，面临以下的一些问题：

大量的安全事件，都需要安全分析师的介入，运营成本高，企业需要用更少的钱，来做更多的事。
安全分析师的分析时间，经常被浪费在一些低级别或无关紧要的事件分析上。
传统的安全响应执行过程，响应时间长，人工介入多，相关处理过程难以定量评估。
人员流动，带来运营过程的变化和运营质量的变化，比如老人离职，新人进来需要培训，需要时间和经验的积累。

核心概念

SOAR平台主要就是解决这些问题，其核心概念主要包括：

Orchestration，编排
与过去相比，现在的安全运营中心需要整合大量的系统，运维的复杂度也大大增加，事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求，必然需要的提供丰富的事件响应与处理编排能力，可以进行流程定制，流程执行，流程监控，结果的验证与评估，流程再造。
Automation，自动化
当前安全分析师在解决安全问题时所需要的数据，分析的方法与过去相比，其工作量和内容都大大增加。数据是海量的数据，大量的数据需要使用自动化方式去处理。既可以节省时间，人力，成本，也避免人在处理大量数据的过程中带来的误差或失误。
合理的KPI评估体系
系统提供编排与自动化执行能力，也需要对流程和自动化执行的结果进行有效的评估，需要提供合理的评估方法，可量化的评估指标，根据评估结果，才可以进行流程再造，优化我们的编排内容，带来整个安全运营中心的效率提升。

SOAR平台基本功能需求

针对SOC运营的一些问题，我们可以看出SOAR平台需要具备的一些基本功能：

系统能够对接主流的安全管理平台的管理数据，可以对安全事件进行二次分析和聚合。
具备流程化自动执行功能，能够依据场景或案例，制定执行计划和执行脚本，并具备自动、半自动和手动执行的能力。
对执行效果可以提供合适的KPI进行评估，反馈，在修改的能力。
执行过程能够整合既有的知识库，经验。
和威胁情报对接能力，多协议支持。
可定制的可视化分析和展现，可以定制Dashboard展现内容。
内容分享，沟通和交互，充分利用微信，邮件等既有沟通平台，提供反应速度。

SOAR和SOC的关系

有一部分人认为SOAR的功能是包含在SOC中的，比如现在国内的一些安全厂家，也都在SOC中添加事件处理，调查，响应功能。但是专业的事还是需要专业的软件来执行，SOAR更偏重于安全分析师所做的工作，侧重于过程，比如把对于一封钓鱼邮件的分析，通过程序自动化的执行。而且一套好的SOAR平台，是能够整合不同厂家的相关产品，不管是SIEM，SOC，还是TI相关产品。SOC产品更偏重于事件的采集，分析与告警，响应在SOC中更多的是手动的的操作。

零信任 / 微分段

在安全机制的实现层面，软件定义安全的安全控制平台进行集中管控，以统一的策略控制全局的
安全资源和规则。以安全设备为中心的固定边界防护和内部区域信任的传统防护思路将会发生变化，
一个明显的现象是近期零信任和微分段等技术路线的兴起。

2015年Google发表了一篇介绍其内网安全计划“BeyondCorp”的文章，内容大致是废弃防火墙。
乍看出乎大多数人的意料，似乎 Google 抛弃了网络边界，也就放弃了内网安全；但细看内容，其实
Google 通过该计划彻底打破内外网之别，通过统一的访问控制引擎，管理不同用户对不同资源的访问，而不将用户和资源的位置作为决策依据。

硅谷创业公司 Skyport Systems 也是为企业计算基础设施提供高效的访问控制系统。按照传统建
立边界思维，攻击者在进入系统内部后就容易进一步攻击内部其他重要资源，而 Skyport Systems 提
出的逻辑是，所有的资源都是零信任，即便内部某资源被攻破，从该点作为跳板进一步攻击也是困难的。通过软件定义的访问控制的理念，做到“零信任”条件下各处的访问控制策略快速调整。

此外，云安全联盟（Cloud Security Alliance，CSA）也提出了软件定义边界（Software Defined
Perimeter，SDP）的标准，在企业内网中，可通过集中式的 SDP 控制器，对任意主客体之间的访问做到一致、高效的控制。通过 SDP 标准所定义的架构，可实现 Google BeyondCorp 和 Skyport Systems
所要达到的目标。

在虚拟化场景中，VMWare 提出了微分段（Micro-Segmentation）的概念，可根据用户策略，灵
活地将东西向的任意虚拟机组成区域，在这些边界间部署访问控制的规则。正是因为分段粒度、规模
和策略都可以通过应用可调，所以Gartner也称之为软件定义分段（Software Defined-Segmentation）。

上述访问控制的项目、标准和产品的实现方式各有不同，但它们的出发点类似：通过软件化、集
中化的访问控制应用，实现事前零信任；通过软件定义实现全局一致、无死角的安全访问控制。

网络流量分析（NTA：Network Traffic Analysis）

由Gartner创建与定义，并获其首次认可的新兴技术和产品类别。NTA入选了2017年十一大信息安全新兴技术，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成部分。

简而言之，NTA就是记录、审查和分析网络流量数据的过程。目的是为了检查网络在安全性、操作、管理或网络健康状况方面的表现。作为网络管理者，可以通过手动或自动化的技术、解决方案来执行网络流量分析，以查看网络流量统计信息和粒度级别的详细信息。安全研究员也可以使用相同的技术来分析网络流量模式，以便更快的发现漏洞。

EDR（Endpoint Detection and Response：终端检测与响应）

统一体的另一端，凸显的是高级检测与响应， EDR的重点不在于阻止漏洞利用和恶意软件，而在于监视终端以检测可疑活动，并捕获可疑数据以进行安全取证及调查。

EDR解决方案应具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件,以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应。

主要功能：
1、采用轻量级Agent
2、统一管理，天然支持批量管理
3、入侵检测
4、资产清点
5、基线检测
6、漏洞管理
主要厂家：安骑士云锁杰思安全狗

MDR 威胁检测与响应服务

MDR服务是Gartner在2016年正式提出来的,定位于对高级威胁的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同,MDR还试图帮助客户监测内部网络中的流量,尤其是识别高级威胁攻击的横向移动环节的蛛丝马迹,以求更好地发现针对客户内部网络的高级威胁。

MSSP（安全托管服务提供商）

MSSP，Managed Security Service Provider，安全托管服务提供商。就是提供MSS服务的专业机构。

网络功能虚拟化（NFV：Network Functions Virtualization）

一种对于网络架构（network architecture）的概念，利用虚拟化技术，将网络节点阶层的功能，分割成几个功能区块，分别以软件方式实作，不再局限于硬件架构。

NFV核心技术：通过基于行业标准的x86服务器、存储和交换设备替换通信网络中的专用和专用网络元件设备。

网络功能虚拟化（NFV）的核心是虚拟网络功能。它提供只能在硬件中找到的网络功能，包括很多应用，比如路由、CPE、移动核心、IMS、CDN、饰品、安全性、策略等等。

用户实体行为分析（UEBA: User and Entity Behavior Analytics ）

UEBA（用户和实体行为分析）是由UBA（用户行为分析）概念演进而来。UBA最初的提出，是为了应对日益增长的内部（人员）威胁。但是，更多的IT资产和设备，即实体（Entity）的概念被渐渐引入。通过UEBA，异常行为分析不仅可以发现内部失陷主机，还能对外部网络攻击以及渗透成功后的内部横向移动有更强的洞察力。

究其本质，UEBA技术是通过对人的行为数据进行分析，并将行为模式进行分类，以检测出“有意义的异常”。近年，UEBA相关的安全项目已经成为众多企业CISO的投资热点。UEBA的技术部署形态也逐渐走向两个方向，一是以传统、单独产品形态存在，另一种则是将基于机器学习的行为分析能力融入到现有安全产品和体系中。

网络流量分析(NTA:Network Traffic Analysis)

数据泄露防护系统（DLP：Data leakage prevention）

数据泄密（泄露）防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss prevention, DLP)，有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是目前国际上最主流的信息安全和数据防护手段。

入侵防御系统(IPS: Intrusion Prevention System) & 入侵响应系统(IRS: Intrusion Response Systems)

是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

在ISO/OSI网络层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵侦查系统(IDS: Intrusion Detection System）投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。

入侵预防系统也像入侵侦查系统一样，专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

网空威胁情报(CTI:Cyber Threat Intelligence)

网空威胁情报(CTI)是分析关于满足利益相关方特定需求的对手的能力、机会和意图的信息。组织利用网空威胁情报项目来聚焦于他们所面临的威胁，并提供具体的信息来帮助组织抵御这些威胁。

威胁情报分析

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

威胁情报分为四种类型：

战略威胁情报
战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题，它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报，主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。
运营威胁情报
运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击，并进行针对性的防御。
战术威胁情报
战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP，其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。
技术威胁情报
技术威胁情报(Technical Threat Intelligence)主要是失陷标识，可以自动识别和阻断恶意攻击行为。
当前，业内更广泛应用的威胁情报主要还是在技术威胁情报层面。

威胁情报开放平台：
1、微步在线 https://x.threatbook.cn/
2、Riskiq http://passivetotal.org
3、360威胁情报中心 https://ti.360.net/
4、virustotal https://www.virustotal.com/
5、OTX https://otx.alienvault.com/
6、绿盟威胁分析中心 https://poma.nsfocus.com/
7、天际友盟 https://redqueen.tj-un.com/IntelHome.html

网络态势感知（CSA：Cyberspace Situation Awareness）

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

安全合规性

内部合规
内部合规就是保证组织按照内部规章制度办事，规则如何制定以及如何持续性优化，安全合规的人员通常会参考业界最佳实践，例如ISO2700x，云服务信息安全ISO/IEC 27017/18，ISO19086，等等。

外部合规
安全合规还需要面对外部的法律法规。
其一，做好监管机构和组织的对接人，及时传达监管机构的最新指示和要求。
其二，及时解读安全方面的法律法规，例如《网安法》之类的国家安全法律，行业主管部门发布的一系列法律法规，并检查自身的产品是否符合法律法规，发现问题及时整改。

云访问安全代理 (CASB:Cloud Access Security Broker)

CASB全称Cloud Access Security Broker，最早是2012年由Gartner提出的概念，并且连续几年占据Gartner TOP10信息安全技术榜首，可谓是风光无二。

一个技术或者产品的诞生必然有其痛点，CASB主要针对的问题就是公有云带来的数据管控问题，以及其衍生出的影子IT（Shadow IT）和BYOD（Bring your own device）问题。用户在使用公有云的基础设施，接口服务或者云应用的过程中，数据必然会进入服务运营商的系统中，但数据只是托管，所有权还是用户的，但数据在第三方驻留必然会导致信任问题，这个问题即使服务运营商拍胸脯，签协议也无法完美解决，这是CASB诞生的契机。至于影子IT和BYOD，就是企业用户使用了哪些云服务和用什么设备访问这些云服务都不受企业管控，从而引发数据泄露等安全问题。

云安全问题分为两种，第一种是云本身的安全问题，云本质上还是软件，传统的软件受到的威胁不会少（越权，注入等），同时云作为新的形态引入了更多的安全问题，比如虚拟机逃逸，数据隔离等问题，这些问题应当是云服务商做好，责任也应当在云服务商。还有第二种是使用云的安全问题，这个问题不只是云服务商能够解决，责任也应当是云用户和云服务商共担，云服务商需要承诺不查看，使用，泄露用户的数据，同时用户自己也要保证自己正确安全的使用云服务，这里面有些行业（金融，医疗）可能直接上公有云就是不合规。

威胁狩猎（Threat Hunting）

威胁狩猎，顾名思义，就是在网络安全的世界中寻找威胁，威胁每天都在变化。因此，开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。
从威胁狩猎的定义开始，通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。
威胁狩猎不是一种技术，而是一种方法。作为一名安全分析师，威胁猎捕是以有效地运用我们的知识发现网络环境中的任何异常情况。
威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。
参阅：https://www.freebuf.com/articles/neopoints/219164.html