最近工作有点忙,马上要放假了,今天想和大家简单分享下这几天的一些想法,如有问题,还请多多赐教。
目前安全厂商的安全策略主要是基于传统的五元组思维来梳理冗余策略、失效策略等,这种功能可以将安全运维人员从繁琐的策配置和优化中解放出来,现在很多行业的安全厂商,都可以做到这一点。从实际场景来说,使用这个功能的一般是大型企事业单位,这种行业客户,仅五元组策略就达到了上百条,有的策略是为了临时运维,有的是为了测试业务,这些策略具有很明显的时效性。这种策略自动梳理的功能提高了工作效率。
但是目前的网络安全事件,主要是发生在应用层。五元组是基于传统的防火墙而言,如果没有web业务的场景中,基于五元组的策略梳理是没有问题的。
目前的网络攻击事件针对的对象主要是web应用,基于五元组的策略梳理,对web应用攻击的防护基本没有什么好的效果,这个时候我们就使用到了安全网关中的入侵防护、防病毒等功能。在实际配置中,我们一般是使用一个默认的模板进行入侵防护和防病毒的配置,对于web业务使用频繁的环境,这种配置模式会对业务的可用性造成非常严重的影响,最后不得已的办法只能检测不阻断,这应该是当前的现状。
如果能使用自学习模式,对用户业务系统等行为进行建模学习,同时结合内置的威胁特征,生成最适合用户场景的安全策略,降低误报和漏报率,更能为用户创造价值。
上述只是想法而已,如果雷同,纯属巧合 .......