本文探讨了企业安全管理平台中的事件关联分析,旨在从海量安全数据中发现异常活动逻辑,揭示攻击意图、步骤和风险。关联分析包括基于规则、统计和威胁情报的方法,其中基于规则分析用于已知事件,统计分析减少重复告警,威胁情报增强分析效率和响应速度。新一代平台应结合多种分析方法,利用大数据和新技术实现智能化安全态势感知。
在当今社会中,随着信息技术的迅猛发展,企业内部的网络环境正面临着复杂多变的信息安全问题。这里既有来自于互联网对企业内网的各种入侵和攻击威胁,也有来自于企业内网中的违规操作和信息泄漏。为了应对层出不究的网络攻击和系统漏洞,许多企业先后部署了防火墙、入侵检测与防护系统、漏洞扫描系统、病毒防护系统等安全产品。但由于这些安全产品都仅仅防堵来自某个方面的安全威胁,于是形成了一个个安全防御孤岛,无法产生协同效应。因此,就要求企业需要建立一套能够横向贯穿安全防线的统一安全管理平台,实现对全网IT资产整体安全风险的监控,真正让企业安全管理人员把握整体安全态势,实现有效地协同防御。
要构建一个统一的安全管理平台,首先就需要将来自企业网络中各类IT资产及其安全防御设施运行过程中不断产生的各类安全数据和安全日志进行统一收集、分析,形成企业网络的整体安全态势。而在企业网络安全中,各种网络安全设备产生的安全数据和安全日志数据等信息往往过于离散和庞大,很难进行人工解读,难以及时发现攻击的时间、空间、意图和危害等因素;同时,也给安全管理平台的收集和分析带来了巨大的挑战。安全管理平台决不能简单地将这些海量的信息直接展示给用户,否则,用户面对这些海量的安全事件将束手无策,管理运维效率将不升反降。而且网络安全设备自身的不足也会导致严重的误报及漏报情况,这也会增加安全人员发现攻击行为的难度。在这种情况下,安全管理人员难以发现完整的攻击场景、时序和地域关系,及时有效地处理这些离散事件的难度变得越来越大,这就迫切需要对大量的离散事件进行分类、整合和关联。因此,安全事件关联分析技术应运而生。
安全事件关联分析技术作为企业安全管理平台的
最低0.47元/天 解锁文章
扫一扫
5600
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
