近期,《IDC MarketScape: 中國態(tài)勢感知解決方案市場研究��,2023》報告發(fā)布���。IDC認為�,經(jīng)過多年的發(fā)展,態(tài)勢感知平臺技術(shù)持續(xù)演進�,更趨向于實用化、實戰(zhàn)化�����,有效的幫助客戶應對網(wǎng)絡攻擊��,平臺的綜合能力日趨成熟����。盛邦安全在2023年中國態(tài)勢感知解決方案市場評估中被IDC認定為該市場的“主要廠商”,再次獲得知名第三方咨詢機構(gòu)的認可��,是盛邦安全堅持“兩精一深”研發(fā)戰(zhàn)略的成果體現(xiàn)���。
經(jīng)過多年技術(shù)積累與產(chǎn)品打磨,盛邦安全靈活應對不同行業(yè)場景的需求痛點����,構(gòu)建對應不同分析視角的多維度方案,符合態(tài)勢感知體系在通用分析模型的基礎上具備個性化場景理解能力的技術(shù)要求�����。在產(chǎn)品理念、技術(shù)實現(xiàn)和市場應用方面具有如下特點:
豐富的數(shù)據(jù)源
包含了資產(chǎn)臺賬信息��、API資產(chǎn)數(shù)據(jù)�����、資產(chǎn)脆弱性數(shù)據(jù)��、入侵威脅事件��、高級威脅事件和橫向異常行為等多種類型的數(shù)據(jù)���,可以提取資產(chǎn)IP��、域名/子域名����、端口����、服務、系統(tǒng)�、中間件、安全漏洞��、弱口令、網(wǎng)站腳本(Webshell)后門����、內(nèi)容審計、惡意訪問�、非法掃描、僵尸主機���、木馬��、蠕蟲攻擊�、暴力破解�����、注入�、跨站腳本����、請求偽造等各種維度的元數(shù)據(jù),原始信息豐富�、研判依據(jù)全面,可以為態(tài)勢感知提供可靠的數(shù)據(jù)支撐����,并且在事件研判時提供詳細的依據(jù)線索��。
動態(tài)的資產(chǎn)視角
通過資產(chǎn)治理的安全視角建立了一套從網(wǎng)絡資產(chǎn)管理出發(fā)����,圍繞資產(chǎn)屬性����、管理狀態(tài)、自身安全性和被攻擊風險進行關聯(lián)分析的態(tài)勢感知模型����,在入侵監(jiān)控、脆弱性監(jiān)控的基礎上進一步豐富了事件分析的維度�。通過主動測繪、被動測繪�����、Agent采集和人工上報���、手動梳理相結(jié)合的方式��,形成動態(tài)更新的多源融合資產(chǎn)臺賬�����,保障資產(chǎn)管理的準確性和時效性���,協(xié)助用戶從業(yè)務角度梳理安全態(tài)勢�,精準識別安全風險���,合理執(zhí)行應急響應措施�����。
精準的關聯(lián)分析
方案包含了不同維度的原始安全事件�����,也融合了PDNS��、whois�����、組織架構(gòu)信息、網(wǎng)情信息��、威脅情報,可以有效提升事件關聯(lián)分析的準確性����;通過SOAR安全編排與自動化引擎關聯(lián)分析,找出不同類型安全事件之間的聯(lián)系��,排除干擾因素��,提取有效信息�,并結(jié)合資產(chǎn)的健康狀態(tài)、遭受威脅的可能性��、威脅的破壞程度等信息準確判斷事件影響程度并給出處置建議�����。
閉環(huán)的處置流程
方案整體設計思路覆蓋安全事件的態(tài)勢監(jiān)控�、關聯(lián)分析、事件研判����、通報預警和應急處置等環(huán)節(jié),可以針對某個安全事件提供從發(fā)現(xiàn)分析到處置跟蹤的完整流程��,并利用通報處置功能將安全技術(shù)與管理操作有效結(jié)合起來����,協(xié)助用戶跟進事件處置的整個過程���,不論是高風險的入侵事件、高危漏洞或是非法行為等都能夠真正地做到安全閉環(huán)處置��。
在《IDC MarketScape: 中國態(tài)勢感知解決方案市場研究�,2023》調(diào)研中,IDC提出如下建議:
做好運營���、度量安全
當態(tài)勢感知平臺建設完成后���,如何體現(xiàn)其價值是非常重要的。不僅要發(fā)現(xiàn)問題�����,更要展現(xiàn)出來���,讓安全的價值呈現(xiàn)出來�����。這就需要與技術(shù)提供商做好充分的配合���,并通過持續(xù)的運營呈現(xiàn)企業(yè)網(wǎng)絡安全的狀況與發(fā)展趨勢,成為獲得企業(yè)高管安全投資的重要依據(jù)����。
關注事件分析而非日志分析
日志分析所呈現(xiàn)的只是攻擊環(huán)節(jié)的一個或多個片段,而事件分析則可以基于攻擊鏈呈現(xiàn)出完整的攻擊過程及所帶來的危害�����。當前的態(tài)勢感知平臺的遙測數(shù)據(jù)源很廣泛����,這便于其對網(wǎng)絡攻擊事件做出更精準的判斷。同時�����,基于ATT&CK框架可以更好的了解攻擊者的技戰(zhàn)術(shù)���,幫助客戶有效的了解并處置安全事件����。日志分析側(cè)重過程����,而事件分析關注結(jié)果���。
SOAR助推自動化能力提升
SOAR能力已經(jīng)成為態(tài)勢感知平臺的標配,進一步提升對安全事件閉環(huán)處置的效率�。當然,使用者需要了解其原理�����、結(jié)合自身業(yè)務特點定制符合自身的劇本是非常必要的����。
低代碼使得快速定制成為可能
平臺類產(chǎn)品的定制開發(fā)需求不可避免。過去�����,對于技術(shù)提供商而言平臺類產(chǎn)品����,提供定制開發(fā)周期是比較長的,但是隨著低代碼技術(shù)的普遍應用�����,定制開發(fā)的效率在快速提升,這不僅有利于技術(shù)提供商�����,也可以將整個項目的交付周期縮短����,讓平臺快速上線���。
做好生態(tài)融合管理
大型客戶環(huán)境中通常包括大量的不同品牌的安全產(chǎn)品��,通過態(tài)勢感知平臺的納管是從技術(shù)層面完成的����,但客戶要把不同的技術(shù)提供商作為保障自身安全防御能力的生態(tài)來管理�����,這樣有助于提升綜合安全效能��,從容面對網(wǎng)絡攻擊����。
積極嘗試新技術(shù)�����、關注新能力
部分態(tài)勢感知技術(shù)提供商開始嘗試增加BAS���、合規(guī)性管理等能力,最終客戶可以從自身視角驗證其價值����,更多的嘗試新技術(shù)、新功能��,不僅有助于提升自身網(wǎng)絡安全體系的檢測有效性��,更能促進技術(shù)提供者相關技術(shù)的成熟度��。
