网络安全产品---态势感知&EDR

态势感知

what

SA,Situational Awareness

是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。

why

安全防护思想已经从过去的被动防御向主动防护和智能防护转变。如果不做到主动防御很难应对APT(高级持续性威胁)

  • 安全建设的目标从满足合规转变为增强防御和威慑能力

  • 攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。

  • 对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。

how

态势感知的三要素即感知、理解和预测

利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。(DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等)

通过威胁地图直观展示在全球范围内面临的威胁和最近发现的威胁事件,便于管 理者能及时发现威胁,预判全网安全走势。提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平

SA与其他安全服务的关系与区别

SA本身不做具体的安全防护行为,而是作为安全管理服务,依赖于其他安全服务提供威胁检测数据以及安全防护设备日志等信息,进行安全威胁风险分析,呈现全局安全威胁态势,并提供防护建议。

其他安全服务将检测到的危险数据处理的同时,将这些数据同一汇集在SA呈现全局态势

同ERD区别与联系

(Endpoint Detection and Response,端点检测和响应),在端点设备安装轻量级数据收集工具或代理来收集数据,针对端点设备的恶意活动,基于安全团队设置的预定义规则,或者机器学习算法随着时间的推移学习,来实现自动响应。

按我的理解EDR就是传统pc杀毒软件+主动防御(事先监控阻断未知威胁)+可以被统一监管与设置个性化安全策略

联系

  1. 数据源:EDR和动态感知都依赖于各种数据源来进行安全事件分析和检测。EDR主要依赖于终端设备上的数据源,如注册表、日志、网络连接等;而动态感知主要依赖于网络流量数据、入侵检测系统(IDS)警报、威胁情报等数据。

  2. 分析方法:EDR和动态感知都使用先进的分析方法来检测和响应安全事件。EDR常使用行为分析、异常检测和威胁情报比对等方法;而动态感知常使用流量分析、机器学习、行为模型等方法。

  3. 综合安全:EDR和动态感知可以结合使用,提供更综合的终端和网络安全保护。通过集成EDR和动态感知,可以实现从终端到网络的全面威胁检测和响应,提高整体安全防御能力。

以上仅从单一方面介绍了SA的基本情况

具体参考

成长地图_态势感知 SA (huaweicloud.com)

(eBook)网络安全态势感知 - 华为 (huawei.com)

相关推荐
CHANG_THE_WORLD8 小时前
TCP 三次握手彻底解析:SYN、ACK、SEQ、确认号与状态迁移
网络·网络协议·tcp/ip
csdn_aspnet8 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
DLYSB_9 小时前
基于 HTTP API 与 Modbus 协议的多源监控声光语音联动告警系统设计与实现
网络·网络协议·http·报警灯
ChainSafeAI00310 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
Bobolink_10 小时前
手机端和电脑端的网络环境配置有什么不同?
网络·智能手机·电脑·网络环境
世***y10 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站10 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
星恒讯工业路由器11 小时前
三大工业以太网协议选型对比
网络·物联网·ethercat·profinet·ethernet/ip·工业以太网协议
春卷同学11 小时前
HarmonyOS掌上记账APP开发实践第25篇:Image 组件高级用法 — 资源引用、网络图片与首字符占位方案
网络·华为·harmonyos
mounter62511 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel