网络安全产品---态势感知&EDR

态势感知

what

SA,Situational Awareness

是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。

why

安全防护思想已经从过去的被动防御向主动防护和智能防护转变。如果不做到主动防御很难应对APT(高级持续性威胁)

  • 安全建设的目标从满足合规转变为增强防御和威慑能力

  • 攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。

  • 对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。

how

态势感知的三要素即感知、理解和预测

利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全攻击态势。(DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等)

通过威胁地图直观展示在全球范围内面临的威胁和最近发现的威胁事件,便于管 理者能及时发现威胁,预判全网安全走势。提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平

SA与其他安全服务的关系与区别

SA本身不做具体的安全防护行为,而是作为安全管理服务,依赖于其他安全服务提供威胁检测数据以及安全防护设备日志等信息,进行安全威胁风险分析,呈现全局安全威胁态势,并提供防护建议。

其他安全服务将检测到的危险数据处理的同时,将这些数据同一汇集在SA呈现全局态势

同ERD区别与联系

(Endpoint Detection and Response,端点检测和响应),在端点设备安装轻量级数据收集工具或代理来收集数据,针对端点设备的恶意活动,基于安全团队设置的预定义规则,或者机器学习算法随着时间的推移学习,来实现自动响应。

按我的理解EDR就是传统pc杀毒软件+主动防御(事先监控阻断未知威胁)+可以被统一监管与设置个性化安全策略

联系

  1. 数据源:EDR和动态感知都依赖于各种数据源来进行安全事件分析和检测。EDR主要依赖于终端设备上的数据源,如注册表、日志、网络连接等;而动态感知主要依赖于网络流量数据、入侵检测系统(IDS)警报、威胁情报等数据。

  2. 分析方法:EDR和动态感知都使用先进的分析方法来检测和响应安全事件。EDR常使用行为分析、异常检测和威胁情报比对等方法;而动态感知常使用流量分析、机器学习、行为模型等方法。

  3. 综合安全:EDR和动态感知可以结合使用,提供更综合的终端和网络安全保护。通过集成EDR和动态感知,可以实现从终端到网络的全面威胁检测和响应,提高整体安全防御能力。

以上仅从单一方面介绍了SA的基本情况

具体参考

成长地图_态势感知 SA (huaweicloud.com)

(eBook)网络安全态势感知 - 华为 (huawei.com)

相关推荐
HMS Core10 分钟前
HarmonyOS免密认证方案 助力应用登录安全升级
安全·华为·harmonyos
bing_15817 分钟前
MQTT 和 HTTP 有什么本质区别?
网络·网络协议·http
Gauss松鼠会44 分钟前
GaussDB权限管理:从RBAC到精细化控制的企业级安全实践
大数据·数据库·安全·database·gaussdb
杨浦老苏2 小时前
Docker端口映射查看工具Dockpeek
网络·docker·群晖
未来之窗软件服务2 小时前
通过网页调用身份证阅读器http websocket方法-华视电子————仙盟创梦IDE
网络·网络协议·http·仙盟创梦ide·东方仙盟·硬件接入
创小匠3 小时前
创客匠人解析创始人 IP 定位:从专业度到用户心智的占领之道
网络·网络协议·tcp/ip
小赖同学啊3 小时前
基于区块链的物联网(IoT)安全通信与数据共享的典型实例
物联网·安全·区块链
车载测试工程师3 小时前
车载以太网网络测试-29【SOME/IP-SD】-SD状态机
网络·网络协议·tcp/ip·车载系统·php
高兴达4 小时前
RPC--自定义注解注册发布服务
网络·网络协议·rpc
lang201509285 小时前
Reactor ConnectableFlux支持多订阅者
java·网络