網路安全裝置概念的熟悉和學習

參考：

1. 網路安全裝置概念的熟悉和學習
2. 中國網路安全產品分類及全景圖
3. CWPP(雲工作負載保護平臺)
4. 安全狗陳奮：基於EDR和MDR技術的新一代應急響應體系
5. 阿里雲安全肖力：從RSA2019看安全技術發展的十個機遇

今年RSA創新沙盒的冠軍Axonius。其核心優勢在於解決了企業資產管理不全的痛點。Axonius可以幫助企業降低攻擊面並能與其他安全產品進行聯動。這個概念並不超前。我們看到在過去的一年裡，無論是有廣泛市場需求的資料安全領域還是機器學習及AI在安全領域的應用，安全技術上沒有出現突破性/顛覆性的創新。當談到雲上安全的最佳實踐，企業安全體系重要的不僅僅是梳理資產，減少攻擊面。我認為更重要的是

• 建立統一的身份認證授權體系
• 安全基線的運營
• 全域性漏洞管理
• 預設安全流程策略
• 敏感資料加密。

這個組合拳才是整個企業安全的基石。在這些基礎領域之上提升6. 威脅檢測、7. 事件調查、8. 自動化響應、9.安全溯源能力才能讓整個體系更穩固。

安全運營中心（SOC）

什麼是安全運營中心？

SOC，全稱是Security Operations Center，是一個以IT資產為基礎，以業務資訊系統為核心，以客戶體驗為指引，從監控、審計、風險和運維四個維度建立起來的一套可度量的統一業務支撐平臺，使得各種使用者能夠對業務資訊系統進行可用性與效能的監控、配置與事件的分析審計預警、風險與態勢的度量與評估、安全運維流程的標準化、例行化和常態化，最終實現業務資訊系統的持續安全運營。 本質上，SOC不是一款單純的產品，而是一個複雜的系統，他既有產品，又有服務，還有運維(運營)，SOC是技術、流程和人的有機結合。SOC產品是SOC系統的技術支撐平臺，這是SOC產品的價值所在。

為什麼會出現SOC？

過去我們都讓安全專家來管理各種型別的防火牆、IDS和諸如此類的安全措施，這主要是因為安全問題一般都發生在網路中非常具體的某個地點。但是，現在的情況已經變化，安全問題已經不再像當年那麼簡單。安全是一個動態的過程，因為敵方攻擊手段在變，攻擊方法在變，漏洞不斷出現；我方業務在變，軟體在變，人員在變，妄圖通過一個系統、一個方案解決所有的問題是不現實的，也是不可能的，安全需要不斷地運營、持續地優化。安全措施應當被實施在應用層、網路層和儲存層上。它已經成為您的端對端應用服務中的一部分，與網路效能的地位非常接近。
安全管理平臺在未來安全建設中的地位尤其重要，它能夠站在管理者的角度去‘俯瞰’整個安全體系建設，對其中每一層產品都可以進行全面、集中、統一的監測、排程和指揮控制。可以說，未來的態勢感知的根基就是安全管理平臺。

資訊保安和事件管理（SIEM）

SIEM，資訊保安和事件管理，全稱是security information and event management，由SEM和SIM兩部分構成。

什麼是SIEM？

SIEM軟體能給企業安全人員提供其IT環境中所發生活動的洞見和軌跡記錄。
SIEM技術最早是從日誌管理髮展起來的。它將安全事件管理(SEM)——實時分析日誌和事件資料以提供威脅監視、事件關聯和事件響應，與安全資訊管理(SIM)——收集、分析並報告日誌資料，結合了起來。

SIEM的運作機制是什麼？

SIEM軟體收集並聚合公司所有技術基礎設施所產生的日誌資料，資料來源從主機系統及應用，到防火牆及殺軟過濾器之類網路和安全裝置都有。
收集到資料後，SIEM軟體就開始識別並分類事件，對事件進行分析。該軟體的主要目標有兩個：

產出安全相關事件的報告，比如成功/失敗的登入、惡意軟體活動和其他可能的惡意活動。
如果分析表明某活動違反了預定義的規則集，有潛在的安全問題，就發出警報。

統一威脅管理（UTM）

什麼是UTM？

統一威脅管理（UTM，Unified Threat Management），顧名思義，就是在單個硬體或軟體上，提供多種安全功能。這跟傳統的安全裝置不同，傳統的安全裝置一般只解決一種問題。
基礎功能：

網路防火牆（Network Firewall）
入侵檢測（Intrusion Detection）
入侵預防（Intrusion Prevention）

可能會有的功能：

防病毒閘道器（Gateway Anti-Virus）
應用層防火牆和控制器（Application Layer Firewall and control）
深度包檢測（Deep packet inspection）
Web代理和內容過濾（Web Proxy & content filtering）
資料丟失預防（DLP)
安全資訊和事件管理（SIEM）
虛擬專用網路（VPN）
網路沼澤（Network Tarpit）

MDR威脅檢測與響應服務

MDR服務是Gartner在2016年正式提出來的,定位於對高階威脅的檢測與響應服務。與傳統MSSP主要幫客戶監測內部網路與網際網路內外間流量不同,MDR還試圖幫助客戶監測內部網路中的流量,尤其是識別高階威脅攻擊的橫向移動環節的蛛絲馬跡,以求更好地發現針對客戶內部網路的高階威脅

MSSP （安全託管服務提供商）

MSSP，Managed Security Service Provider，安全託管服務提供商。就是提供MSS服務的專業機構

EDR （終端檢測與響應）

CWPP雲工作負載保護平臺

Cloud Workload Protection Platforms， 現代資料中心支援執行在物理裝置、虛擬機器（VM）、容器以及私有云基礎架構中的各種工作負載，並且幾乎總是涉及一些在一個或多個公有云基礎設施即服務（IaaS）提供商中執行的工作負載。雲工作負載保護平臺（CWPP）市場定義為基於主機的解決方案，主要滿足現代混合資料中心架構中，伺服器工作負載的保護要求。它為資訊保安領導者提供了一種整合的方式，通過使用單個管理控制檯和單一方式表達安全策略來保護這些工作負載，而不用考慮工作負載執行的位置。
可以理解成為基於代理（Agent）的底層技術方案，和傳統部署在網路邊界上的安全產品不一樣，CWPP部署在作業系統層，因此可以橫跨物理機、公有云、私有云、混合雲等多種資料中心環境，部署方式更加靈活、防護層面更加豐富。採用服務端agent+遠端控制檯的部署模式，agent支援雲、物理、混合環境部署，能有效安全加固伺服器、抵禦黑客攻擊和惡意程式碼。

雲服務商在雲主機中部署自己的agent程式，做監控、管理和安全監測。
功能

木馬查殺 
    對各類惡意檔案進行檢測，包括各類 WebShell 後門和二進位制木馬，對檢測出來的惡意檔案進行訪問控制和隔離操作，防止惡意檔案的再次利用。
密碼破解攔截 
    對密碼惡意破解類行為進行檢測和攔截， 共享全網惡意 IP 庫，自動化實施攔截策略。
登入行為審計 
    根據登入流水資料，識別常用的登入區域，對可疑的登入行為提供實時告警通知。
漏洞管理 
    對主機上存在的高危漏洞風險進行實時預警和提供修復方案，包括系統漏洞、web 類漏洞，幫助企業快速應對漏洞風險。
資產管理 
    支援對機器進行分組標籤管理，基於元件識別技術，快速掌握伺服器中軟體、程式、埠的分佈情況。

AI+IoT

作為網際網路的延伸的IoT。即Internet of things，也就是將物物相連的網際網路。最早由麻省理工學院的Kevin Ashton教授提出，其定義是，通過射頻識別（RFID）、全球定位系統等資訊感測裝置，按約定的協議，把任何物品通過物聯網域名相連線，以進行資訊交換和通訊，實現智慧化識別、定位、跟蹤、監控和管理的一種網路概念。

根據國際電信聯盟（ITU）的解釋，物聯網主要解決物品與物品（Thing to Thing，T2T），人與物品（Human to Thing，H2T），人與人（Human to Human，H2H）之間的互連。而這些連線要是通過嵌入式計算機系統及感測器裝置與物品產生連線，而不是通過PC或者伺服器。