联系我们
发布日期:2023/09/25文章来源:IDC咨询公众号
近期,《IDC MarketScape: 中国态势感知解决方案市场研究,2023》报告发布。IDC认为,经过多年的发展,态势感知平台技术持续演进,更趋向于实用化、实战化,有效的帮助客户应对网络攻击,平台的综合能力日趋成熟。永利皇宫在2023年中国态势感知解决方案市场评估中被IDC认定为该市场的“主要厂商”,再次获得知名第三方咨询机构的认可,是永利皇宫坚持“两精一深”研发战略的成果体现。
经过多年技术积累与产品打磨,永利皇宫灵活应对不同行业场景的需求痛点,构建对应不同分析视角的多维度方案,符合态势感知体系在通用分析模型的基础上具备个性化场景理解能力的技术要求。在产品理念、技术实现和市场应用方面具有如下特点:
丰富的数据源
包含了资产台账信息、API资产数据、资产脆弱性数据、入侵威胁事件、高级威胁事件和横向异常行为等多种类型的数据,可以提取资产IP、域名/子域名、端口、服务、系统、中间件、安全漏洞、弱口令、网站脚本(Webshell)后门、内容审计、恶意访问、非法扫描、僵尸主机、木马、蠕虫攻击、暴力破解、注入、跨站脚本、请求伪造等各种维度的元数据,原始信息丰富、研判依据全面,可以为态势感知提供可靠的数据支撑,并且在事件研判时提供详细的依据线索。
动态的资产视角
通过资产治理的安全视角建立了一套从网络资产管理出发,围绕资产属性、管理状态、自身安全性和被攻击风险进行关联分析的态势感知模型,在入侵监控、脆弱性监控的基础上进一步丰富了事件分析的维度。通过主动测绘、被动测绘、Agent采集和人工上报、手动梳理相结合的方式,形成动态更新的多源融合资产台账,保障资产管理的准确性和时效性,协助用户从业务角度梳理安全态势,精准识别安全风险,合理执行应急响应措施。
精准的关联分析
方案包含了不同维度的原始安全事件,也融合了PDNS、whois、组织架构信息、网情信息、威胁情报,可以有效提升事件关联分析的准确性;通过SOAR安全编排与自动化引擎关联分析,找出不同类型安全事件之间的联系,排除干扰因素,提取有效信息,并结合资产的健康状态、遭受威胁的可能性、威胁的破坏程度等信息准确判断事件影响程度并给出处置建议。
闭环的处置流程
方案整体设计思路覆盖安全事件的态势监控、关联分析、事件研判、通报预警和应急处置等环节,可以针对某个安全事件提供从发现分析到处置跟踪的完整流程,并利用通报处置功能将安全技术与管理操作有效结合起来,协助用户跟进事件处置的整个过程,不论是高风险的入侵事件、高危漏洞或是非法行为等都能够真正地做到安全闭环处置。
在《IDC MarketScape: 中国态势感知解决方案市场研究,2023》调研中,IDC提出如下建议:
做好运营、度量安全
当态势感知平台建设完成后,如何体现其价值是非常重要的。不仅要发现问题,更要展现出来,让安全的价值呈现出来。这就需要与技术提供商做好充分的配合,并通过持续的运营呈现企业网络安全的状况与发展趋势,成为获得企业高管安全投资的重要依据。
关注事件分析而非日志分析
日志分析所呈现的只是攻击环节的一个或多个片段,而事件分析则可以基于攻击链呈现出完整的攻击过程及所带来的危害。当前的态势感知平台的遥测数据源很广泛,这便于其对网络攻击事件做出更精准的判断。同时,基于ATT&CK框架可以更好的了解攻击者的技战术,帮助客户有效的了解并处置安全事件。日志分析侧重过程,而事件分析关注结果。
SOAR助推自动化能力提升
SOAR能力已经成为态势感知平台的标配,进一步提升对安全事件闭环处置的效率。当然,使用者需要了解其原理、结合自身业务特点定制符合自身的剧本是非常必要的。
低代码使得快速定制成为可能
平台类产品的定制开发需求不可避免。过去,对于技术提供商而言平台类产品,提供定制开发周期是比较长的,但是随着低代码技术的普遍应用,定制开发的效率在快速提升,这不仅有利于技术提供商,也可以将整个项目的交付周期缩短,让平台快速上线。
做好生态融合管理
大型客户环境中通常包括大量的不同品牌的安全产品,通过态势感知平台的纳管是从技术层面完成的,但客户要把不同的技术提供商作为保障自身安全防御能力的生态来管理,这样有助于提升综合安全效能,从容面对网络攻击。
积极尝试新技术、关注新能力
部分态势感知技术提供商开始尝试增加BAS、合规性管理等能力,最终客户可以从自身视角验证其价值,更多的尝试新技术、新功能,不仅有助于提升自身网络安全体系的检测有效性,更能促进技术提供者相关技术的成熟度。