技术与服务
加密技术加密技术包括两个元素:算法和密钥。算法是将普通的文本与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
黑名单顾名思义,黑名单即不好的名单,凡是在黑名单上的软件、IP地址等,都被认为是非法的。
白名单与黑名单对应,白名单即“好人”的名单,凡是在白名单上的软件、IP等,都被认为是合法的,可以在计算机上运行。
内网通俗的讲就是局域网,比如网吧、校园网、公司内部网等都属于此类。查看IP地址,如果是在以下三个范围之内,就说明我们是处于内网之中的:10.0.0.0—10...,.16.0.0—.31..,..0.0—...
外网直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问。
边界防御以网络边界为核心的防御模型,以静态规则匹配为基础,强调把所有的安全威胁都挡在外网。
南北向流量通常指数据中心内外部通信所产生的的流量。
东西向流量通常指数据中心内部不同主机之间互相通信所产生的的流量。
规则库网络安全的核心数据库,类似于黑白名单,用于存储大量安全规则,一旦访问行为和规则库完成匹配,则被认为是非法行为。所以有人也将规则库比喻为网络空间的法律。
下一代网络安全领域经常用到,用于表示产品或者技术有较大幅度的创新,在能力上相对于传统方法有明显的进步,通常缩写为NG(NextGen)。例如NGFW(下一代防火墙)、NGSOC(下一代安全管理平台)等。
大数据安全分析区别于传统被动规则匹配的防御模式,以主动收集和分析大数据的方法,找出其中可能存在的安全威胁,因此也称数据驱动安全。该理论最早由奇安信于年提出。
EPP全称为EndpointProtectionPlatform,翻译为端点保护平台,部署在终端设备上的安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁,通常与EDR进行联动。
EDR全称EndpointDetectionResponse,即端点检测与响应,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀*软件无法解决未知威胁的目的。
NDR全称NetworkDetectionResponse,即网络检测与响应,通过对网络侧流量的持续检测和分析,帮助企业增强威胁响应能力,提高网络安全的可见性和威胁免疫力。
安全可视化指在网络安全领域中的呈现技术,将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面,并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。
NTA网络流量分析(NTA)的概念是Gartner于年首次提出的,位列五种检测高级威胁的手段之一。它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。
MDR全称ManagedDetectionResponse,即托管检测与响应,依靠基于网络和主机的检测工具来识别恶意模式。此外,这些工具通常还会从防火墙之内的终端收集数据,以便更全面地监控网络活动。
应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
XDR通常指以检测和响应技术为核心的网络安全策略的统称,包括EDR、NDR、MDR等。
安全运营贯穿产品研发、业务运行、漏洞修复、防护与检测、应急响应等一系列环节,实行系统的管理方法和流程,将各个环节的安全防控作用有机结合,保障整个业务的安全性。
威胁情报根据Gartner的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同,威胁情报主要分为人读情报和机读情报。
TTP主要包括三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标,作为威胁情报的一种重要组成部分,TTP可为安全分析人员提供决策支撑。
IOC中文名为失陷标示:用以发现内部被APT团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、URL等。目前而言,IOC是应用最为广泛的威胁情报,因为其效果最为直接。一经匹配,则意味着存在已经失陷的主机。
上下文从文章的上下文引申而来,主要是指某项威胁指标的关联信息,用于实现更加精准的安全匹配和检测。
STIXSTIX是一种描述网络威胁信息的结构化语言,能够以标准化和结构化的方式获取更广泛的网络威胁信息,常用于威胁情报的共享与交换,目前在全球范围内使用最为广泛。STIX在定义了8中构件的1.0版本基础上,已经推出了定义了12中构件的2.0版本。
杀伤链杀伤链最早来源于*事领域,用于描述进攻一方各个阶段的状态。在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为KillChain,也称作网络攻击生命周期,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵。
ATTCK可以简单理解为描述攻击者技战术的知识库。MITRE在年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为。ATTCK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。
钻石模型钻石模型在各个领域的应用都十分广泛,在网络安全领域,钻石模型首次建立了一种将科学原理应用于入侵分析的正式方法:可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。这种科学的方法和简单性可以改善分析的效率、效能和准确性。
关联分析又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘,找出其中潜在的入侵行为。
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
探针也叫作网络安全探针或者安全探针,可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警。
网络空间测绘用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备。相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。
SOAR全称SecurityOrchestration,AutomationandResponse,意即安全编排自动化与响应,主要通过剧本化、流程化的指令,对入侵行为采取的一系列自动化或者半自动化响应处置动作。
UEBA全称为UserandEntityBehaviorAnalytics,即用户实体行为分析,一般通过大数据分析的方法,分析用户以及IT实体的行为,从而判断是否存在非法行为。
内存保护内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间。
RASP全称为Runtimeapplicationself-protection,翻译成应用运行时自我保护。在年时由Gartner提出,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。
包检测对于流量包、数据包进行拆包、检测的行为。
深度包检测DeepPacketInspection,缩写为DPI,又称完全数据包探测(