Aryaka 启动迁移加速计划,帮助组织替换旧网络安全产品

阅读新闻稿 > X
aryaka aryaka
« 返回博客

统一 SASE 增强可观测性的精确性

By Srini Addepalli | 2023 年 8 月 9 日

引用维基百科,“可观测性”源于控制理论,它衡量系统的状态可以从其输出确定的程度。 同样,在软件中,可观察性是指我们从获得的遥测数据(包括指标、日志、跟踪和分析)中了解系统状态的程度。

当前的可见性和监控缺乏行为智能

传统监控通常用于直观地监控和识别与应用程序、网络和端点相关的问题,涉及性能、运行状况、用户体验、安全性和弹性。 警报与监控相结合,通过电子邮件、短信和仪表板及时通知关键事件。 APM、NPM、SIEM 使用的这种传统监控是在“已知的未知因素”下进行的,其中风险是提前已知的,但具体发生时间仍然未知。 这种监控足以满足实体数量有限的简单系统的需求,其中故障排除非常简单明了。

然而,erp随着多种架构的出现,例如分布式应用程序、多架构系统,系统变得更加复杂。cloud 与众多合作伙伴的部署、边缘计算和协作应用程序。 此外,与这些架构相关的扩大的攻击面使得传统的监控和更简单的关联变得不够。 仅解决“已知的未知数”是不够的。

可观察性平台通过识别以前未考虑到的意外风险而向前迈进了一步。 这些平台旨在处理“未知的未知因素”,并通过提供对其性能、运行状况、安全性和行为的深入可见性,提供更快、更准确的故障排除和调试系统。

这篇文章的重点是通过收集的输入来最佳地实现可观察性 SASE (安全访问服务边缘)网络和安全组件。 具体来说,我们探索与行为异常相关的可观察性用例,以识别用户、网络、应用程序实体和互联网访问的异常行为。

可观测性平台严重依赖于它们接收的输入数据的质量。 在此背景下,我们深入探讨如何 SASE 解决方案以日志、指标和跟踪的形式提供丰富的数据,以及可观察性系统如何利用这些数据来解决各种用例。 通过利用洞察 SASE 解决方案、可观测性解决方案可以增强其能力,从而改善监控、主动风险检测和强大的系统分析。 组合 SASE 可观察性提供了一个强大的框架来监控和保护现代实体erp有效提升系统。

SIEM、NPM、NDR、APM、XDR – 异常检测有限

在当今的环境中,有许多可见性和监控工具可供使用,每种工具都精通各自的功能。 然而,它们有一定的局限性,主要是基于行为的异常检测和有限的事件关联,这阻碍了它们提供深入的可见性和根本原因分析的能力。 我们的观点是,这些工具最终应该包含行为分析/预测分析以及更深入的可见性,满足性能、安全性和弹性系统的要求。

为了实现完整性,添加用户和实体行为分析 (UEBA) 功能对于这些工具至关重要。 此外,我们坚信,成功的可观测性需要提高相关能力。 为了实现更好的关联性,需要来自网络设备、安全设备、身份系统和应用基础设施的相关数据。 然而,由于日志内容、指标以及日志模式和格式的差异,跨不同供应商的设备和系统一致地获取这些信息会带来挑战。 最大的挑战是综合分析所需的信息不一致和缺失。

统一 SASE它将来自单个供应商的多个网络和安全功能统一在一个内聚的架构下,可以减轻这些工具在相关性和行为分析方面的负担——在后面的部分中将对此进行更多介绍。

让我们更深入地研究 UEBA 并探索统一数据平面期望的日志和指标类型 SASE.

用户和实体行为分析

网络安全行业创造了“用户和实体行为分析”(UEBA)这一术语。 它是指监视和分析组织网络内的用户(例如员工、承包商和合作伙伴)和实体(例如设备、应用程序和网络)的行为,以检测异常或可疑行为。cio我们的活动。

UEBA 解决方案通常使用高级分析和机器学习(AI/ML)为每个用户和实体建立正常行为基线的技术。 一旦建立基线,系统就会不断地将实时行为与该基线进行比较,以检测可能表明潜在安全威胁或异常活动的偏差或异常情况。 还需要注意的是,基线随着时间不断变化,因此需要更新基线和相应的连续模型训练。

UEBA 旨在识别传统安全措施可能忽视的异常模式或行为,帮助组织检测内部威胁、受损帐户、未经授权的访问和其他可疑行为。cio我们的活动。 通过分析行为,UEBA 提供了有关潜在安全事件的更多背景信息和见解,使安全团队能够迅速有效地做出响应。

尽管 UEBA 是在网络安全的背景下定义的,但行为异常检测不仅限于网络安全,还适用于应用程序和网络等实体的性能方面。

一些业内人士表示,零信任架构(ZTA)实现可以通过服务网格或 SASE 仅当他们的产品中包含 UEBA 时,这些技术才是完整的。

由于 UEBA 谈论异常,让我们首先了解术语“异常检测”、不同类型的异常以及用于检测异常的技术。

网络安全异常检测

这篇博文, 什么是异常检测? 提供了异常检测的出色概述。 简而言之,异常检测涉及识别数据集中的异常点或模式。 任何偏离预定容差内既定基线的情况都被视为异常。 虽然异常现象可能是良性且令人担忧的,但检测马里cio美国的异常现象在网络安全行业中至关重要。

无监督异常检测对于网络安全尤其重要,因为它有助于识别以前未见过的事件,而无需依赖先验知识。 换句话说,这种无监督的方法对于检测安全威胁中的“未知的未知因素”至关重要。

可以使用各种技术来进行异常检测,有时利用统计工具,有时需要机器学习算法。 用于异常检测的两种流行的机器学习算法是:

  • 聚类:聚类是一种根据数据点的相似性或距离对数据点进行分组的技术。 可以通过检测不属于任何聚类或距最近的聚类中心显着远离的数据点来识别聚类中的异常。 聚类算法的示例包括 K 均值。
  • 密度估计:密度估计是估计数据概率分布的技术。 通过查找概率密度低或位于低密度区域的数据点,可以使用密度估计来检测异常。 常见的密度估计算法包括隔离森林、核密度估计等。

我们不会在这里讨论描述性分析,因为许多监控系统已经支持它们。 这里的主要焦点是行为分析,它是预测分析的一个分支。 如前所述,异常检测与网络安全相关,因此,我们将在这里介绍异常检测。

异常检测的一些示例可以帮助理解期望的信息类型 SASE 解决方案,特别是用户和实体行为分析 (UEBA) 以及一般可观察性。 在以下部分中,我们将提供网络安全和网络行业所需的异常检测。

如前所述,拥有一个具有多种功能的通用异常检测系统来识别事先未知的任何检测类型也很重要。 识别未知检测类型的一个重要考虑因素是输入日志和指标数据应该全面。

以下是异常检测的一些示例:

用户行为异常:

  • 访问互联网的用户, SaaS,和耳鼻喉科erp从不同于正常模式的位置启动应用程序。
  • 与正常使用模式相比,用户在不寻常的时间访问服务。
  • 用户在短时间内从多个位置访问应用程序,这似乎令人难以置信。
  • 用户通过匿名代理访问服务,引发安全问题。
  • 从 suspi 访问服务的用户cio可能与马里相关的美国 IP 地址cio我们的活动。
  • 访问 suspi 的用户cio我们的域名或 URLs,表明潜在的安全威胁。
  • 用户disp放置不寻常的文件下载/上传行为,值得关注。
  • 对应用程序、互联网站点或应用程序表现出非典型访问的用户 SaaS 领域广泛应用,提供了卓越的解决方案。

异常用户活动:

  • 用户登录次数异常,这可能表明凭据已泄露或未经授权的访问尝试。
  • 登录失败次数异常,表明存在潜在的暴力攻击或身份验证问题。
  • 对各种应用程序 URI 的异常访问可能需要进一步调查。
  • 远程访问异常次数 VPN 来自给定用户或全局用户的隧道。

应用程序访问异常:

  • 陌生用户访问应用程序,需要验证其合法性。
  • 用户对应用程序内不同部分或空间的异常访问。
  • 用户异常下载/上传数据,可能表明存在数据泄露或未经授权的数据传输。
  • 从以前未见过的位置进行异常访问可能会引发安全问题。
  • 用户或特定用户在意外时间对应用程序进行异常访问,需要进行调查。
  • 异常访问来自 ISPs 以前没有见过,这可能表明存在可疑之处cio我们的活动。
  • 访问应用程序资源时检测异常 HTTP 请求标头。
  • 访问应用程序资源时检测异常的 URI 长度。
  • 不同用户代理的异常使用可能与马里相关cio我们的意图。
  • HTTP 级事务的异常延迟。

网络异常:请注意,互联网被视为网络之一。

  • 给定网络的传入流量、传出流量或其组合值异常。
  • 不同协议集的流量异常。
  • 网络中资源的连接数量异常。
  • 网络中资源的交易数量异常。
  • 每个连接的事务数量异常。
  • 访问网络资源时出现延迟异常。
  • 网络间流量异常。

威胁异常:

  • 可疑会话数量异常cious IP 地址,表明可能尝试与马里通信cio我们的实体。
  • 可疑会话数量异常cious 域名,这可能意味着与不可信或受损的域的联系。
  • 可疑会话数量异常cious URLs,指出网络流量中的潜在威胁。
  • 受恶意软件感染的文件的下载/上传数量异常,凸显了潜在的网络攻击。
  • 未经授权或马里的会话数量异常cious SaaS 和 Cloud 服务。
  • 被拒绝的会话数量异常,可能表明工作中采取了安全措施。
  • 被拒绝的交易数量异常,表明可能存在安全威胁或欺诈活动。

具有 UEBA 的可观测性平台往往会提供上述检测。 可以针对未知风险采用通用聚类模型来检测应监控的任何新异常情况。 该通用模型应包含多种功能。

由于上面列出的大多数异常都需要基线数据来准确识别异常,因此可观察性平台启用学习模式至关重要。 有时,学习可以是动态的,允许配置根据最近 X 天的数据检查当前的异常情况。

鉴于可能需要多个模型,可观测平台需要具有可扩展性,并且能够处理负载以训练和容纳多个模型。

准确的威胁情报

准确的行为威胁异常检测依赖于威胁情报提供商的最新信息。 尽管 SASE 系统在流量发生时执行初始威胁检测,当时收集的威胁情报可能会过时。 威胁情报提供商不断评估 IP 地址、域名、 URLs、文件、 SaaS 服务并用最新信息更新他们的提要。 然而,这可能会导致实际威胁的出现和威胁情报源的更新之间存在时间差距。

因此,在这些源更新之前发生的任何连接或事务都可能导致数据平面丢失正确​​的流量分类。 为了应对这一挑战,基于 UEBA 的可观测平台会主动持续检查以前的访问,并利用新的威胁情报增强数据。 然后,这些平台将情报的变化告知 IT 威胁追踪团队,使威胁追踪人员能够更深入地研究潜在威胁。

统一 SASE 精确聚合日志、指标和跟踪

任何分析(包括描述性分析、预测性分析、诊断性分析和规范性分析)的全面性和准确性在很大程度上取决于可观察性平台收到的日志的质量。 这就是统一的地方 SASE 解决方案真正出色。

传统的可观察性平台依赖于各种供应商系统的日志和指标,例如防火墙设备、UTM 设备、应用程序、身份服务、Web 应用程序防火墙、IDS/IPS 系统、 DNS 安全系统等等。 然而,管理来自多个供应商的日志带来了一些挑战:

  • 日志中的信息不足。
  • 不同的日志格式/模式。
  • 供应商不断更改日志消息和格式。
  • 难以将来自网络/安全设备的日志与特定流量会话、用户或应用程序一致地关联起来。
  • 大量具有重复信息的日志,导致日志炸弹和日志丢失。
  • 日志关联和处理大量日志需要过多的计算能力。

SASE 解决方案通过综合方法有效应对这些挑战。 SASE 将多种网络和网络安全功能整合到一项服务中,作为综合解决方案提供。 然而,谨慎是必要的,因为 SASE 解决方案可以通过多种方式构建。 单一供应商 SASE 服务虽然是由一个供应商作为组合产品提供的,但也可能由来自多个组件供应商的离散安全和网络组件组成。 因此,来自此类单一供应商的日志和指标 SASE 解决方案可能面临类似的挑战。

相比之下,统一 SASE 解决方案通常作为统一且全面的数据平面提供,遵循单通道架构和运行完成架构的原则。 这意味着统一 SASE 对每个会话或交易以及所应用的相关安全功能有全面的了解。 结果,统一 SASE 解决方案仅为每个文件、事务或会话生成一个日志,其中包含所有必要的信息。 例如,统一 SASE 访问日志包括全面的详细信息,例如:

  • 五元组信息(源IP、目的IP、协议、源端口、目的端口)
  • 会话/交易的开始时间和结束时间
  • TLS 连接时的域名
  • 主机标头值和 URL HTTP 事务的路径
  • 连接是否安全 (TLS)
  • HTTP 方法(GET/POST/DELETE/PUT)、URI 查询参数以及 HTTP 请求和响应标头和值,主要是以 X- 开头的标头
  • 文件哈希(如果在一个 HTTP 事务中发送多个文件,则可能存在多个访问日志)
  • 从客户端发送到服务器的字节数,反之亦然
  • 应用的访问策略和安全策略,以及流量会话中的策略详细信息和匹配值,例如用户声明(主体名称、组、角色、身份验证服务、颁发者)、IP 信誉类别和分数、域类别和信誉分数, URI 类别和声誉评分, SaaS 服务类别和声誉评分以及采取的行动。 值得注意的是,多个安全引擎提供对任何会话或事务的访问许可。 这些安全引擎包括IP信誉引擎、域信誉引擎、 URL 声誉引擎, SaaS 信誉引擎、访问控制引擎、反恶意软件引擎、IDPS 引擎等等。 每个安全引擎应用自己的策略集并根据结果采取适当的操作。 由于存在各种引擎,每个引擎都有其策略表和来自流量或流量丰富的唯一匹配值集,因此有必要记录匹配策略名称和导致策略匹配的参数。

访问日志在可观察性平台中发挥着关键作用,可实现准确的分析。 然而,其他日志对于可观察性平台同样重要,并且“统一 SASE” 解决方案为他们提供开箱即用的解决方案。 这些日志有助于增强平台的综合洞察能力。 Unified 提供的一些基本日志 SASE 解决方案包括:

  • 通过其身份代理功能与用户登录和注销相关的日志。
  • 与用户登录失败相关的日志,有助于监控潜在的安全威胁。
  • 与用户登录相关的日志,包含全面的用户声明信息,包括:
    • 用户电子邮件地址
    • 发行者(身份提供商)
    • 用户所属的多个组和角色
    • 对用户进行身份验证的身份验证服务
    • 是否应用多重身份验证 (MFA)
    • 用户登录的源IP
    • 用户应用程序使用的身份验证协议
    • 用户登录的位置

包含与用户身份验证相关的日志和访问日志可以为可观察平台提供有价值的输入,以有效识别行为异常。

此外,统一 SASE 只要检测到任何威胁(例如恶意软件、漏洞利用或可疑行为),解决方案就会提供日志cio我们的活动。 这些日志包括五元组信息(源 IP、目标 IP、协议、源端口、目标端口)、日期/时间以及威胁检测时的已知用户声明信息。 这有助于将威胁与观察到威胁的会话或事务相关联,从而有助于事件响应和缓解。

虽然我们在这里不讨论它们,但许多其他日志与 SASE 系统内核、进程、容器和硬件有助于诊断分析。

除了生成日志之外,Unified SASE 解决方案还提供各种指标,包括计数器、仪表和直方图。 这些指标通过提供对不同组件的可见性,对于识别统计异常和故障排除非常有价值。 SASE 建筑。

总体而言,不同类型的日志,包括访问日志、身份验证相关日志、威胁日志和诊断日志,具有统一的各种类型指标 SASE 提供,帮助可观察性平台不仅提供描述性和诊断性分析,还提供行为/预测性分析。

统一 SASE 和集成可观测性在臀部连接。

正如到目前为止所讨论的,统一 SASE 通过使用丰富的导出数据集启用各种分析工具而脱颖而出。

我们还认识到统一 SASE 解决方案将包含一个全面的可观察性平台,其中包括各种分析,特别是行为分析,如前所述。 在最初阶段,综合观测平台主要限于 SASE 解决方案,具有端到端可观测性,通常依赖于 Splunk、Datadog、Elastic、New Relic 和端到端威胁 XDR 平台的可观测性服务。

本质上,统一 SASE 整合了自己的集成可观测性平台,同时为各种外部可观测性工具提供高质量的日志和指标。

统一 SASE 是提高可观测能力的关键。

传统的监控和可视化工具在复杂的环境中存在不足erp新兴环境的特点是劳动力分散、多cloud/edge应用程序部署,广泛使用多个 SaaS 服务、不断扩大的威胁环境以及基于微服务的应用程序架构。 对来自各种网络、安全和应用程序来源的日志和指标的依赖通常会阻碍这些工具提供可操作的见解以及有效的关联和根本原因分析功能的能力。 当前的需要是“可观察性”。
许多传统分析供应商已开始通过 UEBA 等可观察性功能和相关异常检测功能来增强其产品。 然而,这些分析工具的有效性在很大程度上取决于它们收到的日志和指标的质量。 统一 SASE 有潜力克服为所有类型的分析(包括行为分析)生成全面且高质量的日志相关的挑战。

通过提供统一的方法和全面的数据导出,Unified SASE 可以显着增强组织的可观察能力,促进主动威胁检测、精确分析和更好的决策。 Unified 中多种分析工具和可观察性功能的集成 SASE 为解决现代耳鼻喉科的复杂性提供了强大的解决方案erp提升环境并加强网络安全防御。

  • CTO 见解博客

    Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。

关于作者

Srini Addepalli
Srini Addepalli 是一位拥有 25 年以上经验的安全和边缘计算专家。 Srini 拥有多项网络和安全技术专利。 他拥有 BITS, Pilani 的电气和电子工程学士学位(荣誉) India.

2024 Aryaka 安全网络转型报告

下载报告>>

Aryaka Unified SASE as a Service

下载解决方案简介>>

耳鼻喉科战略路线图erp上升网络

下载报告>>