从接触MVM开始,到大规模分布式部署,再到逐渐投入运维,终于对该产品有了一定的认识,在公司年会,也听到了其他相关安全产品的介绍,以下是对信息收集类安全产品的一点认识:


首先是数据收集:不管是SOC,还是业务性能监控,不管是IPS还是漏洞扫描器(MVM)。都有一个重要的环节---信息和数据的收集。没有数据一切都是空谈。只是对于不同用途的产品,相应数据的收集难度不同,方法也各异。漏洞扫描器主要是通过网络包的交互来收集,而SOC则主要通过syslog等收集数据,IPS则是通过流量镜像(根据不同的部署方案、串联部署的则无需镜像啦)。


其次是数据的存储:不同的产品对数据的存储能力要求也不同,有的要求I/O性能,有的要求数据模型,有的需要大的存储空间,但大多都设计数据库相关知识。


再者是数据的分析利用:这应该是大部分产品的核心了,而且几乎是为了的趋势,大数据的趋势,而且安全对大数据的利用是一个趋势。安全是一个面向过程的分析和提权过程,而要实实在在的发现***事件,发现安全威胁,就需要各方面数据的聚合、关联。主机信息,漏洞信息,IPS报警,日志报警,等等,只有这些信息的相互关联才能真正从海量的事件当中捞出真正重要的信息,发现***和威胁。 还有各种行为模型分析等等(这方面不是很了解)


最后就是数据的呈现:产品需要交互,需要使用,当然需要将收集到的数据,获得的处理结果呈现出来,涉及UI设计等等。



其实针对该类产品的运维,个人也认为有三个层次,相应的也有三个层次的运维能力。


第一层:界面运维,最初级的运维,刚接触产品的时候,最会对着现有的界面,完成一些简单的任务和操作。

第二层:了解一些基本原理,明白一些功能的实现原理,组件之间的关系。

第三层:更深的原理和细节的了解,知道很多底层的知识,甚至了解代码级别的东西。





数据收集类安全产品的模型_第1张图片



数据收集类安全产品的模型