不少客户甚至安全同行,接触到雷盾信安相关产品第一反应就是——这不就是各大安全产商都在推的网络安全态势感知平台吗?这里针对大家的疑惑之处做些概括性的总结。
1、数据源区别:
传统的态势感知等平台,数据源来自防火墙、入侵检测系统、漏扫平台、杀毒终端、蜜罐、流量探针等来源的威胁日志,虽然也有部分也涵盖了Flow数据,但基本是用来做异常流量(比如DDos攻击)定位;雷盾采用的数据源,全部是标准的Flow数据源,包括sflow、netflow、cflow、ipfix等,涵盖了几乎所有的可管理交换机 以及虚拟化场景。
2、数据源差异所带来的区别:
a.新故障点:新增任何一个网络设备(包括安全设备),同时也就新增了一个可能的故障点。雷盾方案除系统本身之外,无须新增任何附加的网络或安全设备,也就避免了各种新安全设备所带来的新风险。
b.对网络拓扑结构及应用的影响:传统方案,不管是串联、旁路分光 还是 探针、代理 模式,必然存在需要变动网络拓扑结构 或者在设备终端安装代理程序的问题。而雷盾方案,只要需要监管的网络逻辑上是互通的,仅需在交换机或者虚拟化管理平台上进行简单的命令配置即可,不存在上述问题。
c.数据集成风险:随着数据源的品牌、种类、数量 等复杂度的提升,数据集成需要的工期、不可控性等也将指数级地提升,项目失败的风险系数也将随之增大。雷盾方案,无须主动对接数据源,只需被动接收数据源发过来的flow数据即可,把一对多问题变成了多对一,相比传统方案实际工期可节省90%以上。
3、核心原理不同:
传统方案,是按照时间、空间进行切片,把每个切片所发现的问题汇总后进行统一分析;雷盾方案,是利用大数据及AI技术,对全局数据进行跨时间、跨空间的分析,很多情况下传统方案发现不了的威胁 在雷盾面前却无所遁形。
4、功能实现的细粒度不同:
传统的态势,给大家的印象 主要就是 各种酷炫的大屏显示,基本很难实现对威胁事件的一站式溯源。雷盾方案,除了大屏展示之外,更侧重于“有凭、有据”,对发现的所有问题,均可实现下钻溯源;可对任意IP的威胁轨迹进行一站式诊断,也是它的一大亮点!
5、分析目标不同:
传统方案侧重南北向流量,对东西向流量 以及 多分支机构、虚拟化混合型网络 处理能力不足;雷盾方案 在面向多分支机构、虚拟化混合型网络 以及东西向行为的分析管控上,就有明显的优势。
6、功能侧重点不同:
传统的态势,侧重对基础安全设备所发现的安全威胁进行二次分析并展示,通常情况下其本身并不会发现新的问题。雷盾方案,虽然不一定能发现传统安全设备所发现的所有问题,但是其所发现的很大比例的问题是传统方案所发现不了的;此外,雷盾是一整套解决方案的综合体,除了威胁态势分析、脆弱性端口分析等安全相关的直接问题之外,还能对全网IP的流量、全网关键应用的网络资源占用情况等进行深层次的分析、预测及溯源,整体上更侧重于对全网的威胁级别的高低及事件的轻重缓急进行有序处理。
7、适用场景不同:
a.传统态势:适用于已经部署大量安全设备,并且需要对这些设备的运行结果进行综合展示的场景;也有部分把自动化运维相关功能也组合进来的场景。
b.雷盾方案适用场景:
●现有安全设备比较少的中大型网络;
●多级分支机构、多个部门的组织;
●分支机构跨多个地域的组织;
●含有虚拟化的混合网络;
●传统态势感知所适用的场景——因为两套方案本身并不冲突,雷盾可以为传统方案发现很多它所发现不了的问题。