基于實(shí)戰(zhàn)化態(tài)勢感知與安全運(yùn)營解決方案

基于實(shí)戰(zhàn)化態(tài)勢感知與安全運(yùn)營解決方案背景分析隨著信息化技術(shù)的高速發(fā)展，網(wǎng)絡(luò)已成為繼“陸地”、“海洋”、“天空”、“太空”之后的第五大空間。這個(gè)“空間”離開了人機(jī)操作將不復(fù)存在，與其他“空間”活動(dòng)相互交融。隨著網(wǎng)絡(luò)和信息技術(shù)的跨時(shí)代發(fā)展，信息安全內(nèi)涵和外延不斷擴(kuò)大，新的安全問題凸顯，在“網(wǎng)絡(luò)空間”、“信息空間”以及整個(gè)社會(huì)活動(dòng)空間里，各種傳統(tǒng)的信息安全矛盾和威脅依然存在，同時(shí)我們又面臨許多錯(cuò)綜復(fù)雜、相互交融的新情況、新問題，在復(fù)雜多變的國際形勢和網(wǎng)絡(luò)空間威懾凸顯的大環(huán)境下，我國網(wǎng)絡(luò)安全威脅陡然增大，信息安全面臨著更嚴(yán)峻的挑戰(zhàn)?，F(xiàn)狀和挑戰(zhàn)隨著近些年來網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻，我國信息化建設(shè)所面臨的威脅已逐步從簡單的安全事件，轉(zhuǎn)變化為有組織、大規(guī)模、高隱蔽的國家級攻防對抗博弈，如何在特定時(shí)期針對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)保護(hù)已成為政企機(jī)構(gòu)面臨的難題。

此外，資產(chǎn)管理是信息安全建設(shè)過程中的第一步，但是實(shí)際環(huán)境下資產(chǎn)管理混亂且無法有效實(shí)現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)，導(dǎo)致安全事件發(fā)生時(shí)無法第一時(shí)間對資產(chǎn)進(jìn)行定位，安全運(yùn)營體系構(gòu)建無法順利有效推進(jìn)。

盡管安全事件溯源作為威脅分析的重要組成部分，有助于修復(fù)漏洞與降低風(fēng)險(xiǎn)，避免事故再次發(fā)生，但大部分告警無法反應(yīng)真實(shí)的攻擊事件，單一維度的告警已無法為分析和溯源提供有力支撐，并且目前政企機(jī)構(gòu)采用的安全產(chǎn)品和解決方案大多不支持大數(shù)據(jù)架構(gòu)，無法對網(wǎng)內(nèi)的海量數(shù)據(jù)（日志或流量）進(jìn)行快速查詢和檢索，缺乏針對安全事件的調(diào)查取證能力。

經(jīng)驗(yàn)告訴我們，高級威脅攻擊目的性很強(qiáng)，攻擊目標(biāo)明確且持續(xù)時(shí)間長，攻擊者往往會(huì)利用社會(huì)工程學(xué)的方法或高級技術(shù)手段規(guī)避傳統(tǒng)的檢測方式，因此對于高級威脅，現(xiàn)有的安全防護(hù)體系無論是在威脅檢測、發(fā)現(xiàn)還是響應(yīng)等方面都存在嚴(yán)重不足。

在傳統(tǒng)的安全監(jiān)測過程中，多數(shù)安全監(jiān)測結(jié)果只是從單一維度反映某個(gè)單點(diǎn)問題，并沒有綜合考慮全局的安全態(tài)勢，資產(chǎn)的脆弱性、威脅的影響程度以及整體安全態(tài)勢進(jìn)行均難以掌控。方案及實(shí)施實(shí)戰(zhàn)化態(tài)勢感知與安全運(yùn)營解決方案的整體架構(gòu)自下而上分別是：日志采集、網(wǎng)絡(luò)流量傳感、日志存儲(chǔ)和檢索、資產(chǎn)中心、威脅檢測、威脅分析、響應(yīng)中心、安全管理、儀表板與報(bào)表、態(tài)勢可視化、系統(tǒng)管理和安全運(yùn)營服務(wù)。

平臺(tái)目前支持對國內(nèi)外近百家廠商的226種常見設(shè)備的日志進(jìn)行自動(dòng)解析、過濾、富化、內(nèi)容轉(zhuǎn)譯、范式化；支持Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種采集方式，支持對數(shù)十種網(wǎng)絡(luò)協(xié)議進(jìn)行識(shí)別、解析和檢測業(yè)務(wù)架構(gòu)如下圖所示：利用業(yè)界領(lǐng)先的關(guān)聯(lián)分析技術(shù)和威脅建模技術(shù)，可對多源異構(gòu)的日志和數(shù)據(jù)進(jìn)行智能化分析，從多個(gè)維度識(shí)別威脅事件并定位失陷主機(jī)，為安全運(yùn)營團(tuán)隊(duì)提供豐富的數(shù)據(jù)參考，并為事件的調(diào)查取證提供有力支撐。日志檢索功能則能夠?yàn)榘踩\(yùn)營團(tuán)隊(duì)的事件溯源分析工作提供支撐，日志信息的全量存儲(chǔ)能夠繪制完整的事件畫像，利用實(shí)體分析功能，可基于殺傷鏈模型對相關(guān)安全事件進(jìn)行標(biāo)簽化，明確該事件所處的攻擊階段，了解安全事件在內(nèi)部的發(fā)展和蔓延趨勢，以便于建立工單并快速發(fā)起處置流程，及時(shí)止損。攻擊階段的分析包括：前期的武器構(gòu)建、漏洞掃描和利用階段；中期的惡意代碼投遞和安裝植入階段；后期的攻擊成功與資源掌控階段。

平臺(tái)參照GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范，結(jié)合多年的安全運(yùn)營經(jīng)驗(yàn)，設(shè)計(jì)出了實(shí)用的風(fēng)險(xiǎn)評估與影響計(jì)算模型，能夠?qū)Y產(chǎn)和資產(chǎn)組進(jìn)行風(fēng)險(xiǎn)數(shù)值的量化分析，并給出具體的評分指標(biāo)，以準(zhǔn)確反映當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)等級，使安全運(yùn)營團(tuán)隊(duì)了解全網(wǎng)資產(chǎn)的安全態(tài)勢，并提供可落地的脆弱性管理方案。Sabre關(guān)聯(lián)分析引擎基于流式處理框架進(jìn)行設(shè)計(jì)，能夠在大數(shù)據(jù)量級下對各維度安全數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，發(fā)現(xiàn)更復(fù)雜的、更具價(jià)值的威脅事件，并將威脅事件規(guī)?？刂圃诳扇斯ぬ幚淼臄?shù)量級，并支持對輸出結(jié)果進(jìn)行回溯分析，同時(shí)，引擎具備橫向分布式擴(kuò)展能力，分析性能可擴(kuò)展至數(shù)十臺(tái)集群規(guī)模，性能可達(dá)10萬級EPS（EventPerSecond）。

安全運(yùn)營團(tuán)隊(duì)可以創(chuàng)建威脅事件調(diào)查任務(wù)，將所有相關(guān)告警、日志、漏洞、配置核查、弱口令、文本和圖片信息都添加至任務(wù)中，并通過時(shí)間線展示、標(biāo)注等功能回溯并記錄威脅事件的發(fā)展過程和相關(guān)影響，借助日志檢索功能不斷的擴(kuò)展事件線索，為調(diào)查取證提供有力依據(jù)。通過完整的攻擊鏈分析，可在數(shù)據(jù)完備的情況下復(fù)現(xiàn)整個(gè)攻擊過程，同時(shí)，可結(jié)合失陷情報(bào)、惡意軟件、郵件安全、賬號安全、異常訪問5大分析場景，從多個(gè)維度和視角進(jìn)行分析和展示。

人們都很清楚，再好的產(chǎn)品，再聰明的機(jī)器也離不開人的使用，奇安信在業(yè)界率先發(fā)布了面向NGSOC或態(tài)勢感知與安全運(yùn)營平臺(tái)的安全運(yùn)營服務(wù)。針對客戶在安全運(yùn)營方面的編制有限或人員能力不足的條件下，我們可以提供針對平臺(tái)的運(yùn)營服務(wù)，將人、數(shù)據(jù)、工具和流程進(jìn)行有機(jī)結(jié)合，幫助客戶構(gòu)建具有實(shí)戰(zhàn)化和專業(yè)化水準(zhǔn)的安全運(yùn)營平臺(tái)。優(yōu)勢與亮點(diǎn)在每年國家組織的網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)中，奇安信集團(tuán)作為網(wǎng)絡(luò)安全的國家隊(duì)，多次為各黨政機(jī)關(guān)、行業(yè)、企業(yè)客戶提供專業(yè)的安全運(yùn)營能力支撐。根植于NGSOC平臺(tái)深厚的實(shí)踐經(jīng)驗(yàn)積累，目前已形成一套行之有效的戰(zhàn)役機(jī)制，即：戰(zhàn)前加固準(zhǔn)備、戰(zhàn)中防御保障、戰(zhàn)后總結(jié)提升。

通過NGSOC平臺(tái)的資產(chǎn)風(fēng)險(xiǎn)管理能力可進(jìn)行戰(zhàn)前風(fēng)險(xiǎn)評估和自查整改，通過關(guān)聯(lián)分析和威脅預(yù)警能力可發(fā)現(xiàn)深度威脅并作出快速響應(yīng)與處置，通過態(tài)勢感知大屏和豐富的儀表板可進(jìn)行戰(zhàn)后數(shù)據(jù)統(tǒng)計(jì)和總結(jié)匯報(bào)，全面提升客戶在實(shí)戰(zhàn)場景中的安全運(yùn)營保障能力，實(shí)現(xiàn)平臺(tái)、人員、制度、流程的有機(jī)融合，從事前、事中和事后三個(gè)維度針對安全事件形成管理閉環(huán)，實(shí)現(xiàn)安全運(yùn)營工作的自動(dòng)化，提高客戶的安全管理和運(yùn)營效率。

NGSOC及配套解決方案經(jīng)過在大量客戶應(yīng)用場景的實(shí)戰(zhàn)檢驗(yàn)，目前已積累豐富的實(shí)戰(zhàn)化安全運(yùn)營經(jīng)驗(yàn)，憑借其強(qiáng)大的威脅檢測、響應(yīng)處置、風(fēng)險(xiǎn)預(yù)警和持續(xù)監(jiān)測能力，幫助客戶有效解決了日常安全運(yùn)營工作中的各類難題，贏得了央企、國企、部委、電子政務(wù)、公安等行業(yè)頭部客戶的高度贊譽(yù)，收獲了良好的市場口碑。

根據(jù)權(quán)威咨詢機(jī)構(gòu)IDC和賽迪顧問以及主流安全媒體數(shù)世咨詢的統(tǒng)計(jì)數(shù)據(jù)，NGSOC平臺(tái)的銷量持續(xù)領(lǐng)跑