數(shù)字安全創(chuàng)新性案例報告

ISC數(shù)字安全創(chuàng)新性案例報告目錄在這個信息化飛速發(fā)展的時代，數(shù)字安全已經(jīng)成為了國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的關(guān)鍵支柱。隨著技術(shù)的持續(xù)進步和應(yīng)用的廣泛擴展，數(shù)字安全面臨的挑戰(zhàn)也日益嚴峻。在這樣的背景下，平臺，推動數(shù)字安全領(lǐng)域的創(chuàng)新和發(fā)展。我們期待通過這個平臺，激發(fā)更多創(chuàng)新思維、共享成功經(jīng)這是一個以服務(wù)數(shù)字安全為主旨的時代，我們迫切需要前瞻性的創(chuàng)新，以確保數(shù)字社會的安全和可持續(xù)發(fā)展。因此，“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”域的深入洞察，也是對未來發(fā)展方向的明確指引，更是我們面對新形勢、新挑戰(zhàn)時的行動號召?！熬勰馨踩珓?chuàng)新”意味著集結(jié)各方力量，匯聚創(chuàng)新思維，共同推動數(shù)字安全技術(shù)的發(fā)展。它強調(diào)的是一種集體的力量，一種跨界合作的精神，一種不斷探索和前進的態(tài)度。在這個主題下，我們鼓勵和支持各行各業(yè)的企業(yè)投身到數(shù)字安全的創(chuàng)新實踐中，通過技術(shù)創(chuàng)新和模式創(chuàng)新，提升數(shù)字安全“服務(wù)數(shù)字安全”則是我們創(chuàng)新的最終目的，創(chuàng)新不是為了創(chuàng)新本身，而是要服務(wù)于社會，保障數(shù)字世界的安全運行。這需要我們不僅要關(guān)注技術(shù)的先進性，更要關(guān)乎技術(shù)的實用性和普及性，確本次ISC數(shù)字安全創(chuàng)新百強案例評選活動就是在這樣的背景和主題下發(fā)起的，通過這次活動，我們將深入挖掘那些突破性的案例，深入剖析這些案例的背景、實施過程、創(chuàng)新點以及所帶來的影響。這些案例承載著創(chuàng)新的火花，我們期望通過這些案例能夠為讀者提供一個全面、深入的數(shù)字安全創(chuàng)新視角，為未來的數(shù)字安全發(fā)展提供借鑒與啟示。此外，ISC還為入選企業(yè)量身定制了獨特的雷達圖，這些雷達圖涵蓋了五個關(guān)鍵維度：技術(shù)創(chuàng)新能力、行業(yè)影響力、研發(fā)投入能力、經(jīng)營能力以及市場拓展能力。ISC專家團隊將依據(jù)企業(yè)提交的詳盡數(shù)據(jù)和案例分析，進行綜合評分，最終形成展現(xiàn)企業(yè)全方位實力的雷達圖。這些雷達圖不僅直觀地展示了企業(yè)在數(shù)字安全領(lǐng)域的綜合實力和特色，還為行業(yè)內(nèi)外的觀察者提供了一個評估和比較的工具。通過這種方式，企業(yè)可以清晰地識別自身的優(yōu)勢和潛在的改進領(lǐng)域，同時也為投資者和合作伙伴提供了決策參考。通過這種創(chuàng)新的評估，ISC數(shù)字安全創(chuàng)新百強評選活動旨在激勵企業(yè)持續(xù)推動技術(shù)邊界，加大研發(fā)投入，優(yōu)化經(jīng)營策略，并在全球市場中擴大影響力。這不僅是對入選企業(yè)的認可，更是激發(fā)整個行業(yè)追求卓越的動力。我們期待本次推出的雷達圖能夠成為企業(yè)成長的路標，引領(lǐng)數(shù)字安全行業(yè)向1億格云2345678910牧聯(lián)鏈。企業(yè)介紹：億格云是SASE安全服務(wù)商，自主研發(fā)了SASE服務(wù)平臺—億格云樞，提供包括零信任網(wǎng)絡(luò)訪問（ZTNA）、數(shù)據(jù)防泄漏（XDLP）、威脅檢測響應(yīng)（XDR）、防病毒（EPP）、上網(wǎng)行為管理（SWG）和統(tǒng)一端點管理（UEM）等功能，解決企業(yè)數(shù)字化轉(zhuǎn)型過程中遇到的混合分支辦公安全、數(shù)據(jù)安全、終端安全等問題，億格云已服務(wù)超200家上市公司和獨角獸企業(yè)等在內(nèi)的行業(yè)客戶，包括吉經(jīng)營能力經(jīng)營能力研發(fā)投入能力小紅書作為面向年輕人網(wǎng)絡(luò)購物和社交平臺的互聯(lián)網(wǎng)公司，員工近萬人，分布上海、北京、武漢等地，多地遠程多設(shè)備成為常態(tài)，小紅書自身對數(shù)據(jù)分析和安全風控有較好基礎(chǔ)，如何在混合辦公環(huán)境對核心數(shù)據(jù)防護同時實現(xiàn)高效靈活成為最大挑戰(zhàn)，例：①多身份角色，導(dǎo)致管控策略多樣化②多終端類型，導(dǎo)致技術(shù)方案無法復(fù)用③安全產(chǎn)品碎片化，不同環(huán)境使用差異性較大安全產(chǎn)品，無法統(tǒng)一管理，平臺兼容性差④運維壓除了內(nèi)部員工，還有大量合作伙伴需要訪問內(nèi)網(wǎng)應(yīng)用。不同組織和人員的訪問權(quán)限劃分需要實時為了解決不同安全問題，需要部署多套產(chǎn)品。不同產(chǎn)品有不同的管理平臺，運維人員需要適應(yīng)不同產(chǎn)品的設(shè)計邏輯和操作習(xí)慣，在不同產(chǎn)品控制臺之間頻繁切換，學(xué)習(xí)成本高且維護壓力大；此在OpenAPI和自定義分析能力方面無法靈活匹配小紅書業(yè)務(wù)，導(dǎo)致1+1＜2；且傳統(tǒng)的安全產(chǎn)品標準化交付模式，在一些細分場景下無法匹配小紅書業(yè)務(wù)，共創(chuàng)定制需求響應(yīng)慢，甚至無法完全傳統(tǒng)辦公安全解決方案，需要安裝VPN、EPP、EDR、DLP、UEM快速發(fā)展的小紅書，靈活辦公場景隨處可見。混合辦公場景下各接入點的安全水位不一致，容易隨著《個人信息保護法》等法律法規(guī)發(fā)布，企業(yè)的敏感數(shù)據(jù)面臨監(jiān)管壓力，但如今敏感數(shù)據(jù)分布確保系統(tǒng)天然高可用，也補充了客戶端的安全管控能力。然而，直接使用SASE也存在弊端，無法利用小紅書綜合調(diào)研了各種方案后，小紅書根據(jù)自身網(wǎng)絡(luò)架構(gòu)特點，提出了一個創(chuàng)新的想法，將BeyondCorp與在以往依賴網(wǎng)關(guān)實現(xiàn)的風控方案中，網(wǎng)關(guān)無法拿到終端的安全信息。小紅書創(chuàng)新地將網(wǎng)關(guān)風控與客戶端聯(lián)動，網(wǎng)關(guān)風控能實時識別請求中是否包含客戶端信息并檢測客戶端狀態(tài)，確保終端的可信性。同時，還可在終端上實施各種安全合規(guī)策略。對于未安裝客戶端的訪問請求，網(wǎng)關(guān)風控可將用戶跳轉(zhuǎn)到客戶端下載頁小紅書在風控基建上持續(xù)投入了多年，建立了完善的數(shù)據(jù)安全和風控體系。這套零信任訪問系統(tǒng)可以將4/7層日志和客戶端日志接入風控系統(tǒng)，實現(xiàn)與風控系統(tǒng)的無縫結(jié)合?？蛻舳瞬杉陌踩〖t書從數(shù)據(jù)安全生命周期管理出全/脫敏/權(quán)限管理等措施，以數(shù)據(jù)打標和API打標作為數(shù)據(jù)防泄露管理的起點。對于內(nèi)部生產(chǎn)類數(shù)據(jù)，將數(shù)據(jù)管控手段左移，通過在線轉(zhuǎn)換業(yè)務(wù)系統(tǒng)產(chǎn)生的文檔，使用相比傳統(tǒng)沙箱隔離和文件加密方案，這種做法不僅安全性更高，而且員工有更整個訪問控制系統(tǒng)是串聯(lián)在訪問過程當中，一旦出現(xiàn)故障將影響所有員工的正常辦公，所以系統(tǒng)的穩(wěn)定默認情況下，流量通過小紅書自建的私有POP節(jié)點，確保流量和數(shù)據(jù)都在自己可控的網(wǎng)絡(luò)環(huán)境中。當本地POP節(jié)點發(fā)生故障時，系統(tǒng)可自動切換到億格云的公有云POP節(jié)點。這種容災(zāi)方案已經(jīng)可以保證超高的可用性，但是小紅書不滿足于此，在此基礎(chǔ)上還實施一層Wireguard方案，當零信任防護模式失效時降級到小紅書向員工展示自有品牌的辦公安全平臺，以增加員工對安全軟件的認可度，同時還可以在客戶端上集成更多內(nèi)部常用的辦公功能。小紅書基于億格云的客戶端SDK，打造了一個匹配小紅書自身風格的客戶端值得一提的是，這一輕量穩(wěn)定、簡潔高效的一體化“內(nèi)部安全辦公系統(tǒng)”為小紅書帶來的價值已得以顯）：一體化設(shè)計思路，即平臺/功能/管理一體化，大幅降低終端安全體系建設(shè)、運行和擴展的復(fù)雜性。管控力度更精細、權(quán)限可自動梳理、運維難度更低，對終端、身份、行為和數(shù)據(jù)等進行全生命周期的精細化準入管不僅實現(xiàn)產(chǎn)品平臺自身不同模塊之間的數(shù)據(jù)互通，更無縫銜接已有的安全能力。通過零信任平臺對接現(xiàn)有風系統(tǒng)實現(xiàn)數(shù)據(jù)安全防護以數(shù)據(jù)為中心、分類分級為基礎(chǔ)，為小紅書數(shù)據(jù)資產(chǎn)提供事前主動防御、事中實時監(jiān)個辦公安全產(chǎn)品且安全產(chǎn)品間煙囪化的現(xiàn)狀。對比單點采購買斷式安全產(chǎn)品堆疊的情況，采用一體化的辦公等方面不斷邁進。區(qū)別于傳統(tǒng)圍繞防止黑客入侵的安全建設(shè)思路，保障數(shù)據(jù)安全以及管理訪問控制是小紅書高度關(guān)注的要點，防止紅線數(shù)據(jù)外泄是終態(tài)目標。當下，隨著數(shù)據(jù)安全等政策法規(guī)的落地，數(shù)據(jù)安全成了備受關(guān)注的領(lǐng)域，在實現(xiàn)我們防護紅線數(shù)據(jù)不外泄的核心目標，且保障員工工作效率及體驗，我們選擇性地舍系統(tǒng)中，替代3、4個安全軟件，實現(xiàn)最小權(quán)限訪問以及數(shù)據(jù)分類分級、流轉(zhuǎn)、分發(fā)等全方位管控，這樣既有零信任SASE一體化辦公安全解決方案同樣適用于擁有跨國業(yè)務(wù)、多分支架構(gòu)。正在數(shù)字化轉(zhuǎn)型的國央企大型集團公司、以數(shù)據(jù)為中心的數(shù)字化企業(yè)、關(guān)心敏感數(shù)據(jù)的外泄或強合規(guī)需求的企業(yè)、有信創(chuàng)終端的環(huán)境的企業(yè)、有遠程辦公需求的數(shù)字化企業(yè)等類型。其解決了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)所面臨的許多挑戰(zhàn)，傳統(tǒng)安全架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界的安全，而零信任SASE覆蓋了網(wǎng)絡(luò)安全、終端安全、應(yīng)用程序安全和數(shù)據(jù)安全等多個層面。提供更全面的安全保障，防止各種安全威脅的發(fā)生。SASE對企業(yè)網(wǎng)絡(luò)架構(gòu)0入侵和現(xiàn)有斂互聯(lián)網(wǎng)暴露面，快速落地零信任安全訪問，用基于身份、持續(xù)驗證的動態(tài)訪問控制能力建立企業(yè)安全新邊界；同時，SASE采用云原生技術(shù)，高度的靈活性和總部，混合辦公場景下都具備全場景一致的高安全水位；借助全球加速網(wǎng)絡(luò)改善了網(wǎng)絡(luò)質(zhì)量，輕量化、穩(wěn)。企業(yè)定位：數(shù)據(jù)安全創(chuàng)新者、下一代數(shù)據(jù)防泄漏、數(shù)據(jù)安全態(tài)勢感知、終端一體化數(shù)據(jù)管理、全生命周期企業(yè)介紹：藪貓科技作為網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè)，依托專業(yè)安全團隊的硬核技術(shù)，通過創(chuàng)新威脅檢測與響應(yīng)系列產(chǎn)品，打造「終端x流量」全鏈路、縱深防護體系。同時，結(jié)合滲透測試、安全審計、經(jīng)營能力經(jīng)營能力研發(fā)投入能力三一集團有限公司始創(chuàng)于1989年，業(yè)務(wù)全面涉及混凝土機械、挖掘機械、起重機械、筑路機械、樁工機械、風電設(shè)備、港口機械、石油裝備、煤炭裝備、裝配式建筑PC等。旗下?lián)碛腥恢毓ぃ⊿H，600031）、三一國際（HK，00631）、三一重能（SH，688349）三家上市公司，同時擁有三一筑工科技有限公司能等三一集團在安全評估工作中發(fā)現(xiàn)暫無有效的非結(jié)構(gòu)化識別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級制度以及相關(guān)工具對非結(jié)構(gòu)化數(shù)據(jù)進行分類分級。其次，三一集團雖然已經(jīng)部署了云桌面，實現(xiàn)了數(shù)據(jù)不落地，同時采用了網(wǎng)絡(luò)準入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風險，需要采取技術(shù)措施對終端數(shù)據(jù)進行監(jiān)控。最后，當前三一集團數(shù)據(jù)安全運營管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計設(shè)備，通過人工抽查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完力，提升HW防守成績。同時，通過前期防護準備發(fā)現(xiàn)企業(yè)存在的安發(fā)保密制度》《三一集團數(shù)據(jù)資產(chǎn)管理標準》以及結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分級分類管理流程。但是由于暫無有效的非結(jié)構(gòu)化識別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補充完善非結(jié)三一集團已經(jīng)部署了云桌面，實現(xiàn)了數(shù)據(jù)不落地，同時采用了網(wǎng)絡(luò)準入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，當前三一集團數(shù)據(jù)安全運營管理工作，主要依賴桌面管理查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完成數(shù)據(jù)安全產(chǎn)品為藪貓科技的青騅（DDR）數(shù)據(jù)風險檢測及響應(yīng)系統(tǒng)（以下簡稱：青騅DDR系統(tǒng)）是基于智能內(nèi)容識別引擎、驅(qū)動級終端應(yīng)用事件監(jiān)控、數(shù)據(jù)外傳風險檢測等核心自研技術(shù)所打造的終端數(shù)據(jù)防泄密產(chǎn)品。系統(tǒng)通過對敏感數(shù)據(jù)識別算法的革新和對終端軟件的深度hook，智能識別終端敏感數(shù)據(jù)內(nèi)容，全面監(jiān)控數(shù)據(jù)轉(zhuǎn)移行為，針對已發(fā)生的數(shù)據(jù)泄露事件進行及時響應(yīng)，追蹤泄密源頭，防止事件影響進一步擴大。同時，青騅DDR系統(tǒng)亦可幫助管理者監(jiān)控企業(yè)敏感數(shù)據(jù)使用情況，確保企業(yè)內(nèi)部敏感數(shù)據(jù)的合規(guī)合理使用，助青騅DDR系統(tǒng)采用B/S加C/S架構(gòu)，服務(wù)端管理采用web方式進行訪問管理，更加靈活便捷；終端泄露防護采用輕客戶端方式進行管控，終端負擔更??；系統(tǒng)主要通過終端程序來完成用戶活動捕獲和用戶操作日志摘要，系統(tǒng)管理端來完成日志和用戶活動的集成、過濾和內(nèi)容分析，管理員可以直觀看到所有數(shù)據(jù)，也可對青騅DDR系統(tǒng)主要功能包括桌面管理、網(wǎng)絡(luò)管理和數(shù)據(jù)安全三個方面，不僅專注終端數(shù)據(jù)資產(chǎn)本身安數(shù)據(jù)安全咨詢服務(wù)主要以數(shù)據(jù)分類分級咨詢服務(wù)為主，包含數(shù)據(jù)資產(chǎn)梳理服務(wù)、數(shù)據(jù)分類分級規(guī)范編制、數(shù)據(jù)分類分級策略制定和數(shù)據(jù)分類分級實施等內(nèi)容。首先，利用青騅DDR系統(tǒng)掃描和業(yè)務(wù)流程人工調(diào)研相結(jié)合的方式，形成數(shù)據(jù)清單。其次，結(jié)合客戶單位實際情況，明確分類分級管理過程中各方責任、操作過程、原則和方法，形成可持續(xù)的數(shù)據(jù)分類分級指導(dǎo)方法論。最后，利用數(shù)據(jù)分類分級指導(dǎo)方法進行實踐，設(shè)發(fā)現(xiàn)：青騅DDR系統(tǒng)作為數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)的基礎(chǔ)，通過桌面管理軟件推送靜默安裝3200臺DDR系統(tǒng)客戶梳理：藪貓科技數(shù)據(jù)安全咨詢服務(wù)對9大業(yè)務(wù)進行了調(diào)研分析，并結(jié)合集團內(nèi)數(shù)據(jù)進行分類分級。最后，將收集整理的數(shù)據(jù)分類分級規(guī)則配置到青騅DDR服務(wù)端，通過青騅DDR客戶端對監(jiān)控：三一集團希望了解內(nèi)部員工終端數(shù)據(jù)的使用情況，因此使用青騅DDR客戶端對終端所有外發(fā)渠道進行監(jiān)控，全方位感知敏感文件流動態(tài)勢，覆蓋終端敏感數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、銷毀等數(shù)據(jù)生命周運營：利用青騅DDR系統(tǒng)的運營功能更新數(shù)據(jù)安全運營模式，通過定期對異常行為進行研判分析，結(jié)合在資產(chǎn)發(fā)現(xiàn)、識別與梳理工作中，藪貓科技提出了數(shù)據(jù)分類分級咨詢服務(wù)與數(shù)據(jù)安全產(chǎn)品資產(chǎn)掃描相結(jié)合的方式，兩者互為補充，即有效地提高了數(shù)據(jù)分類分級咨詢服務(wù)實施效率，也極大地減少了單純的利用工網(wǎng)絡(luò)流量、動態(tài)庫與內(nèi)核擴展的加載與卸載等行為數(shù)據(jù)。這些接口可具體分為操作系統(tǒng)內(nèi)建方案（利用操作Mechanism）掛接目標函數(shù)）兩種。利用此項技術(shù)系統(tǒng)可深度捕獲應(yīng)用軟件的操作行為、網(wǎng)絡(luò)流量，從而實青騅DDR融合了多種識別瀏覽器上的數(shù)據(jù)動態(tài)傳輸（Data-in-Motion）技術(shù)，通過精準數(shù)據(jù)匹配數(shù)據(jù)安全咨詢服務(wù)為三一集團建立非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分類分級標準，共形成273個文件分類，并結(jié)合集團內(nèi)部的數(shù)據(jù)分類分級制度，將數(shù)據(jù)分為公開數(shù)據(jù)、一般商秘、重要商點保護對象，避免數(shù)據(jù)泄露和濫用，提高數(shù)據(jù)的安全性和可靠性，更好地滿足法律、監(jiān)管和合規(guī)要求，減少在咨詢服務(wù)形成的分類分級規(guī)則的基礎(chǔ)上，青騅DDR系統(tǒng)通過資產(chǎn)掃描、分類分級和泄露管控等功能，完成終端數(shù)據(jù)測繪，并通過監(jiān)控和識別敏感數(shù)據(jù)外發(fā)行為，及時發(fā)現(xiàn)和阻止員工將敏感數(shù)據(jù)泄露給外部人青騅DDR系統(tǒng)提供的包含渠道管控、郵件管控、代碼管控、數(shù)據(jù)行為等多維度可視化儀表盤，便于安全人員全面掌握企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全風險全狀況，提升安全可見性。為安全決策提供數(shù)據(jù)支撐，便于安全人員全在HW防守準備階段梳理分析發(fā)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)使用存在安全風險，針對發(fā)現(xiàn)的風險借助數(shù)據(jù)安全咨詢服務(wù)制定了解決方案，方案落地分為管理和技術(shù)兩方面，管理方面通過調(diào)研梳理完善非結(jié)構(gòu)化數(shù)據(jù)識別規(guī)則，技術(shù)方面采取數(shù)據(jù)防泄漏工具對非結(jié)構(gòu)化數(shù)據(jù)進行識別、監(jiān)控、告警，確保非結(jié)構(gòu)化數(shù)據(jù)安全，提高發(fā)數(shù)據(jù)分類分級服務(wù)和青騅DDR系統(tǒng)的建設(shè)有效保護客戶提供的數(shù)據(jù)資產(chǎn)，使得客戶更加信任企業(yè)，從而360安全云賦能城市、大型企業(yè)、中小微企業(yè)。在人工智能領(lǐng)域，推出360安全大模型，率先實現(xiàn)AI實戰(zhàn)應(yīng)。企業(yè)雷達圖： 經(jīng)營能力研發(fā)投入能力隨著數(shù)字化轉(zhuǎn)型加速，零售行業(yè)的經(jīng)營模式正在發(fā)生著巨大的變化，越來越多的零售企業(yè)將業(yè)務(wù)轉(zhuǎn)向了作為大型、綜合、創(chuàng)新型家居零售商，某新零售集團股份有限公司已搭建全國線下零售網(wǎng)絡(luò)，并率先在家具行業(yè)內(nèi)開展數(shù)字化轉(zhuǎn)型，以場景化、客戶體驗感、線上線下融合帶來全新消費方式變革，打造實體店第隨著新零售從線下走到線上，從終端、網(wǎng)站走向APP、小程序等多渠道，面對日漸復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷增多的數(shù)字資產(chǎn)，針對新零售業(yè)務(wù)的攻擊手段變得更加多樣化、復(fù)雜化，企業(yè)面臨的安全風險也呈幾何倍本地服務(wù)團隊本地服務(wù)團隊360安全云客戶側(cè)360安全云：圖中上半部分由360安全云產(chǎn)品和云端安全運營服務(wù)團隊組成，360安全云團隊為本項目客戶所提供的安全運營服務(wù)是在360安全云賦能下，基于360安全運營數(shù)字化協(xié)作平臺和云端多層級專業(yè)化運營用戶側(cè)：圖中下半部分主要由360安全云服務(wù)所依賴的各類安全工具以及本地服務(wù)團隊組成。其中各類安全工具，用于支撐不同安全即服務(wù)的服務(wù)內(nèi)容，各項服務(wù)所產(chǎn)生的安全運營數(shù)據(jù)將上報到360安全云的安全運營數(shù)字化協(xié)作平臺，然后由云端服務(wù)團隊按照標準服務(wù)流程開展安全運營。關(guān)于本地服務(wù)團隊，主要針對客戶側(cè)有自有安全技術(shù)人員和項目管理人員的情況，通過360安全云體系化培訓(xùn)賦能，經(jīng)360安全云考核認證的人員，作為用戶側(cè)的本地服務(wù)人員與云端服務(wù)團隊開展云地協(xié)同，解決最后一公里的安全事件閉環(huán)的問本項目所提供的安全即服務(wù)內(nèi)容：為保證客戶全國數(shù)百家門店安全，360安全云提供終端安全托管服務(wù)和網(wǎng)絡(luò)威脅監(jiān)測服務(wù)，由360安全專家對終端系統(tǒng)和網(wǎng)絡(luò)流量的告警進行研判分析，通過識別有效告警并將潛在威脅事件升級為工單及時通知客戶；數(shù)字資泄露監(jiān)測服務(wù)則通過自動化持續(xù)監(jiān)測預(yù)警該公司的風險事提及客戶的線上業(yè)務(wù)，360安全云的網(wǎng)站威脅監(jiān)測服務(wù)通過對其網(wǎng)站的漏洞威脅、網(wǎng)頁篡改、網(wǎng)站可用性等進行實時監(jiān)測，配合安全專家的分析研判，及時將造成影響的安全事件報告給客戶，進而阻斷此外，考慮到零售行業(yè)易遭受勒索攻擊，360安全云為客戶提供了勒索攻擊安全托管服務(wù)，使用專項勒索攻擊監(jiān)測工具，幫助客戶驗證和提升現(xiàn)有防護體系應(yīng)對勒索攻擊的防護能力。同時，贈送防勒索險360安全云采用先進的安全云技術(shù)，把服務(wù)于國家的高位安全能力賦能給廣大政企，開創(chuàng)“軟、硬件免費，服務(wù)收費”的網(wǎng)絡(luò)安全商業(yè)模式先河，以7×24小時的遠程運營服務(wù)形式，幫助客戶實現(xiàn)全天候、全方位的威脅監(jiān)測。通過實時發(fā)現(xiàn)和處置安全風險，為廣大政企單位構(gòu)建了一道堅實的數(shù)字安全屏障。這種創(chuàng)新性業(yè)界當前的托管安全運營多是通過安全運營分析平臺進行研判分析，IM通信通知事件，郵箱推送報告，三者相互獨立、信息割裂，事件通知缺少上下文，報告存儲混亂易流失，導(dǎo)致運營工作協(xié)同難、處置慢。360基于業(yè)內(nèi)獨有的統(tǒng)一運營協(xié)作平臺-推推，創(chuàng)新性實現(xiàn)了以一套安全協(xié)同平臺打通全網(wǎng)安全數(shù)據(jù)，連接多方人員與資源，包含企業(yè)管理領(lǐng)導(dǎo)、企業(yè)技術(shù)人員、360實戰(zhàn)化安全團隊、用戶資產(chǎn)、生態(tài)渠道等，實現(xiàn)安全運營流程流轉(zhuǎn)互通、多方人員溝通、安全工作協(xié)同。此外，通過智能的告警處置機制、強大的腳本知識庫、交互式的用戶運營體驗，可追溯的安全運營過程，可視化的安全運營成果，保姆式的專家集梯隊為客戶端、威脅情報能力、云查殺能力、漏洞、測繪、沙箱、安全DNS、APT、移動端等多維度、多場景的數(shù)據(jù)聚合分析，形成了全面的、完整的威脅認知和情報數(shù)據(jù)體系，為用戶提供了高位視角主動防護與監(jiān)測，幫助客eAI賦能數(shù)字安全防護體系，極大提升了網(wǎng)絡(luò)面對海量的數(shù)據(jù)及安全告警，360安全云依托領(lǐng)先的人工智能技術(shù)優(yōu)化降噪模型，篩選出高價值安全事營服務(wù)人員提供人機協(xié)作服務(wù)模式（例如：智能統(tǒng)計報表、智能生成報告、智能分析、智能處置、智能問答2、網(wǎng)絡(luò)威脅監(jiān)測服務(wù)：截至目前，360安全云分析網(wǎng)絡(luò)攻擊事件14000余件，其中嚴重級別的網(wǎng)絡(luò)攻擊3、數(shù)字資產(chǎn)泄露監(jiān)測服務(wù)：截至目前，360安全云共發(fā)現(xiàn)542個數(shù)據(jù)泄漏點。發(fā)現(xiàn)54個敏感信息泄露5、互聯(lián)網(wǎng)暴露面監(jiān)測服務(wù)：截至目前，360安全云幫助客戶梳理互聯(lián)網(wǎng)資產(chǎn)800多個，涉及網(wǎng)站、域名、IP、端口、應(yīng)用組件、公眾號、小程序等資產(chǎn)類型，通過與客戶溝通，及時收斂不必要對外開放的資產(chǎn)6、勒索攻擊安全托管服務(wù)：截至目前，在360安全云保護下的終端未發(fā)生成功勒索攻擊事件，相關(guān)防勒系統(tǒng)，定期輸出報告，大大減輕了我們的運維壓力，贈送的防勒索保險也進一步為我們的業(yè)務(wù)兜底，做到了通過減少安全事件、提高業(yè)務(wù)流轉(zhuǎn)效率和降低運營成本，該項目為客戶帶來顯著的經(jīng)濟效益，實現(xiàn)降本增效。360安全云服務(wù)開創(chuàng)了新的商業(yè)模式：軟硬件免費、為服務(wù)買單。在這一新的商業(yè)模式下，一般規(guī)模企業(yè)每年費用在十幾萬到幾十萬之間，是傳統(tǒng)集成建設(shè)模式的1/3-1/4，安全投資大幅下降。通過滿足用戶相同需求的前提下，只需要傳統(tǒng)安全投入的30%，企業(yè)僅需要為數(shù)字安全最有價值的：人、數(shù)據(jù)、溝通的頻次和形式仍需加強，針對服務(wù)過程發(fā)現(xiàn)的緊急情況，除安全運營平臺本身的預(yù)警機制外，采取。重點產(chǎn)品：源鑒SCA開源威脅管控平臺、靈脈IAST灰盒安全測試平臺、靈脈SAST白盒代碼審計平臺、云鯊RASP自適應(yīng)云防御平臺、靈脈PTE自動化滲透測試平臺、云脈XSBOM供應(yīng)鏈安全情報預(yù)警經(jīng)營能力經(jīng)營能力研發(fā)投入能力該用戶過去在長期的業(yè)務(wù)系統(tǒng)建設(shè)中引入了大量開源軟件，如K8S、Ceph、Contiv、Istio、Redis、且開源軟件大部分情況下缺少相應(yīng)的付費服務(wù)和運維支持，而用戶本身的技術(shù)人員數(shù)量及能力都有一定限此外，由于該用戶過往未制定相應(yīng)的開源組件使用規(guī)范，各個系統(tǒng)引入的開源軟件復(fù)雜多樣，存在大量老舊、廢棄版本等情況，開發(fā)人員在開發(fā)過程中未能關(guān)注開源組件的漏洞情況，導(dǎo)致已有的開源組件安全漏第三方軟件供應(yīng)商一般不會說明其產(chǎn)品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動引入開源軟件。此外，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時，對運營商而言，存量軟件及代碼的規(guī)模相對更加龐大，因此，用戶想要完全準確統(tǒng)。開源許可證隱含的法律風險較為顯著每一個開源軟件都會通過開源許可證規(guī)定其使用范圍和權(quán)利義務(wù)，用戶在很多情況并不能明確得知該軟根據(jù)用戶在開源軟件漏洞檢測、軟件成分分析、軟件許可管理、軟件物料管理等各方面的要求，結(jié)合現(xiàn)有軟件項目使用開源代碼的比例逐步提高的現(xiàn)狀，該用戶通過源鑒SCA重點建設(shè)了內(nèi)部開源組件版本基線使3、最后，結(jié)合在流水線構(gòu)建階段的基線阻斷配置，通過在流水線構(gòu)建過程中實時進行開源組件安全檢本解決方案采用的核心技術(shù)為代碼疫苗技術(shù)，代碼疫苗技術(shù)旨將智能風險檢測和積極防御邏輯注入到運行時的數(shù)字應(yīng)用中，如同疫苗一般與應(yīng)用載體融為一體，突破性地使其實現(xiàn)對潛在風險的自發(fā)現(xiàn)和對未知威脅的自免疫。代碼疫苗技術(shù)基于插樁技術(shù)實現(xiàn)，創(chuàng)新性地統(tǒng)一融合了IAST（交互式應(yīng)用安全測試）、SCA（軟件成分分析）、RASP（運行時應(yīng)用自保護）、DRA（數(shù)據(jù)風險評估）、API分析、APM監(jiān)控等能力，即一個探針插樁即可在數(shù)字供應(yīng)鏈的不同階段中實現(xiàn)不同能力與效果的安全檢測并防御多種攻擊風險，做到了數(shù)字供應(yīng)鏈全生命周期的安全保障，且可輕松適配多業(yè)務(wù)場景，輕量級地實現(xiàn)了數(shù)字供應(yīng)鏈的作為代碼疫苗技術(shù)的核心，函數(shù)級單探針以插樁實現(xiàn)植入在應(yīng)用內(nèi)存上下文之中，既能夠在軟件開發(fā)測試環(huán)節(jié)里通過IAST對軟件安全風險進行智能檢測，精準定位API安全風險和缺陷，有效解決運行時API中敏感數(shù)據(jù)流動的追蹤問題，又能夠在軟件部署和運營環(huán)節(jié)通過RASP實現(xiàn)軟件風險自免疫，提供閉環(huán)的數(shù)字供應(yīng)鏈源鑒SCA是國內(nèi)首款集源碼級組件依賴檢測引擎、源代碼同源檢測引擎、二進制成分分析引擎、容器鏡態(tài)的代碼級開源軟件成分檢測，可以在應(yīng)用運行過程中基于請求、代碼、數(shù)據(jù)流、控制流綜合分析判斷漏洞，漏洞測試準確性高；安全漏洞既可定位到代碼行，還可以得到完整的請求和響應(yīng)信息、完整的數(shù)據(jù)流和源鑒SCA支持與DevOps流程無縫結(jié)和開發(fā)團隊所使用的平臺工具實時推送，整個過程無需安全專家介入，全程不改變原有開發(fā)流程、無需額外臺（CNVD）及CWE標準，基于精確、全面的軟件物料清單梳理和AI大數(shù)據(jù)分析引擎，實現(xiàn)7*24全網(wǎng)數(shù)字供應(yīng)鏈安全動態(tài)監(jiān)測與溯源分析，智能推送數(shù)字供應(yīng)鏈投毒攻擊、組件缺陷與失效和開源許可證風險，讓用戶方案建設(shè)落地后，該用戶建立了內(nèi)部的開源組件使用規(guī)范，研發(fā)人員在開源組件的引入及使用過程中即可確定組件的安全版本范圍，在研發(fā)早期階段規(guī)避了開源組件漏洞的引入，大大降低了開源組件漏洞修復(fù)成該用戶基于源鑒SCA的開源治理能力建立了企業(yè)級平臺，可對各類型采購、自研、軟件資產(chǎn)進行梳理和安全審查，進一步在內(nèi)部建立開源治理組織架構(gòu)，制定配套的開源治理管理制度和規(guī)范，逐步構(gòu)筑起比較完備的開源風險治理體系，規(guī)范開源軟件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可該項目的實施幫助用戶構(gòu)建了企業(yè)級的開源治理平臺、院級的軟件物料清單，引入了證書以及安全的檢開源治理并非一蹴而就，除了技術(shù)工具的使用外，用戶還應(yīng)當在組織架構(gòu)、管理制度、人員意識等方面e企業(yè)介紹：浙江齊安信息科技有限公司（齊安科技）致力于工業(yè)互聯(lián)網(wǎng)接入安全體系與技術(shù)的持續(xù)創(chuàng)新，為用戶提供全方位接入安全管理與防護解決方案。依托核心技術(shù)和豐富工控行業(yè)知識，開發(fā)了涵蓋檢測、運維、防護、平臺等多個領(lǐng)域的工控行業(yè)接入安全產(chǎn)品與解決方案。產(chǎn)品與服務(wù)廣泛應(yīng)用于電力、煤礦、軍工、軌道交通、石油石化、智能制造等領(lǐng)域，保障關(guān)鍵信息基礎(chǔ)設(shè)施與重要工業(yè)領(lǐng)域的安全，維護工業(yè)。重點產(chǎn)品：便攜式運維網(wǎng)關(guān)、USB安全隔離保護系統(tǒng)、安全配置核查系統(tǒng)、一體化遠程運維系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)、企業(yè)流量在線監(jiān)測系統(tǒng)、物聯(lián)網(wǎng)加。企業(yè)雷達圖：● ● 經(jīng)營能力經(jīng)營能力研發(fā)投入能力一些電力監(jiān)控系統(tǒng)運維人員（包括二次班人員、外單位運維人員、檢查人員）缺乏網(wǎng)絡(luò)安全意識，組織員工定期接受網(wǎng)絡(luò)安全培訓(xùn)的工作落實不到位，使得很多重要的電力監(jiān)控系統(tǒng)在日常工作中缺乏有效的安全防護措施。很多員工對密碼管理缺少必要的認識，例如采用默認密碼、長期不修改使用密碼、密碼存放在互度指揮提供了更為方便、高效的管理方式，但同時也面臨勒索病毒及其他網(wǎng)絡(luò)攻擊的風險。勒索病毒等網(wǎng)絡(luò)攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進入調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，將嚴重影響電力系統(tǒng)數(shù)據(jù)資料安全性，甚至導(dǎo)致整個生產(chǎn)網(wǎng)絡(luò)癱瘓，造成巨大損失。近年頻繁發(fā)生的勒索病毒襲擊國內(nèi)外關(guān)鍵基礎(chǔ)設(shè)施事件充當前，電力監(jiān)控系統(tǒng)主要面臨的系統(tǒng)性風險：一是缺乏針對新興技術(shù)廣泛應(yīng)用帶來的網(wǎng)絡(luò)安全威脅進行有效安全管控措施；二是攻擊威脅監(jiān)測預(yù)警與安全防護分離脫節(jié)；三是已有網(wǎng)絡(luò)安全防護機制在電力監(jiān)控系目前，在電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護建設(shè)實踐中，符合國家、行業(yè)及公司級的電力監(jiān)控系統(tǒng)安全防護規(guī)定，以及防火墻、隔離網(wǎng)關(guān)、電力網(wǎng)閘等訪問控制設(shè)備的大規(guī)模部署成為電網(wǎng)公司重點關(guān)注的建設(shè)內(nèi)容。而生產(chǎn)控制信息網(wǎng)絡(luò)和管理信息網(wǎng)絡(luò)實際面臨的攻擊威脅情況卻并未引起足夠關(guān)注。這是由于電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理與建設(shè)實踐很大程度由合規(guī)性驅(qū)動，而合規(guī)性驅(qū)動的安全防護建設(shè)思路存在的弊端非常明顯：一方面，合規(guī)性防護策略只是安全防護的一個重要方面，無法保證動態(tài)變化的電力監(jiān)控系統(tǒng)是安全可靠的，反而會給相關(guān)各方造成看似安全的假象，以偏概全；另一方面，由合規(guī)性驅(qū)動的電力監(jiān)控系統(tǒng)建設(shè)，容電力監(jiān)控系統(tǒng)在現(xiàn)場檢修運維層面仍存在著安全隱患，檢修運維人員進入了變電站現(xiàn)場后，跳過了層層設(shè)防的網(wǎng)絡(luò)安全設(shè)備直接將筆記本電腦、移動存儲設(shè)備等通過網(wǎng)絡(luò)接口、串行接口和USB接口接入現(xiàn)場系1、檢修運維過程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡(luò)交叉使用的移動存儲介質(zhì)和運維設(shè)備（如U2、由于缺少安全審計手段，在檢修運維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱3、在檢修運維過程中，檢修運維人員通過上傳非法的配置數(shù)據(jù)，導(dǎo)致現(xiàn)場設(shè)備運行異常，也會引發(fā)相應(yīng)世界各國高度重視維護電力系統(tǒng)安全，紛紛采取立法保護、技術(shù)防范、分散風險等方法，提高本國電網(wǎng)的抗毀傷能力。尤其是我國，在電網(wǎng)二次安防領(lǐng)域走在世界前面。中華人民共和國國務(wù)院、國家發(fā)展與改革委員會、中華人民共和國工業(yè)和信息化部、國家能源局、中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標準化管理委員會等國家主管單位，近年來對工業(yè)控制系統(tǒng)信息安全工作做出了一系列的指導(dǎo)意見和規(guī)范要求，其中，2022年4月，國調(diào)中心關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)便攜式運維網(wǎng)關(guān)技術(shù)規(guī)范（試行）》的通知，加強變電站（換流站）監(jiān)控系統(tǒng)運維安全管控，防范違規(guī)外聯(lián)、惡意代碼感染、非法操作等安全風險，基于此，齊安科技研制了檢修作業(yè)安全運維系統(tǒng)，即運維移動堡壘機(便攜式運維網(wǎng)關(guān))，用以規(guī)范電力監(jiān)控系統(tǒng)的運維操作行為，保護站端設(shè)備網(wǎng)絡(luò)安全，降低電力監(jiān)控系統(tǒng)現(xiàn)場檢修運維的風險，保障設(shè)備資產(chǎn)當前，變電站運維工作中缺少必要的安全防護及審計措施，具體來說，存在運維人員使用自帶筆記本電腦及U盤等運維工具直接接入變電站監(jiān)控系統(tǒng)的情況，容易引起違規(guī)外聯(lián)、誤操作、惡意代碼、網(wǎng)絡(luò)攻擊等安全風險。國網(wǎng)安監(jiān)部曾多次通報關(guān)于電力監(jiān)控系統(tǒng)感染惡意代碼、違規(guī)外聯(lián)等安全事件。變電站的外聯(lián)風險、違規(guī)操作、惡意代碼感染問題屢禁不止。簡項目實施過程中，通過將便攜式運維網(wǎng)關(guān)部署在站控層交換機上，實現(xiàn)對整個運維過程進行全程實時安2、對運維過程傳輸?shù)奈募M行惡意代碼查殺，避免未安裝防病毒軟件或未及時更新病毒庫的電力監(jiān)控系5、對運維操作過程進行授權(quán)管理和二次確認，并通過視頻、文件、通訊數(shù)據(jù)包、日志等多種方1、便攜的形態(tài)設(shè)計：產(chǎn)品在形態(tài)上摒棄了傳統(tǒng)的固定式。取而代之的是采用便攜式設(shè)計方案，能夠適應(yīng)工業(yè)現(xiàn)場多樣化的布局，并且在保持靈活部署的同時，有3、技術(shù)積累：為了提升用戶現(xiàn)場作業(yè)的效率，通常做法是采用EXCEL模板編這會增加導(dǎo)入、導(dǎo)出和編輯工作量，并引入額外的安全風險。齊安科技的系統(tǒng)集成了OCR識別技術(shù)，能夠拍照識別紙質(zhì)工作票的關(guān)鍵信息并自動生成檢修任務(wù)。用戶可以根據(jù)需求定制檢修任務(wù)模板并生成任務(wù)，只需增加拍照步驟，節(jié)省大量數(shù)據(jù)導(dǎo)入和編輯時間，顯著提升了使用體驗。此外，由于各地工作票模板存在差5、成本優(yōu)勢：在設(shè)計開發(fā)初期便采用了軟硬件自研的技術(shù)路線本項目通過在5座變電站上部署便攜式運維網(wǎng)關(guān)，至今共計攔截違規(guī)外聯(lián)及高風險指令數(shù)十次，避免產(chǎn)生技術(shù)成本降低：檢修作業(yè)安全運維系統(tǒng)整體設(shè)計簡單易用，支持一鍵生成檢修任務(wù)、OCR快速識別工作票信息生成檢修任務(wù)，業(yè)務(wù)流程做到即插即用，不做多余設(shè)置，簡單便捷，方便現(xiàn)場運維人員快速開展工增強安全管理能力：規(guī)范現(xiàn)場操作人員行為，減少潛在的追蹤溯源時提供有效依據(jù)，確定責任人。提供風險監(jiān)管能力：通過技術(shù)手段為用戶提供了監(jiān)測和處理風提升運維效率與精準度：通過集中管理不同區(qū)域、不同站點的同類設(shè)備運維記錄，實現(xiàn)了數(shù)據(jù)驅(qū)動的運維決策。不僅提升運維效率，同事提高預(yù)防性維護的精準度，降低了潛在風險。與此同時，對單個站點歷史。企業(yè)介紹：眾智維科技總部與研發(fā)中心設(shè)立于南京，在北京、上海、山東、深圳、河南、蘇州設(shè)立子公司+機器學(xué)習(xí)驅(qū)動的網(wǎng)絡(luò)安全運營協(xié)同解決方案商，長期聚焦網(wǎng)絡(luò)安全攻防實戰(zhàn)，多維。企業(yè)雷達圖：. . 經(jīng)營能力經(jīng)營能力研發(fā)投入能力工業(yè)互聯(lián)網(wǎng)的快速發(fā)展加速了OT/IT網(wǎng)絡(luò)和物聯(lián)網(wǎng)融合信息安全事件頻繁發(fā)生且發(fā)生行業(yè)呈多元化趨勢，工控系統(tǒng)高危漏洞層出不窮。工業(yè)安全已得到政府監(jiān)管部門和工業(yè)企業(yè)高度重視，國家出臺了一系列政策法規(guī)，提升工業(yè)安全保障能力。在國家政策引導(dǎo)下，某能源企業(yè)公司作為大型電站、光伏發(fā)電及運維服務(wù)于一體的電力能源企業(yè)，以創(chuàng)新引領(lǐng)作為第一發(fā)展戰(zhàn)略和核心關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。某能源企業(yè)信息化建設(shè)較早，其業(yè)務(wù)安全系統(tǒng)在長期的各類專項安全建設(shè)中實現(xiàn)了安全設(shè)備的廣覆蓋，并在態(tài)勢感知的建設(shè)過程中，在態(tài)勢要素收集、態(tài)勢分析、態(tài)勢呈現(xiàn)等領(lǐng)域已經(jīng)取得初步成果，但是在關(guān)鍵的態(tài)勢處置方面，仍然處于相對初1、態(tài)勢感知能力需加強：能源互聯(lián)網(wǎng)環(huán)境下，企業(yè)電力調(diào)度與監(jiān)控系統(tǒng)實際接擊種類、方式多且頻繁，在防御過程中各類靜態(tài)和動態(tài)的實時數(shù)據(jù)監(jiān)測難以落實；同時由于該企業(yè)體量龐2、安全威脅響應(yīng)不夠及時：針對關(guān)鍵性基礎(chǔ)設(shè)施的定向攻擊事件發(fā)生不斷增多，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜，響應(yīng)難度也日趨增加；目前開展監(jiān)測預(yù)警、應(yīng)急處置、分析報告等工作主要采取人工方式，大量的安全該能源企業(yè)依靠各種各類安全設(shè)備，實現(xiàn)安全告警和要素獲取，可快速發(fā)現(xiàn)安全事件和行為異常；但判斷與決策能力相對較弱，判斷階段在電力監(jiān)控系統(tǒng)中，對應(yīng)態(tài)勢分析和呈現(xiàn)，實現(xiàn)告警的基礎(chǔ)分析和聚類，初步轉(zhuǎn)換成安全事件并加以分類；決策階段在電力監(jiān)控系統(tǒng)中，需要針對安全事件的類型和影響范圍進行判斷，確定使用怎樣的流程，驅(qū)動哪些人員，調(diào)用哪些工具和設(shè)備進行處置，這些處置會否產(chǎn)生額外的安全風險；執(zhí)行階段在電力監(jiān)控系統(tǒng)中，即根據(jù)決策的結(jié)果調(diào)用對應(yīng)的安全設(shè)備和安全工具，執(zhí)行具體操作完成安因此，某能源企業(yè)需要通過自動化手段替代現(xiàn)有的人工決策和手動執(zhí)行手段，降低平均事件響應(yīng)時間降低風險造成的損失，從而簡化統(tǒng)一協(xié)同響應(yīng)流程，節(jié)省手動分析時間，真正達到主動監(jiān)測，自動化快速響南京眾智維科技信息有限公司深耕工業(yè)信息安全多年，具備深厚的安全經(jīng)驗與技術(shù)能力，形成了完善的產(chǎn)品體系，并在電力電網(wǎng)、石油石化、先進制造等多個領(lǐng)域建立工控安全實踐案例?，F(xiàn)根據(jù)某能源企業(yè)安全業(yè)務(wù)流程的應(yīng)用特征，我司通過定制化安全運營平臺建設(shè)，以安全編排與自動化響應(yīng)（SOAR）+AI技術(shù)賦能，為用戶提供該項目總體解自動化響應(yīng)系統(tǒng)保護級阻斷功能層劇本工具動作管理劇本管理事件協(xié)作引擎層動作執(zhí)行引肇理、儀表板和報告，以及跨功能分析。構(gòu)建適用于企業(yè)電力監(jiān)控系統(tǒng)的安全情景策略庫，用于不同保障場景平臺集中指令來源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點，選用適合的策略預(yù)案，生成腳本，通過人工流轉(zhuǎn)或自動向安全防護設(shè)備下發(fā)執(zhí)行指令，最終實現(xiàn)安全事件響電力監(jiān)控系統(tǒng)的態(tài)勢感知平臺獲取安全事件、威脅情報，并且通過自身的工作引擎進行分析和案例推演，依依照劇本和動作的步驟，通過響應(yīng)模塊驅(qū)動各類網(wǎng)絡(luò)設(shè)備或者安全設(shè)備，實現(xiàn)自動化響應(yīng)和多種級別的自動化阻斷行為。處置流程可以按照發(fā)電企業(yè)需求定制為：所有事件需要人工確認，所有事件自動化執(zhí)行，以及前置事件分級判斷步驟并根據(jù)安全事件等級設(shè)定不同的處置方案。方案可以為不同安全級別的事件制定不同機結(jié)合的方法進行事件分析與分類，根據(jù)標準流程輔助定義、排序和驅(qū)動標準化事件響應(yīng)行為，并應(yīng)用到防系統(tǒng)是軟硬件一體化安全設(shè)備，設(shè)備為2U標準機架式設(shè)備，旁路接入企業(yè)區(qū)網(wǎng)絡(luò)，通過B/S方式進行管理。由于設(shè)備是態(tài)勢處置流程的核心，部署期間需要和現(xiàn)有的態(tài)勢感知平臺以及各類安全設(shè)備實現(xiàn)應(yīng)用對編排和自動化是整個系統(tǒng)的核心功能，實現(xiàn)了運營過程和流程的劇本化，安全應(yīng)用的編排化，將安全產(chǎn)平臺具備完善的劇本管理功能，安全運營人員通過劇本庫對所有劇本進行統(tǒng)一管理，內(nèi)置通用漏洞或零日預(yù)警響應(yīng)、攻擊事件響應(yīng)、釣魚郵件處置、主機異常登錄場景、病毒告警事件、We異常日志、重大安全事件告警等通用劇本模板，且在維保期間可根據(jù)用戶需求定制化開發(fā)新劇本，劇本容量不設(shè)上限；內(nèi)置工作流引擎，以及由該工作流引擎驅(qū)動的編排器。編排器是系統(tǒng)的心臟，啟動后會自動從劇本庫中加載所有激活的劇本，并依照不同的觸發(fā)條件執(zhí)行相應(yīng)的劇本實例。工作流引擎會根據(jù)劇本的預(yù)設(shè)邏輯執(zhí)行每個活動，例如人機交互活動則調(diào)用人機接口，應(yīng)用活動則調(diào)用自動化應(yīng)用執(zhí)行引擎，自動激活相關(guān)系統(tǒng)支持創(chuàng)建或關(guān)閉作戰(zhàn)室用于協(xié)同作戰(zhàn)，可以通過作戰(zhàn)列表查看已存在（包含處理中、已解決、已關(guān)閉等各狀態(tài)）的作戰(zhàn)室，并進入作戰(zhàn)室查看歷史信息。針對作戰(zhàn)室中的每個事件，事件負責人可以快速創(chuàng)建一個針對該事件的溝通群（也叫作戰(zhàn)室）。事件負責人可以添加需要加入此溝通群的人員，快速形成一個作系統(tǒng)采用網(wǎng)絡(luò)安全作戰(zhàn)室語義算法技術(shù)，構(gòu)建AI智能機器人，提高結(jié)果的準確性，調(diào)度劇本引擎實現(xiàn)對網(wǎng)絡(luò)安全事件觸發(fā)，當后續(xù)類似攻擊發(fā)生時，實現(xiàn)精準推送，充分利用自動化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同。并支持基于安全事件的特點和行業(yè)已有的成熟解決劇本方案，使用協(xié)同過濾算法，在行業(yè)級的知當安全事件觸發(fā)后，網(wǎng)絡(luò)安全作戰(zhàn)室依據(jù)安全日志等進行數(shù)據(jù)分析，生成分析報告，作戰(zhàn)室的相關(guān)人員，如總指揮、作戰(zhàn)參謀和事件處置人員等做出指令決策。根據(jù)這些信息，將數(shù)據(jù)進行標準化處理，為NLP模型讀取數(shù)據(jù)打好基礎(chǔ)。相關(guān)數(shù)據(jù)讀入推薦算法模型后，參考網(wǎng)絡(luò)安全事件的知識庫，推薦出一個或多個可施行的劇本來完成相應(yīng)的工作流程。協(xié)同作戰(zhàn)模塊支持與事件模塊關(guān)聯(lián)，在生成特定事件時自動創(chuàng)建作戰(zhàn)室并拉入相關(guān)人員，且支持在作戰(zhàn)室中手動發(fā)起應(yīng)用、任務(wù)或劇本模塊。每個作戰(zhàn)室內(nèi)置一個聊天機器人，作經(jīng)驗沉淀，套路化自動化，每當有同類安全事件發(fā)生時，AI智能機器人可以根據(jù)自定義的安全策略庫自動啟系統(tǒng)能夠接收來自第三方SIEM/SOC產(chǎn)品發(fā)出的告警信息；能夠接收其它第三方系統(tǒng)/設(shè)備通過syslog發(fā)接受第三方的告警信息；支持人工錄入或者導(dǎo)入告警信息?？梢苑浅７奖愕暮碗娏ΡO(jiān)控系統(tǒng)現(xiàn)有態(tài)勢感知平支持對告警采集、告警展示、告警關(guān)聯(lián)劇本、告警處置、告警關(guān)聯(lián)作戰(zhàn)室，內(nèi)置100+告警類型，能夠?qū)Σ煌瑏碓吹母婢畔⑦M行進行分析匹配，自動關(guān)聯(lián)任務(wù)、劇本進行處置，無需人工介入，針對較高等級安全事件支持升級到作戰(zhàn)室進行協(xié)同處置，實現(xiàn)業(yè)務(wù)運行過程中的負載信息以及監(jiān)控指標的實時監(jiān)控與記錄，當監(jiān)控到異常信息時，第一時間對管理人員發(fā)送告警信息，觸發(fā)告警動作后，管理人員將收到一條告警信息來事件管理能夠幫助安全運營人員對一組相關(guān)的告警按照既定的應(yīng)對措施進行流程化、持續(xù)化、協(xié)作化、①事件列表：系統(tǒng)能夠以列表的形式展示所有事件清單，依次展示每個事件概況，包括事件名稱、概述、類型、責任人、事件等級、發(fā)生時間、結(jié)束時間、詳細、級別、狀態(tài)、調(diào)用的劇本、動作和任務(wù)等。安全運營人員可以方便的進行事件手動添加、處置和查看事件詳情。事件處置狀態(tài)包括未處理、進行中、已完②事件關(guān)聯(lián)劇本：系統(tǒng)事件模塊內(nèi)置基于規(guī)則的關(guān)聯(lián)分析引擎，能夠?qū)Σ煌瑏碓吹暮Ａ扛婢畔⑦M行分③事件處理：事件處理是事件管理的核心功能。安全運營人員可以持續(xù)地對事件信息進行處理，不斷豐系統(tǒng)可以為一個事件附帶應(yīng)對措施，以任務(wù)的形式下發(fā)給相關(guān)的責任人。各責任人可以依照任務(wù)執(zhí)行，提高事件處理的效率。任務(wù)在執(zhí)行中支持痕跡管理、標注管理和附件管理功能，相關(guān)安全運營人員可以往事件里面添加痕跡信息，譬如IP、URL、域名、文件哈希值等關(guān)鍵信息；可以對事件進行標注，添加各類文字信息；可以上傳相關(guān)的附件，譬如圖片、文檔、聲音、視頻等。借助這些功能，系統(tǒng)可以不斷積累該事件相系統(tǒng)提供關(guān)系圖等可視化調(diào)查分析的手段，以幫助用戶拓展相關(guān)事件的痕跡信息。對于事件中的每個痕跡，可以觸發(fā)預(yù)置的響應(yīng)動作，所有動作的執(zhí)行操作及其結(jié)果都會自動記錄，作為該事件的處置記錄。安全運營人員也可以針對事件觸發(fā)預(yù)置的編排劇本，并將相關(guān)操作和結(jié)果記錄到處置記錄中。所有事件相關(guān)的處事件負責人可以隨時查看事件處理的活動記錄，并以時間線的方式進行形象展示，便于其了解事件處理的進展。事件處置完成后，事件責任人在編寫報告時，系統(tǒng)能提供編寫報告的素材，包括事件處置過程中的④事件關(guān)聯(lián)作戰(zhàn)室：對于等級較高或新型的告警事件，支持升級到作戰(zhàn)室進行協(xié)同處置。事件響應(yīng)中的各方以聊天的方式進行實時溝通與響應(yīng)處置，支持添加、移除成員，以及設(shè)置成員在各事件作戰(zhàn)室中的角色。系統(tǒng)自動記錄協(xié)作處理中劇本、應(yīng)用和任務(wù)的執(zhí)行結(jié)果，以及整個事件處置過程的聊天記錄、證據(jù)、結(jié)論和星標信息，便于實時查看和復(fù)盤。處置完成的事件，能在線編輯報告，系統(tǒng)提供編輯報告的素材，如事或任務(wù)處置過程中的調(diào)用的劇本、應(yīng)用和處置模型等處置信息，以及證據(jù)和結(jié)論等痕跡信息，方便用戶進行報告的在線編寫。根據(jù)報告匯報對象，可導(dǎo)入報告模板進行編輯。報告編寫完成后，支持報告的提交和審核操作，同時報告的審批路徑支持自定義配置審核流程和審核人，審核時可以駁回到任意一級。通過報告列表一是以技術(shù)先進、功能完備、面向?qū)崙?zhàn)化安全運心，構(gòu)建適用于電力行業(yè)多場景的網(wǎng)絡(luò)安全劇本庫、工作流、知識庫，融合行程網(wǎng)絡(luò)安全知識情報體系，幫助某能源企業(yè)將電力業(yè)務(wù)監(jiān)控系統(tǒng)態(tài)勢感知中繁雜低效的態(tài)勢處置（安全響應(yīng)）過程梳理為任務(wù)和劇本，將可構(gòu)建全面的知識圖譜安全事件、降低安全運營的數(shù)據(jù)使用門檻，通過自助式服務(wù)體驗來確保安全運營流程“實時管控、縱深防御”轉(zhuǎn)變，整體響應(yīng)效率提新技術(shù)的運用顯著增加了企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全可靠性，監(jiān)控系統(tǒng)綜合防護措施得到了有效改善。通過部署網(wǎng)絡(luò)安全監(jiān)控運營平臺，使以前需要人工逐臺設(shè)備查看分析日志和報警信息，辨識可能存在的異常和風險，轉(zhuǎn)變?yōu)橛砂踩O(jiān)測平臺自動采集匯聚系統(tǒng)內(nèi)各設(shè)備的安全信息，進行專業(yè)的分析處理，從而確系統(tǒng)可以納管該能源企業(yè)的安全設(shè)備，同時系統(tǒng)自帶的APP應(yīng)該企業(yè)提供開箱即用的安全能力與服務(wù)，包含資產(chǎn)管理、安全評估、安全加固、威脅監(jiān)控、研判分析、溯源處置、運營管理優(yōu)化等安全運營場景，將其安全能力及建設(shè)模式推廣及其他能源企業(yè)，行業(yè)賦能，可帶來客4、實施中發(fā)現(xiàn)不同數(shù)據(jù)源的告警接入字段非標準化，平臺識別比較繁瑣。后面平臺通過整合，形成了針安全報告建議根據(jù)每日安全態(tài)勢自動生成，類似告警事件TOP10，告警類型TOP10，白名單數(shù)，封禁IP3、優(yōu)化建議:實時增加1day漏洞檢測劇本和工作流，由駐場人員導(dǎo)入，增加產(chǎn)品存在感和實用性以及增4、優(yōu)化建議:建議了解其他駐場廠商負責工國家高新和中關(guān)村高新技術(shù)企業(yè)、北京市"專精特新"企業(yè)單位，經(jīng)過幾年發(fā)展，陸續(xù)推出了觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）、觀成霧瞰-加密威脅情報平臺（ETI）、觀成瞰峰-加密業(yè)務(wù)態(tài)勢感知平臺（ESA）三款核心產(chǎn)品。其中，觀成瞰云（ENS）榮獲CCIA。重點產(chǎn)品：觀成瞰云-加密威脅智能檢測系統(tǒng)（ENS）、觀成霧瞰-加密威脅情報平臺（E。企業(yè)雷達圖：●經(jīng)營能力研發(fā)投入能力經(jīng)過多年的網(wǎng)絡(luò)安全建設(shè)，金融行業(yè)已具備較完善的網(wǎng)絡(luò)安全防護與運營能力。但近年來大國間博弈日趨激烈，且各金融機構(gòu)使用的加密資產(chǎn)和業(yè)務(wù)越來越多，網(wǎng)絡(luò)中加密流量占比越來越高。加密資產(chǎn)和業(yè)務(wù)是國博弈對抗的制高點。本項目通過構(gòu)建面向金融行業(yè)的加密業(yè)務(wù)安全運營平臺，解決信息安全領(lǐng)域出現(xiàn)的新需要異常算法和協(xié)議使用情況檢測。需要通過對加密流量進行分析和檢測，識別包括檢測到使用過時、需要有效監(jiān)測應(yīng)用異常的問題，即得知員工或用戶是否使用翻墻VPN、境外應(yīng)用或不合規(guī)應(yīng)用的問題。為了解決加密流量檢測分析的難題，需要從人工智能、密碼技術(shù)和網(wǎng)絡(luò)安全等多個領(lǐng)域構(gòu)建一系列關(guān)鍵本項目采用多層面的特征工程技術(shù)，從單流、多流兩個層面構(gòu)建特征，在保證特征提取全面的基礎(chǔ)上，提高了機器學(xué)習(xí)模型對惡意流量檢測的全面性；采用細粒度的特征工程技術(shù)，從時空、握手、證書、背景流量、域名等單流層面和多流層面等多個維度構(gòu)建了極細粒度的特征工程。在此基礎(chǔ)上訓(xùn)練出來的機器學(xué)習(xí)模采用多模型集成學(xué)習(xí)的方式，通過基于多模型機器學(xué)習(xí)的綜合檢測技術(shù)對加密流量進行檢測分析，極大的提高了產(chǎn)品對復(fù)雜現(xiàn)網(wǎng)環(huán)境的適應(yīng)能力，能夠滿足在各種不同復(fù)雜現(xiàn)網(wǎng)環(huán)境對惡意加密威脅的檢測需求，基于專家深度研究的限定域指紋技術(shù)，能夠在對某一特定類型惡意家族深刻認知的基礎(chǔ)上，提取該類惡意家族的基于底層架構(gòu)的、不易被改變的通用特征指紋，并在該指紋的基礎(chǔ)上實現(xiàn)對該類惡意家族的“通e觀成科技一直堅持核心技術(shù)自主研發(fā)，攻克卡脖子。觀成科技將自主可控貫穿軟硬件，實現(xiàn)硬件自主可控、底層軟件自主可控、上層應(yīng)用自1、硬件自主可控：硬件主要是以國產(chǎn)CPU（飛騰）平臺為基礎(chǔ)研發(fā)的目前已經(jīng)商用的頭部金融客戶，還有一批頭部金融客戶在測試中或采購中，我們總結(jié)了近幾十家頭部金融客戶，項目的覆蓋率將近8成，項目的成熟度及影響力已經(jīng)得到驗證。以城商行、農(nóng)商行、保險、基金、券1、金融關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國計民生，是經(jīng)濟社會運行的神經(jīng)中樞，一旦響重要行業(yè)正常運行，對國家政治、經(jīng)濟、社會以及人民生命財產(chǎn)造成嚴重損失。通過本項目的實施落地，2、本行業(yè)及跨行業(yè)示范效應(yīng)。本項目的成果輸出在金融行業(yè)內(nèi)部可以形成示范效應(yīng)，而且各關(guān)基行業(yè)和金融業(yè)務(wù)趨于加密化，日常運營工作中如何有效檢測正常加密業(yè)務(wù)流量和惡意加密流量，傳統(tǒng)基于明文金融業(yè)務(wù)系統(tǒng)逐步改造至國密算法，助力國密改造過程中對密碼算法的脆弱性評估，確保網(wǎng)絡(luò)安全及合攻防演練場景中高水平攻擊給防守方帶來的挑戰(zhàn)急需新技術(shù)進行應(yīng)對，通過本項目的建設(shè)可以提高攻防提升重大安全事件的響應(yīng)速度。過去加密流量存在不可視、分析困難的問題，通過本項目建設(shè)，基于加構(gòu)建體系化加密業(yè)務(wù)態(tài)勢感知能力。通過對業(yè)務(wù)或場景梳理，建設(shè)加密資產(chǎn)梳理和監(jiān)測能力、加密流量。企業(yè)介紹：。企業(yè)雷達圖：●經(jīng)營能力研發(fā)投入能力用戶作為我國關(guān)基單位，雖已部署態(tài)勢感知平臺和威脅檢測探針，但由于業(yè)務(wù)規(guī)模的擴大以及以APT為代表的高級威脅越來越大，因此，需在原有基礎(chǔ)上補充安全檢測新能力，以彌補傳統(tǒng)安全檢測手段的不足，。業(yè)務(wù)規(guī)模擴大與安全風險增加：隨著用戶業(yè)務(wù)規(guī)模的持續(xù)擴大，用戶所承載的信息系統(tǒng)及其數(shù)據(jù)量也隨之增長，這導(dǎo)致了攻擊面的擴大，使得網(wǎng)絡(luò)安全防御工作更為艱巨。尤其是對于以APT（高級持續(xù)性威脅）為。傳統(tǒng)檢測技術(shù)局限性凸顯：當前部署的態(tài)勢感知平臺和威脅檢測探針在對抗APT等高級威脅時顯得力不從心。傳統(tǒng)的基于規(guī)則特征庫匹配的檢測方法，面對攻擊手段不斷演變、變種層出不窮的網(wǎng)絡(luò)攻擊，特別是對。高級威脅形勢嚴峻：預(yù)計到2023年，針對我國核心信息基礎(chǔ)設(shè)施的高級威脅將持續(xù)上升，其高隱蔽性和強面對上述挑戰(zhàn)，用戶需要補充新的安全檢測能力，打破傳統(tǒng)檢測技術(shù)瓶頸，提升深入威脅檢測能力，以在關(guān)鍵信息基礎(chǔ)設(shè)施部分，新增高級威脅檢測系統(tǒng)作為補充探針采集器，實現(xiàn)關(guān)基部分的網(wǎng)絡(luò)流量威脅檢測，監(jiān)控可疑網(wǎng)絡(luò)威脅行為。探針通過將檢測后的威脅事件與元數(shù)據(jù)傳輸至態(tài)勢感知平臺，進行進一步的金睛云華高級持續(xù)性威脅檢測產(chǎn)品ATD具備分析攻擊鏈的能力與事件聚合的能力，并且支持對網(wǎng)絡(luò)流量存儲回溯，能夠?qū)υ撡Y產(chǎn)當前存在的網(wǎng)絡(luò)威脅以及之前已經(jīng)發(fā)生的網(wǎng)絡(luò)安全威脅進行關(guān)聯(lián)，再通過攻擊鏈進行鏈接，可看出攻擊者真實的攻擊意圖。還具備威脅情報的來源，在找到威脅的同時可以將相關(guān)的APT組織金睛云華高級威脅檢測系統(tǒng)（ATD）具備：下一代入侵檢測、網(wǎng)絡(luò)異常行為檢測、動態(tài)沙箱檢測、威脅情報檢測、人工智能檢測、關(guān)聯(lián)分析等六大檢測能力于一體，提供流量檢測；內(nèi)置多AV引擎可有效識別病基于人工智能檢測技術(shù)，結(jié)合機器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（CNN）深度學(xué)習(xí)模型，建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測?；诨叶葓D像映射的方法可以有效的避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且，該方法能夠有效地檢測使用特定封裝工具打包（加殼）的惡意代碼。在一定程度上解決了特征檢測的人工提取困難、行為檢測的時間開銷大且誤報高等問題。對于惡意代碼變種和加殼文件具有如圖所示，上述圖片都是某個惡意軟件的多個變種，但各自的MD5值都不一樣，現(xiàn)有的基于特征的檢測如圖所示，上述圖片都是某個惡意軟件的多個變種，但各自的MD5值都不一樣，現(xiàn)有的基于特征的檢測如圖所示，ATD采用業(yè)界獨特的基因檢測技術(shù)，可以利用惡意代碼在變種過程中的遺傳學(xué)特征，即基因在遺傳過程中的復(fù)制特性及部分基因突變特性，對惡意代碼及其變種進行檢測?？梢院茌p易的識別出惡意代為了確保通信安全和隱私以及應(yīng)對各種竊聽和中間人攻擊，HTTPS逐漸全面普及，越來越多的網(wǎng)絡(luò)流量也被加密，然而，攻擊者也可以通過這種方式來隱藏自己的信息和行蹤，通過給惡意流量封裝上一層名為惡意加密流量及合法加密流量有不同的流量行為模式，根據(jù)對惡意加密流量的分析，提取惡意加密流量與合法加密流量的SPL數(shù)據(jù)（數(shù)據(jù)包長度與數(shù)據(jù)包到達間隔時間順序）、流量相關(guān)的DNS元數(shù)據(jù)、TLS元數(shù)據(jù)、HTTP元數(shù)據(jù)，構(gòu)造用于識別惡意加密流量模式的向量，采用集成學(xué)習(xí)算法學(xué)習(xí)流量向量建立相應(yīng)的加密隱蔽隧道是繞過防火墻屏蔽的一種通信方式，防火墻兩端的數(shù)據(jù)包，通過防火墻所允許的協(xié)議類型及端支持DNS隱蔽隧道通信檢測，基于隧道工具的DNS隱蔽隧道；DNS直連隧道；于DNS隱蔽隧道關(guān)聯(lián)分析發(fā)現(xiàn)受控主機;支持ICMP隱蔽隧道通信檢測，利用ICMP隧道違規(guī)突破內(nèi)網(wǎng)WEB訪問，利用ICMP隧道傳輸數(shù)據(jù)，利用ICMP隧道進行遠程控制；支持HTTP隱蔽隧道通信檢測,常用的HTTP隧道惡意代碼里不寫入域名字符串，而是使用一個私有的隨機字符串生成算法，按照日期或者其他隨機種ATD支持DGA域名人工智能檢測，通過建立針對DGA生成域名的集成學(xué)習(xí)模正常域名樣本通過集成學(xué)習(xí)模型進行訓(xùn)練，使集成學(xué)習(xí)模型具備識別DGA域名能力。在捕捉到網(wǎng)絡(luò)流量中的域名信息后，將之輸入深度學(xué)習(xí)模型進行識別，集成學(xué)習(xí)模型輸出該域名是否為DGA生成的域名，進而準確在WEB應(yīng)用攻擊檢測過程中，基本是依賴于規(guī)則的黑名單檢測機制，無論是WEB應(yīng)用防火墻或IDS等，基于人工智能的WEB攻擊檢測技術(shù)支持SQL注入攻擊檢測，XSS攻擊檢測；Webshell攻擊檢測，包括通過采用金睛云華基于AI的檢測技術(shù)解決方案，用戶成功彌補了原有態(tài)勢感知平臺和高級威脅檢測探針全面提升威脅檢測能力：新方案有效補充并增強了對已知及未知惡意文件變種、隱藏隧道通信、加密流量中的惡意行為、VPN代理穿透以及DGA僵尸網(wǎng)絡(luò)等多種新型威脅的檢測能力，檢測準確率相較于傳統(tǒng)規(guī)則實戰(zhàn)成果顯著：在國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要保障期間，金睛云華現(xiàn)場安全服務(wù)團隊提供了7x24小時的值守支持，協(xié)助客戶成功發(fā)現(xiàn)并有效處置了多起新型攻擊事件，使得客戶在紅藍對抗演練中取得優(yōu)異成優(yōu)化資源配置與工作效率：通過融合各類安全設(shè)備，運用攻擊鏈分析技術(shù)，該方案幫助客戶大幅減少了約25%的安全設(shè)備投資，并降低了30%以上的運營維護工作壓力。同時，安全分析人員的工作效率得到了明在金睛云華為某央企實施高級威脅檢測能力項目過程中，我們遇到了一些挑戰(zhàn)并從中學(xué)習(xí)到了許多有價以用戶為中心的項目實施方案：盡管項目的目標是提高高級威脅的檢測能力，但這并非一個孤立的需求。它需要與用戶的業(yè)務(wù)系統(tǒng)、現(xiàn)有的態(tài)勢感知平臺、高級威脅檢測探針、防火墻等其它安全設(shè)備緊密結(jié)合。在未來的項目實施中，我們更需要深入理解客戶的整體業(yè)務(wù)環(huán)境和安全需求，以便為其提供更全面、更保持產(chǎn)品和方案的創(chuàng)新性：關(guān)鍵信息基礎(chǔ)設(shè)施的保護不能僅依賴于已有的網(wǎng)絡(luò)安全設(shè)備和方法。高級威脅的復(fù)雜性和變化性，需要我們不斷追求創(chuàng)新及先進的檢測技術(shù)和方法，例如AI技術(shù)。這也將驅(qū)使我們在未深化內(nèi)功，提升產(chǎn)品核心競爭力：我們細化了各類高級威脅的檢測方法，并在實踐中對其效果進行了驗證。無論是文件基因圖譜檢測、惡意加密流量檢測、隱蔽隧道檢測、WEB攻擊檢測，還是DGA域名檢測，我們都從中積累了寶貴的經(jīng)驗和知識。在未來，我們將更深入地研究這些技術(shù)，并積極融入大模型的檢測能力。企業(yè)介紹：未嵐科技是國內(nèi)最具代表性的CAASM解決方案