方案概述
在企业的网络基础设施和信息系统建设过程中,为保证业务系统的安全可靠运行,同时也为了满足国家法律法规和行业规范的要求,会进行相应的信息安全基础建设,部署相关的安全设备和安全系统(防火墙、防病毒系统、IDS/IPS、VPN、WAF、日志审计等)。这些安全设备和系统较好的解决了其关注的某个方面的安全问题,如防火墙能够依据预定义的策略阻止违反策略的访问、防病毒系统能够利用其病毒特征库发现已知病毒、日志审计系统能够利用审计规则发现可疑访问等。
但随着网络应用规模和复杂度的不断提高,网络中传输的数据量急剧上升,网络攻防对抗日趋激烈,企业内部新的安全问题开始显现,包括复杂的网络环境让安全工作无从下手、传统安全技术对高级持续性威胁无能为力、围墙式的防御体系不再适应当前的网络环境,为解决以上出现的新的安全问题,形成了综合安全监管平台解决方案。解决方案涵盖数据采集、数据处理和存储、数据分析、利用威胁情报对威胁进行发现和研判、安全威胁事件调查分析、整体安全态势呈现、构建安全运营体系等功能。
方案功能
数据采集
为提升安全运营和管理的覆盖面,以及提高安全检测功能的深度和准确度,广泛的基础信息采集在系统建设中必不可少。平台可以通过日志采集探针、流量传感器、终端安全管理系统等多种软硬件产品对常见日志进行采集。
数据处理和存储
平台使用了ES集群和PG集群,在ES(ElasticSearch)集群中,主要是存储归一化的日志、流量日志、原始日志等所有的日志信息。集群自身考虑了冗余、备份、负载均衡等相关事务;PG集群,也就是基于PostgresSQL的集群,主要用于快速的展示告警结果、调查分析结果、报表等一些数据分析结果数据。
数据分析
能够实现数据的快速搜索、统计、关联分析、场景化分析和拓扑计算等。
利用威胁情报对威胁进行发现和研判
威胁情报是一种特定类型的情报,旨在为企业提供有关于攻击者的常识,帮助企业了解攻击者在企业的网络环境中的行动、攻击者的能力和TTP(战术、技术和规程)信息。企业通过利用威胁情报可以从攻击者身上获得相关经验教训,以更好地识别威胁和做出响应。威胁情报包括IP信息、域名信息、文件MD5等信息。
安全威胁事件调查分析
充分利用大数据平台存储量大、数据全面、计算效率高的特点,为企业提供便捷高效的安全威胁事件调查工具。一方面可通过可视化技术建立数据之间的关联,提高数据的可读性和可操作性,提高安全人员针对安全事件的分析效率;另一方面可将安全分析人员经常使用的调查分析场景固化成独立的小工具,使分析人员在对数据进行调查时可快速调用场景化工具,让分析人员将精力集中在威胁事件的细节和过程分析上,而不是浪费在数据查询或统计的语句构造上。
整体安全态势呈现
在安全应用之上,NGSOC系统利用自身所能收集的各种数据、告警和威胁情报,结合自身的完善运营体系内,预置以内部资产为视角的内部业务资产风险态势感知和外部威胁态势感知。同时可以根据不同行业和客户特点进行态势感知系统的定制开发,提供多种安全态势的分析呈现能力,为进一步的安全预警和监控提供了系统支撑。
构建安全运营体系
在完善的大数据平台架构之上,NGSOC基于自适应安全框架设计了相关安全功能(告警功能、资产管理、日志检索、告警处置、工单、仪表板、调查分析、报表、常识库、仪表展示等功能),对传统安全防御类产品进行架构上的补充,可以帮助企业客户实现完整闭环的威胁响应。
方案价值
利用云端威胁情报数据,从互联网数据中进行发掘和分析攻击线索,提升未知威胁和APT攻击的检出效率,有效发现基础安全建设中遗留的安全隐患并及时修正。
引入威胁情报和规则链技术的引入,形成了监听-主动回溯、研判-主动监测的检测体系,大大提升了积极防御的能力,弥补了现有被动防御方式的不足。
场景化威胁检测技术,能够基于用户的业务环境构建威胁检测和响应模型,及时发现内部的业务安全风险。
终端检测响应(EDR)技术可以和配置的其他安全设备进行联动,形成协调防御体系,可以大大缩短攻击者的攻击时间窗口并提高攻击者的攻击成本。
创新性的采用搜索引擎技术作为本地数据存储和检索核心技术,极大提高检索性能,可以提供TB级的数据快速搜索能力,同时可为大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。
通过可视化技术,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成高维度的可视化方案,以便于用户理解;同时将威胁事件与业务进行有机结合,通过态势感知大屏将内网全局的安全态势以图形化的方式直观呈现,将安全由不可见变为可见。
标杆案例
京公网安备 11010802029012号