-
- 态势感知与安全运营平台
- 态势感知与安全运营平台(简称NGSOC)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势,实现从“被动防御”向“积极防御”的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具,已在多家大型政企单位落地实践。
产品介绍
产品介绍
态势感知与安全运营平台(简称NGSOC)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势,实现从“被动防御”向“积极防御”的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具,已在多家大型政企单位落地实践。
核心功能
1、数据采集与存储
支持国内数家厂商的几十种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等多种采集方式。
2、威胁情报
基于威胁情报领域少有的数据优势和技术优势,将云端大量的情报经过专业团队层层筛选后,将有价值的失陷情报源源不断的推送至NGSOC,并将其应用于关联分析、日志匹配等场景。
3、机器学习
机器生产DGA域名,其广泛应用于勒索软件、僵尸网络、远控木马。通过机器学习中一种基于自动对数据进行表征学习的方法,无需人工提取特征。基于海量的域名样本。通过有监督式特征学习和分层特征提取高效算法来发现恶意域名。在真实客户场景中通过DGA检测域名检测技术成功发现多起APT事件和勒索病毒。
4、威胁建模
搭载分布式流式关联分析引擎Sabre,提供多元异构数据关联分析、灵活威胁建模、丰富的告警上下文信息展示及分布式横向扩展能力。
5、流量检测
通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、DDoS攻击等进行精准检测。
6、态势感知
NGSOC可提供六个展示内网态势感知的大屏视图:资产风险态势视图、外部威胁态势感知、内网威胁态势感知、全网漏洞态势、业务资产主动外连态势和安全运营态势,分别从不同的安全运营角度对网络安全态势进行呈现。
7、威胁预警
当出现重大网络安全事件时,通过下发威胁预警包,帮助用户掌握是否遭受到攻击,失陷的设备包括哪些,业务是否受到影响,网络攻击走向,如何应急处置。
8、资产风险管理
通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。
9、持续监测
通过从宏观到微观的分析思路,基于平台强大的PB级数据查询和关联分析能力,采用强大的流式关联分析能力,结合丰富的内置BI组件用于自定义可视化视图,将威胁以安全人员的处置视角完美呈现在监控面板和分析面板之上,有助于分析人员持续监控威胁、发现线索、下钻分析,从而极大提升了企业威胁可视及处置的能力和效率。
10、异常行为分析
将多年在客户侧积累的多个重点场景通过场景化视图直观呈现给用户,针对于企业客户经常遇到的一些安全场景,平台进行了重点抽象,并且把它做成了一个内置的一个整体的分析场景,如内网安全、安全账号安全、异地登陆安全等一些常见场景,辅助安全运营/分析人员进行综合判断,提升处置效率。
11、攻击回溯
在海量的数据中进行重点的攻击、重点事件回溯的过程是很常见的场景,在业界提出了冷热数据的概念,对于发生的高频查询数据通过热数据模式存储,整体的数据搜索方面会支持百亿级的数据秒级检索,具有很大优势。对于超出这个时间范围的数据进行冷数据存储。常见的比如一些合规性要求比较高的客户,搜索频率会比较低并且搜索时间要求也宽松,建设成本低收益好。
12、调查取证
调查分析是由人、数据和工具组成的一个三维的协同联动过程。
人:主要是指本地或远程的一些具有攻防知识的专家团队的支持。
数据:提供基于公司在多维信誉、检测手段和威胁情报方面的积累。结合多维度数据关联分析引擎。将整个的威胁事件,通过一个平铺和鸟瞰的视角去观察整个的威胁现状、威胁的蔓延情况、威胁的分布情况以及威胁的严重情况等。
工具:基于攻击链、调查分析系统、威胁归并分析等丰富的辅助判断工具来协助人更深入的、多角度的研判威胁。
13、攻击链分析
根据攻击的步骤,平台根据洛克希德马丁的攻击链阶段将调查分析结果通过时间和阶段两个维度进行呈现,将纷繁复杂的告警进行有效归纳,在侦查跟踪阶段就可以做到预先防护,在载荷投递阶段就可以重点防护,在通讯控制阶段就可以快速响应,从而在运维时间和运维效率方面达到一个平衡。
14、响应处置
处置响应该是一个闭环,从威胁发现、威胁分析、威胁处置到威胁持续监控的过程,就是一个运营的过程。在处置响应方面采用了事件+动作+指令的设计,将安全事件主题、动作和处置指令和三类有机通过平台结合起来。
产品特点
1、先进的大数据架构
NGSOC是建立大数据技术架构之上,运用Hadoop、Spark、ElasticSearch等先进大数据组件,成功解决海量数据的采集、存储和计算的难题。NGSOC分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。传统数据库只能处理亿级数据且查询速度在分钟级,NGSOC可以处理千亿级数据,采集速度达10W eps,秒级查询,大大提升安全分析和响应的速度和效率。
2、强大的威胁检测能力
搭载分布式关联分析引擎Sabre, 内置200+关联分析规则, 100+语义支撑,可视化配置展现。基于机器学习的DGA检测技术,检测准确率达99.94%。通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、DDoS攻击等进行精准检测。
3、相对完善的安全运营闭环
NGSOC在强有力的基础大数据架构的支撑和分布式流式引擎Sabre强劲检测能力的辅助下,建立起了一套相对完善的威胁处置与响应流程的支撑体系。可通过平台对资产、漏洞等基础属性和告警、风险等安全属性的全生命周期管理,功能涵盖从威胁发现、展示、归纳到处置响应联动的闭环能力。
4、专业的安全运营服务
具有专职产品运营服务团队,可提供原厂一线驻场、二线分析、运营方案咨询及培训服务,帮助客户解决无人运营困难。
适用场景
场景一:大数据日志审计
NGSOC可以通过日志采集探针通过Syslog、、WMI、JDBC、Log File、FTP、WebService等方式对设备日志进行采集,并对采集数据进行归一化、富化等预处理。用户可以在分析平台上对采集到的原始日志和解析日志进行查询、统计、关联分析等处理使用。与此同时,NGSOC对用户网络资产的日志进行统一的采集、存储和使用,能够让存量资产符合《网络安全法》及配套法规要求。
场景二:资产管理与风险展示
用户网络中缺少对已经存在的网络设备资产、安全设备资产、服务器资产、存储资产、终端防护系统资产等资产的统一管理平台,需要对包括资产类型、厂商、型号、系统类型、责任人、责任域等进行统一管理。同时还需要发现超出现有管理资产范围的未被管理到的资产,以纳入管理系统来,防止出现未知的信息安全风险。对于发现的资产所存在的漏洞要能够以资产的视角来进行统一管理,做到漏洞可发现,解决过程可跟踪,结果可统计,漏洞态势可感知的漏洞闭环管理。NGSOC可以通过多种方式对资产进行信息采集,包括手工录入、外部资产列表导入、对接资产探查系统自动扫描发现、通过天擎终端发现等,通过NGSOC可以直观的对资产情况进行掌握。
场景三:网络安全态势感知
由于内网环境中资产类型多、数据种类多、数据量大、对象行为复杂,安全管理者要想既能直观、实时地掌握全局安全威胁态势,又能快速检阅单一资产的安全状态细节,需要平台能根据用户实际的安全运营的需求分不同应用场景对重点资产、重点威胁事件进行可视化呈现。NGSOC可提供六个展示内网态势感知的大屏视图:资产风险态势视图、外部威胁态势感知、内网威胁态势感知、全网漏洞态势、业务资产主动外连态势和安全运营态势,分别从不同的安全运营角度对网络安全态势进行呈现。
场景四:威胁事件捕获
传统的安全技术对已知的攻击(已具备特征库的攻击)能起到较好的检测效果,但对于高级持续性威胁(APT)或者一些复杂的内部违规行为的判定就无能为力了。针对当前互联网威胁的这一现状,NGSOC将威胁的自动检测方案放到了以下几个关键点:
1. 将传统安全设备或系统的安全告警作为参考数据,但不作为行为研判的唯一标准。充分利用原始的网络流量、主机行为日志等数据对原始行为进行记录和分类;
2. 充分利用威胁情报,从原始的网络行为和主机行为中去捕获跟恶意组织相关的各种痕迹;
3. 当发现可疑行为后,平台将主动对行为相关的资源对象,如:账号、攻击源IP、资产、文件等,在历史数据中进行多维度回溯分析,同时对关联对象的将来行为进行持续跟踪。
4. 平台将关联行为组合在一起后,再对行为链进行综合研判,分析攻击者的企图、手段以及受害范围,再利用EDR进行处置和防御。
场景五:事件调查(线上、线下)
自动的行为链检测可以对数据进行快速分析汇聚,提高分析效率,但对于复杂的场景或者对无明显恶意特征的行为进行定性分析仍然需要专业的安全分析人员以及网络管理人员等的参与。NGSOC的事件调查功能就是专门面向安全分析人员、网络管理人员的数据调查工具。包含了安全攻防类、行为管理类、内控内审类和网络故障类。安全分析人员在进行数据调查时需要能快速的对数据进行检索,找到可疑的内容并进行分类和备注,同时可以对不同的类型的数据进行多种条件的关联和快速统计,从中发现潜在的威胁行为。
部署方式
在企业网络中NGSOC的部署方式如下图所示:
NGSOC的主要组件有:分析平台(软件)、流量采集器硬件和日志采集探针(软件),各个组件均采取旁路部署的模式,部署在安全管理区组成独立的安全管理网络,不会影响用户业务网络和其他网段。其中威胁情报采取云端推送或导入的方式单向传输给部署在用户本地的分析平台,所以即便在与互联网隔离的环境下也能实现威胁情报的及时更新。分析平台通过对本地采集到的设备日志、流量日志,结合本地的安全分析规则和云端威胁情报进行场景化建模关联分析,有效发现网络威胁。NGSOC各组件均支持分布式或者集群的扩容方式,满足不同规模用户的高性能分析需求。
