0371-60127539
400-6620-135
  • 態(tài)勢感知與安全運營(yíng)平臺
    態(tài)勢感知與安全運營(yíng)平臺
    態(tài)勢感知與安全運營(yíng)平臺(簡(jiǎn)稱(chēng)NGSOC)以大數據平臺為基礎,通過(guò)收集多元、異構的海量日志,利用關(guān)聯(lián)分析、機器學(xué)習、威脅情報等技術(shù),幫助政企客戶(hù)持續監測網(wǎng)絡(luò )安全態(tài)勢,實(shí)現從“被動(dòng)防御”向“積極防御”的進(jìn)階,為安全管理者提供風(fēng)險評估和應急響應的決策支撐,為安全運營(yíng)人員提供威脅發(fā)現、調查分析及響應處置的安全運營(yíng)工具,已在多家大型政企單位落地實(shí)踐。

產(chǎn)品介紹

產(chǎn)品介紹


態(tài)勢感知與安全運營(yíng)平臺(簡(jiǎn)稱(chēng)NGSOC)以大數據平臺為基礎,通過(guò)收集多元、異構的海量日志,利用關(guān)聯(lián)分析、機器學(xué)習、威脅情報等技術(shù),幫助政企客戶(hù)持續監測網(wǎng)絡(luò )安全態(tài)勢,實(shí)現從“被動(dòng)防御”向“積極防御”的進(jìn)階,為安全管理者提供風(fēng)險評估和應急響應的決策支撐,為安全運營(yíng)人員提供威脅發(fā)現、調查分析及響應處置的安全運營(yíng)工具,已在多家大型政企單位落地實(shí)踐。



核心功能


1、數據采集與存儲

支持國內數家廠(chǎng)商的幾十種常見(jiàn)設備的自動(dòng)解析、過(guò)濾、富化、內容轉譯、歸一化,支持通過(guò)Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種采集方式。


2、威脅情報

基于威脅情報領(lǐng)域少有的數據優(yōu)勢和技術(shù)優(yōu)勢,將云端大量的情報經(jīng)過(guò)專(zhuān)業(yè)團隊層層篩選后,將有價(jià)值的失陷情報源源不斷的推送至NGSOC,并將其應用于關(guān)聯(lián)分析、日志匹配等場(chǎng)景。


3、機器學(xué)習

機器生產(chǎn)DGA域名,其廣泛應用于勒索軟件、僵尸網(wǎng)絡(luò )、遠控木馬。通過(guò)機器學(xué)習中一種基于自動(dòng)對數據進(jìn)行表征學(xué)習的方法,無(wú)需人工提取特征?;诤A康挠蛎麡颖?。通過(guò)有監督式特征學(xué)習和分層特征提取高效算法來(lái)發(fā)現惡意域名。在真實(shí)客戶(hù)場(chǎng)景中通過(guò)DGA檢測域名檢測技術(shù)成功發(fā)現多起APT事件和勒索病毒。


4、威脅建模

搭載分布式流式關(guān)聯(lián)分析引擎Sabre,提供多元異構數據關(guān)聯(lián)分析、靈活威脅建模、豐富的告警上下文信息展示及分布式橫向擴展能力。


5、流量檢測

通過(guò)全流量檢測技術(shù),可還原數十種網(wǎng)絡(luò )協(xié)議,對失陷主機,網(wǎng)絡(luò )入侵,網(wǎng)絡(luò )病毒,異常流量、DDoS攻擊等進(jìn)行精準檢測。


6、態(tài)勢感知

NGSOC可提供六個(gè)展示內網(wǎng)態(tài)勢感知的大屏視圖:資產(chǎn)風(fēng)險態(tài)勢視圖、外部威脅態(tài)勢感知、內網(wǎng)威脅態(tài)勢感知、全網(wǎng)漏洞態(tài)勢、業(yè)務(wù)資產(chǎn)主動(dòng)外連態(tài)勢和安全運營(yíng)態(tài)勢,分別從不同的安全運營(yíng)角度對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行呈現。


7、威脅預警

當出現重大網(wǎng)絡(luò )安全事件時(shí),通過(guò)下發(fā)威脅預警包,幫助用戶(hù)掌握是否遭受到攻擊,失陷的設備包括哪些,業(yè)務(wù)是否受到影響,網(wǎng)絡(luò )攻擊走向,如何應急處置。


8、資產(chǎn)風(fēng)險管理

通過(guò)結合資產(chǎn)價(jià)值、脆弱性信息、威脅信息,對全網(wǎng)資產(chǎn)進(jìn)行風(fēng)險評估,量化風(fēng)險指標,幫助用戶(hù)更好了解和掌控安全風(fēng)險,為用戶(hù)提供有力的決策支撐。


9、持續監測

通過(guò)從宏觀(guān)到微觀(guān)的分析思路,基于平臺強大的PB級數據查詢(xún)和關(guān)聯(lián)分析能力,采用強大的流式關(guān)聯(lián)分析能力,結合豐富的內置BI組件用于自定義可視化視圖,將威脅以安全人員的處置視角完美呈現在監控面板和分析面板之上,有助于分析人員持續監控威脅、發(fā)現線(xiàn)索、下鉆分析,從而極大提升了企業(yè)威脅可視及處置的能力和效率。


10、異常行為分析

將多年在客戶(hù)側積累的多個(gè)重點(diǎn)場(chǎng)景通過(guò)場(chǎng)景化視圖直觀(guān)呈現給用戶(hù),針對于企業(yè)客戶(hù)經(jīng)常遇到的一些安全場(chǎng)景,平臺進(jìn)行了重點(diǎn)抽象,并且把它做成了一個(gè)內置的一個(gè)整體的分析場(chǎng)景,如內網(wǎng)安全、安全賬號安全、異地登陸安全等一些常見(jiàn)場(chǎng)景,輔助安全運營(yíng)/分析人員進(jìn)行綜合判斷,提升處置效率。


11、攻擊回溯

在海量的數據中進(jìn)行重點(diǎn)的攻擊、重點(diǎn)事件回溯的過(guò)程是很常見(jiàn)的場(chǎng)景,在業(yè)界提出了冷熱數據的概念,對于發(fā)生的高頻查詢(xún)數據通過(guò)熱數據模式存儲,整體的數據搜索方面會(huì )支持百億級的數據秒級檢索,具有很大優(yōu)勢。對于超出這個(gè)時(shí)間范圍的數據進(jìn)行冷數據存儲。常見(jiàn)的比如一些合規性要求比較高的客戶(hù),搜索頻率會(huì )比較低并且搜索時(shí)間要求也寬松,建設成本低收益好。


12、調查取證

調查分析是由人、數據和工具組成的一個(gè)三維的協(xié)同聯(lián)動(dòng)過(guò)程。

人:主要是指本地或遠程的一些具有攻防知識的專(zhuān)家團隊的支持。

數據:提供基于公司在多維信譽(yù)、檢測手段和威脅情報方面的積累。結合多維度數據關(guān)聯(lián)分析引擎。將整個(gè)的威脅事件,通過(guò)一個(gè)平鋪和鳥(niǎo)瞰的視角去觀(guān)察整個(gè)的威脅現狀、威脅的蔓延情況、威脅的分布情況以及威脅的嚴重情況等。

工具:基于攻擊鏈、調查分析系統、威脅歸并分析等豐富的輔助判斷工具來(lái)協(xié)助人更深入的、多角度的研判威脅。


13、攻擊鏈分析

根據攻擊的步驟,平臺根據洛克希德馬丁的攻擊鏈階段將調查分析結果通過(guò)時(shí)間和階段兩個(gè)維度進(jìn)行呈現,將紛繁復雜的告警進(jìn)行有效歸納,在偵查跟蹤階段就可以做到預先防護,在載荷投遞階段就可以重點(diǎn)防護,在通訊控制階段就可以快速響應,從而在運維時(shí)間和運維效率方面達到一個(gè)平衡。


14、響應處置

處置響應該是一個(gè)閉環(huán),從威脅發(fā)現、威脅分析、威脅處置到威脅持續監控的過(guò)程,就是一個(gè)運營(yíng)的過(guò)程。在處置響應方面采用了事件+動(dòng)作+指令的設計,將安全事件主題、動(dòng)作和處置指令和三類(lèi)有機通過(guò)平臺結合起來(lái)。


產(chǎn)品特點(diǎn)


1、先進(jìn)的大數據架構

NGSOC是建立大數據技術(shù)架構之上,運用Hadoop、Spark、ElasticSearch等先進(jìn)大數據組件,成功解決海量數據的采集、存儲和計算的難題。NGSOC分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設備日志和系統日志,并同時(shí)提供應用交互界面。分析平臺底層的數據檢索模塊采用了分布式計算和搜索引擎技術(shù)對數據進(jìn)行處理,可通過(guò)多臺設備建立集群以保證存儲空間和計算能力的供應。傳統數據庫只能處理億級數據且查詢(xún)速度在分鐘級,NGSOC可以處理千億級數據,采集速度達10W eps,秒級查詢(xún),大大提升安全分析和響應的速度和效率。


2、強大的威脅檢測能力

搭載分布式關(guān)聯(lián)分析引擎Sabre, 內置200+關(guān)聯(lián)分析規則, 100+語(yǔ)義支撐,可視化配置展現?;跈C器學(xué)習的DGA檢測技術(shù),檢測準確率達99.94%。通過(guò)全流量檢測技術(shù),可還原數十種網(wǎng)絡(luò )協(xié)議,對失陷主機,網(wǎng)絡(luò )入侵,網(wǎng)絡(luò )病毒,異常流量、DDoS攻擊等進(jìn)行精準檢測。


3、相對完善的安全運營(yíng)閉環(huán)

NGSOC在強有力的基礎大數據架構的支撐和分布式流式引擎Sabre強勁檢測能力的輔助下,建立起了一套相對完善的威脅處置與響應流程的支撐體系??赏ㄟ^(guò)平臺對資產(chǎn)、漏洞等基礎屬性和告警、風(fēng)險等安全屬性的全生命周期管理,功能涵蓋從威脅發(fā)現、展示、歸納到處置響應聯(lián)動(dòng)的閉環(huán)能力。


4、專(zhuān)業(yè)的安全運營(yíng)服務(wù)

具有專(zhuān)職產(chǎn)品運營(yíng)服務(wù)團隊,可提供原廠(chǎng)一線(xiàn)駐場(chǎng)、二線(xiàn)分析、運營(yíng)方案咨詢(xún)及培訓服務(wù),幫助客戶(hù)解決無(wú)人運營(yíng)困難。


適用場(chǎng)景


場(chǎng)景一:大數據日志審計

NGSOC可以通過(guò)日志采集探針通過(guò)Syslog、、WMI、JDBC、Log File、FTP、WebService等方式對設備日志進(jìn)行采集,并對采集數據進(jìn)行歸一化、富化等預處理。用戶(hù)可以在分析平臺上對采集到的原始日志和解析日志進(jìn)行查詢(xún)、統計、關(guān)聯(lián)分析等處理使用。與此同時(shí),NGSOC對用戶(hù)網(wǎng)絡(luò )資產(chǎn)的日志進(jìn)行統一的采集、存儲和使用,能夠讓存量資產(chǎn)符合《網(wǎng)絡(luò )安全法》及配套法規要求。


場(chǎng)景二:資產(chǎn)管理與風(fēng)險展示

用戶(hù)網(wǎng)絡(luò )中缺少對已經(jīng)存在的網(wǎng)絡(luò )設備資產(chǎn)、安全設備資產(chǎn)、服務(wù)器資產(chǎn)、存儲資產(chǎn)、終端防護系統資產(chǎn)等資產(chǎn)的統一管理平臺,需要對包括資產(chǎn)類(lèi)型、廠(chǎng)商、型號、系統類(lèi)型、責任人、責任域等進(jìn)行統一管理。同時(shí)還需要發(fā)現超出現有管理資產(chǎn)范圍的未被管理到的資產(chǎn),以納入管理系統來(lái),防止出現未知的信息安全風(fēng)險。對于發(fā)現的資產(chǎn)所存在的漏洞要能夠以資產(chǎn)的視角來(lái)進(jìn)行統一管理,做到漏洞可發(fā)現,解決過(guò)程可跟蹤,結果可統計,漏洞態(tài)勢可感知的漏洞閉環(huán)管理。NGSOC可以通過(guò)多種方式對資產(chǎn)進(jìn)行信息采集,包括手工錄入、外部資產(chǎn)列表導入、對接資產(chǎn)探查系統自動(dòng)掃描發(fā)現、通過(guò)天擎終端發(fā)現等,通過(guò)NGSOC可以直觀(guān)的對資產(chǎn)情況進(jìn)行掌握。


場(chǎng)景三:網(wǎng)絡(luò )安全態(tài)勢感知

由于內網(wǎng)環(huán)境中資產(chǎn)類(lèi)型多、數據種類(lèi)多、數據量大、對象行為復雜,安全管理者要想既能直觀(guān)、實(shí)時(shí)地掌握全局安全威脅態(tài)勢,又能快速檢閱單一資產(chǎn)的安全狀態(tài)細節,需要平臺能根據用戶(hù)實(shí)際的安全運營(yíng)的需求分不同應用場(chǎng)景對重點(diǎn)資產(chǎn)、重點(diǎn)威脅事件進(jìn)行可視化呈現。NGSOC可提供六個(gè)展示內網(wǎng)態(tài)勢感知的大屏視圖:資產(chǎn)風(fēng)險態(tài)勢視圖、外部威脅態(tài)勢感知、內網(wǎng)威脅態(tài)勢感知、全網(wǎng)漏洞態(tài)勢、業(yè)務(wù)資產(chǎn)主動(dòng)外連態(tài)勢和安全運營(yíng)態(tài)勢,分別從不同的安全運營(yíng)角度對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行呈現。


場(chǎng)景四:威脅事件捕獲

傳統的安全技術(shù)對已知的攻擊(已具備特征庫的攻擊)能起到較好的檢測效果,但對于高級持續性威脅(APT)或者一些復雜的內部違規行為的判定就無(wú)能為力了。針對當前互聯(lián)網(wǎng)威脅的這一現狀,NGSOC將威脅的自動(dòng)檢測方案放到了以下幾個(gè)關(guān)鍵點(diǎn):

1. 將傳統安全設備或系統的安全告警作為參考數據,但不作為行為研判的唯一標準。充分利用原始的網(wǎng)絡(luò )流量、主機行為日志等數據對原始行為進(jìn)行記錄和分類(lèi);

2. 充分利用威脅情報,從原始的網(wǎng)絡(luò )行為和主機行為中去捕獲跟惡意組織相關(guān)的各種痕跡;

3. 當發(fā)現可疑行為后,平臺將主動(dòng)對行為相關(guān)的資源對象,如:賬號、攻擊源IP、資產(chǎn)、文件等,在歷史數據中進(jìn)行多維度回溯分析,同時(shí)對關(guān)聯(lián)對象的將來(lái)行為進(jìn)行持續跟蹤。

4. 平臺將關(guān)聯(lián)行為組合在一起后,再對行為鏈進(jìn)行綜合研判,分析攻擊者的企圖、手段以及受害范圍,再利用EDR進(jìn)行處置和防御。


場(chǎng)景五:事件調查(線(xiàn)上、線(xiàn)下)

自動(dòng)的行為鏈檢測可以對數據進(jìn)行快速分析匯聚,提高分析效率,但對于復雜的場(chǎng)景或者對無(wú)明顯惡意特征的行為進(jìn)行定性分析仍然需要專(zhuān)業(yè)的安全分析人員以及網(wǎng)絡(luò )管理人員等的參與。NGSOC的事件調查功能就是專(zhuān)門(mén)面向安全分析人員、網(wǎng)絡(luò )管理人員的數據調查工具。包含了安全攻防類(lèi)、行為管理類(lèi)、內控內審類(lèi)和網(wǎng)絡(luò )故障類(lèi)。安全分析人員在進(jìn)行數據調查時(shí)需要能快速的對數據進(jìn)行檢索,找到可疑的內容并進(jìn)行分類(lèi)和備注,同時(shí)可以對不同的類(lèi)型的數據進(jìn)行多種條件的關(guān)聯(lián)和快速統計,從中發(fā)現潛在的威脅行為。


部署方式


在企業(yè)網(wǎng)絡(luò )中NGSOC的部署方式如下圖所示:


態(tài)勢感知與安全運營(yíng)平臺2


NGSOC的主要組件有:分析平臺(軟件)、流量采集器硬件和日志采集探針(軟件),各個(gè)組件均采取旁路部署的模式,部署在安全管理區組成獨立的安全管理網(wǎng)絡(luò ),不會(huì )影響用戶(hù)業(yè)務(wù)網(wǎng)絡(luò )和其他網(wǎng)段。其中威脅情報采取云端推送或導入的方式單向傳輸給部署在用戶(hù)本地的分析平臺,所以即便在與互聯(lián)網(wǎng)隔離的環(huán)境下也能實(shí)現威脅情報的及時(shí)更新。分析平臺通過(guò)對本地采集到的設備日志、流量日志,結合本地的安全分析規則和云端威脅情報進(jìn)行場(chǎng)景化建模關(guān)聯(lián)分析,有效發(fā)現網(wǎng)絡(luò )威脅。NGSOC各組件均支持分布式或者集群的擴容方式,滿(mǎn)足不同規模用戶(hù)的高性能分析需求。