奇安信網神態勢感知與安全運營平台(簡稱NGSOC)以大數據平台為基礎,通過收集多元、異構的海量日誌,利用關聯分析、機器學習、威脅情報等技術,幫助政企客户持續監測網絡安全態勢,實現從“被動防禦”向“積極防禦”的進階,為安全管理者提供風險評估和應急響應的決策支撐,為安全運營人員提供威脅發現、調查分析及響應處置的安全運營工具,已在600+大型政企單位落地實踐。
· 賽迪顧問發佈的《2019-2020年中國網絡信息安全市場研究年度報告》和《2018-2019年中國網絡信息安全市場研究年度報告》顯示,奇安信NGSOC連續2年在中國安全管理平台產品市場佔有率排名第一。
· IDC發佈的《中國態勢感知解決方案市場2019年廠商評估》顯示,奇安信集團獲評中國態勢感知解決方案領導者。
· 數世諮詢發佈的態勢感知能力點陣圖顯示,奇安信態勢感知在技術創新力和市場執行力均處於領導者地位。
1.海量數據採集與存儲
支持國內外數十家廠商的上百種常見設備的自動解析、過濾、富化、內容轉譯、歸一化,支持通過Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種採集方式。2.威脅情報
基於奇安信在威脅情報領域獨有的數據優勢和技術優勢,將雲端大量的情報經過專業團隊層層篩選後,將最有價值的失陷情報源源不斷的推送至NGSOC,並將其應用於關聯分析、日誌匹配等場景。3.機器學習
機器生產DGA域名,其廣泛應用於勒索軟件、殭屍網絡、遠控木馬。通過機器學習中一種基於自動對數據進行表徵學習的方法,無需人工提取特徵。基於海量的域名樣本。通過有監督式特徵學習和分層特徵提取高效算法來發現惡意域名。在真實客户場景中通過DGA檢測域名檢測技術成功發現多起APT事件和勒索病毒,準確率99.94%,檢出率96%。4.威脅建模
搭載分佈式流式關聯分析引擎Sabre,提供多元異構數據關聯分析、靈活威脅建模、豐富的告警上下文信息展示及分佈式橫向擴展能力,已獲得數十個相關專利。5.全流量檢測
通過全流量檢測技術,可還原數十種網絡協議,對失陷主機,網絡入侵,網絡病毒,異常流量、DDoS攻擊等進行精準檢測。6.態勢感知
NGSOC可提供11個展示內網態勢感知的大屏視圖:全網脆弱性態勢、資產態勢、威脅預警態勢、攻擊者態勢、綜合安全態勢、安全運營態勢、外部威脅態勢、內網威脅態勢、資產風險態勢視、業務資產外連態勢、攻防演練態勢,分別從不同的安全運營角度對網絡安全態勢進行呈現。7.威脅預警
當出現重大網絡安全事件時,通過下發威脅預警包,幫助用户第一時間掌握是否遭受到攻擊,失陷的設備包括哪些,業務是否受到影響,網絡攻擊走向,如何應急處置。8.資產風險管理
通過結合資產價值、脆弱性信息、威脅信息,對全網資產進行風險評估,量化風險指標,幫助用户更好了解和掌控安全風險,為用户提供有力的決策支撐。9.持續監測
通過從宏觀到微觀的分析思路,基於平台強大的PB級數據查詢和關聯分析能力,採用強大的流式關聯分析能力,結合豐富的內置BI組件用於自定義可視化視圖,將威脅以安全人員的處置視角完美呈現在監控面板和分析面板之上,有助於分析人員持續監控威脅、發現線索、下鑽分析,從而極大提升了企業威脅可視及處置的能力和效率。10.異常行為分析
將奇安信多年在客户側積累的多個重點場景通過場景化視圖直觀呈現給用户,針對於企業客户經常遇到的一些安全場景,平台進行了重點抽象,並且把它做成了一個內置的一個整體的分析場景,如內網安全、安全賬號安全、異地登陸安全等一些常見場景,輔助安全運營/分析人員進行綜合判斷,提升處置效率。11.攻擊回溯
在海量的數據中進行重點的攻擊、重點事件回溯的過程是很常見的場景,奇安信在業界率先提出了冷熱數據的概念,對於最近時間發生的高頻查詢數據通過熱數據模式存儲,整體的數據搜索方面會支持百億級的數據秒級檢索,具有絕對的業界領先優勢。對於超出這個時間範圍的數據進行冷數據存儲。常見的比如一些合規性要求比較高的客户,搜索頻率會比較低並且搜索時間要求也寬鬆,建設成本低收益好。12.調查取證
調查分析是由人、數據和工具組成的一個三維的協同聯動過程。人:主要是指本地或遠程的一些具有攻防知識的專家團隊的支持。
數據:提供基於公司在多維信譽、檢測手段和威脅情報方面的積累。結合奇安信自主研發的具有專利技術的多維度數據關聯分析引擎。將整個的威脅事件,通過一個平鋪和鳥瞰的視角去觀察整個的威脅現狀、威脅的蔓延情況、威脅的分佈情況以及威脅的嚴重情況等。
工具:基於攻擊鏈、調查分析系統、威脅歸併分析等豐富的輔助判斷工具來協助人更深入的、多角度的研判威脅。
13.攻擊鏈分析
根據攻擊的步驟,平台根據洛克希德馬丁的攻擊鏈階段將調查分析結果通過時間和階段兩個維度進行呈現,將紛繁複雜的告警進行有效歸納,在偵查跟蹤階段就可以做到預先防護,在載荷投遞階段就可以重點防護,在通訊控制階段就可以快速響應,從而在運維時間和運維效率方面達到一個最佳的平衡。14.攻防演練
面臨攻擊方多重挑戰,需要在演習前進行自查整改、模擬演示,在演習過程中進行防禦處置,在演習過程後進行總結匯報,NGSOC提供各階段全面的能力支撐。
15.響應處置
處置響應該是一個閉環,從威脅發現、威脅分析、威脅處置到威脅持續監控的過程,就是一個運營的過程。在處置響應方面採用了獨特的事件+動作+指令的設計,將安全事件主題、動作和處置指令和三類有機通過平台結合起來。面臨攻擊方多重挑戰,需要在演習前進行自查整改、模擬演示,在演習過程中進行防禦處置,在演習過程後進行總結匯報,NGSOC提供各階段全面的能力支撐。
1.先進的大數據架構
NGSOC是建立大數據技術架構之上,運用Hadoop、Spark、ElasticSearch等先進大數據組件,成功解決海量數據的採集、存儲和計算的難題。NGSOC分析平台用於存儲流量傳感器和日誌採集器提交的流量日誌、設備日誌和系統日誌,並同時提供應用交互界面。分析平台底層的數據檢索模塊採用了分佈式計算和搜索引擎技術對所有數據進行處理,可通過多台設備建立集羣以保證存儲空間和計算能力的供應。傳統數據庫只能處理億級數據且查詢速度在分鐘級,NGSOC可以處理千億級數據,採集速度達10W eps,秒級查詢,大大提升安全分析和響應的速度和效率。
2.強大的威脅檢測能力
搭載分佈式關聯分析引擎Sabre, 內置400+關聯分析規則, 100+語義支撐,可視化配置展現。基於機器學習的DGA檢測技術,檢測準確率達99.94%。通過全流量檢測技術,可還原數十種網絡協議,對失陷主機,網絡入侵,網絡病毒,異常流量、DDoS攻擊等進行精準檢測。
3.完善的安全運營閉環
NGSOC在強有力的基礎大數據架構的支撐和分佈式流式引擎Sabre強勁檢測能力的輔助下,建立起了一套完善的威脅處置與響應流程的支撐體系。可通過平台對資產、漏洞等基礎屬性和告警、風險等安全屬性的全生命週期管理,功能涵蓋從威脅發現、展示、歸納到處置響應聯動的閉環能力。
4.專業的安全運營服務
奇安信集團具有專職產品運營服務團隊,可提供原廠一線駐場、二線分析、運營方案諮詢及培訓服務,幫助客户解決無人運營困難。
場景一:大數據日誌審計
NGSOC可以通過日誌採集探針通過Syslog、WMI、JDBC、Log File、FTP、WebService等方式對設備日誌進行採集,並對採集數據進行歸一化、富化等預處理。用户可以在分析平台上對採集到的原始日誌和解析日誌進行查詢、統計、關聯分析等處理使用。與此同時,NGSOC對用户網絡資產的日誌進行統一的採集、存儲和使用,能夠讓存量資產符合《網絡安全法》及配套法規要求。場景二:資產管理與風險展示
用户網絡中缺少對已經存在的網絡設備資產、安全設備資產、服務器資產、存儲資產、終端防護系統資產等資產的統一管理平台,需要對包括資產類型、廠商、型號、系統類型、責任人、責任域等進行統一管理。同時還需要發現超出現有管理資產範圍的未被管理到的資產,以納入管理系統來,防止出現未知的信息安全風險。對於發現的資產所存在的漏洞要能夠以資產的視角來進行統一管理,做到漏洞可發現,解決過程可跟蹤,結果可統計,漏洞態勢可感知的漏洞閉環管理。NGSOC可以通過多種方式對資產進行信息採集,包括手工錄入、外部資產列表導入、對接奇安信資產探查系統自動掃描發現、通過天擎終端發現等,通過NGSOC可以直觀的對資產情況進行掌握。場景三:網絡安全態勢感知
由於內網環境中資產類型多、數據種類多、數據量大、對象行為複雜,安全管理者要想既能直觀、實時地掌握全局安全威脅態勢,又能快速檢閲單一資產的安全狀態細節,需要平台能根據用户實際的安全運營的需求分不同應用場景對重點資產、重點威脅事件進行可視化呈現。NGSOC可提供七個展示內網態勢感知的大屏視圖:資產風險態勢視圖、外部威脅態勢感知、內網威脅態勢感知、全網漏洞態勢、業務資產主動外連態勢、安全運營態勢、威脅預警態勢,分別從不同的安全運營角度對網絡安全態勢進行呈現。場景四:威脅事件捕獲
傳統的安全技術對已知的攻擊(已具備特徵庫的攻擊)能起到較好的檢測效果,但對於高級持續性威脅(APT)或者一些複雜的內部違規行為的判定就無能為力了。針對當前互聯網威脅的這一現狀,NGSOC將威脅的自動檢測方案放到了以下幾個關鍵點:1.將傳統安全設備或系統的安全告警作為參考數據,但不作為行為研判的唯一標準。充分利用原始的網絡流量、主機行為日誌等數據對原始行為進行記錄和分類;
2.充分利用威脅情報,從原始的網絡行為和主機行為中去捕獲跟惡意組織相關的各種痕跡;
3.當發現可疑行為後,平台將主動對行為相關的資源對象,如:賬號、攻擊源IP、資產、文件等,在歷史數據中進行多維度回溯分析,同時對關聯對象的將來行為進行持續跟蹤;
4.平台將關聯行為組合在一起後,再對行為鏈進行綜合研判,分析攻擊者的企圖、手段以及受害範圍,再利用EDR進行處置和防禦。
場景五:事件調查(線上、線下)
自動的行為鏈檢測可以對數據進行快速分析匯聚,提高分析效率,但對於複雜的場景或者對無明顯惡意特徵的行為進行定性分析仍然需要專業的安全分析人員以及網絡管理人員等的參與。NGSOC的事件調查功能就是專門面向安全分析人員、網絡管理人員的數據調查工具。包含了安全攻防類、行為管理類、內控內審類和網絡故障類。安全分析人員在進行數據調查時需要能快速的對全量數據進行檢索,找到可疑的內容並進行分類和備註,同時可以對不同的類型的數據進行多種條件的關聯和快速統計,從中發現潛在的威脅行為。在企業網絡中NGSOC的部署方式如下圖所示:
NGSOC的主要組件有:分析平台(軟件)、流量採集器硬件和日誌採集探針(軟件),各個組件均採取旁路部署的模式,部署在安全管理區組成獨立的安全管理網絡,不會影響用户業務網絡和其他網段。其中威脅情報採取雲端推送或導入的方式單向傳輸給部署在用户本地的分析平台,所以即便在與互聯網隔離的環境下也能實現威脅情報的及時更新。分析平台通過對本地採集到的設備日誌、流量日誌,結合本地的安全分析規則和雲端威脅情報進行場景化建模關聯分析,有效發現網絡威脅。NGSOC各組件均支持分佈式或者集羣的擴容方式,滿足不同規模用户的高性能分析需求。
NGSOC產品自2016年發佈以來,受到眾多政企客户認可。賽迪顧問報告顯示,NGSOC產品連續2年在中國安全管理平台市場佔有率NO.1。IDC報告顯示,奇安信為中國態勢感知市場領導者。此外,NGSOC還收穫多個機構頒發的重要榮譽。
1. 2021年5月26日,2021數博會“數博發佈”領先科技成果發佈會在貴陽國際會議展覽中心舉行。經過專家評委會的嚴格評審和層層篩選,奇安信NGSOC搭載的“大數據流式分佈式關聯分析引擎Sabre”成功斬獲2021數博會領先科技成果獎。
2. 2021年4月20日,IDC發佈《2020年下半年中國IT安全軟件市場跟蹤報告》,報告顯示奇安信2020年中國安全分析和威脅情報市場佔有率10.7%,排名第一。
3. 2020年11月18~19日,入選法治日報社頒發的全國政法智能化建設智慧法院“十大創新產品”。
4. 2020年11月12日,在第二十四屆中國國際軟件博覽會上,榮獲中國電子信息行業聯合會自主創新產品獎。
5. 2020年10月21日,IDC發佈《2020年上半年中國IT安全軟件市場跟蹤報告》,報告顯示奇安信2020上半年中國安全分析和威脅情報市場佔有率10.2%,排名第一。
6. 2020年9月,奇安信態勢感知與安全運營解決方案榮獲中國網絡安全產業聯盟頒發的2020年網絡安全解決方案優秀獎。
7. 2020年8月,賽迪顧問發佈了《2019-2020年中國網絡信息安全市場研究年度報告》。報告顯示,奇安信憑藉近幾年在安全管理平台方面的發力,發展了很多大客户,佔有率達到 23.9%,市場排名第一。
8. 2020年3月19日,數字安全領域第三方調研機構數世諮詢發佈《網絡安全態勢感知能力指南》,報告在業界首次提出能力點陣的概念,從技術創新力與市場執行力兩大維度,對國內主流態勢感知提供商進行了側寫。奇安信在技術創新力和市場執行力均位於行業領導者地位。
9. 2019年,賽迪顧問發佈了《2018-2019年中國網絡信息安全市場研究年度報告》。報告顯示,奇安信NGSOC在中國安全管理平台產品市場佔有率達到23.5%,排名第一。
10. 2019年10月21日,IDC正式發佈《中國態勢感知解決方案市場2019年廠商評估》報告。奇安信憑藉創新的產品研發能力和完善的技術服務能力,獲評中國態勢感知解決方案領導者。