安全挑戰
1.安全數據太分散且無法集中存儲

隨着信息網絡承載的業務越來越複雜,各種系統審計信息、安全設備的告警信息各自獨立存放。如果敏感數據區域遭受攻擊,由於攻擊痕跡存放在各個分散的信息孤島上,安全運營與處置人員無法快速準確定位安全問題,當下的網絡安全防禦體系無法有效應對此種問題。

2.高級威脅檢測滯後且響應速度慢

高級威脅攻擊的特點是目的性非常強、攻擊目標明確且持續時間長,此外攻擊方法經過巧妙改造,攻擊者往往會利用社會工程學的方法或高級技術手段,對被動式防禦進行躲避。而傳統的安全技術手段大多是利用已知攻擊的特徵對攻擊行為進行簡單的模式匹配,只關注單次行為的識別和判斷,並沒有對長期的攻擊行為鏈進行有效分析。因此,對於高級威脅,現有的安全防護體系無論是在威脅的檢測、發現還是響應等方面都存在嚴重不足。

3.安全事件溯源和調查取證無手段

安全事件的溯源分析作為安全事故中事後響應的重要組成部分,有助於修復漏洞與降低風險,避免二次事故的發生。但大部分攻擊告警事件中所包含的信息無法反應真實的攻擊信息,大量告警分散且誤報太多。諸如安全告警的源IP等單一維度的安全數據無法提供足夠的安全分析及溯源信息,然而通過對受害資產與內網流量進行溯源分析,在一定程度上可以還原攻擊者的攻擊路徑與攻擊手法。目前,已經建設的安全設備都沒有基於大數據架構,無法對網內各類安全數據(日誌或流量)進行溯源,無法對事件進行調查取證。

4.安全數據無可視化手段進行呈現

在現有的安全體系中,大量的安全監測結果只是單一維度的反映某個系統存在相關問題,呈現的方式也多種多樣,並沒有針對海量的安全數據進行統一可視化展現,無法整體掌控網絡安全的態勢。

5.安全運營無專崗且人員配置精簡

隨着信息系統規模日益龐大,整個信息網中發生的安全威脅事件也在不斷增加,目前安全管理人員數量不足,專業技能更新無法跟上安全技術的發展。目前安全運營工作無法做到專人專崗,往往都是身兼多職,這種情況嚴重影響安全威脅事件的檢測、分析與處置的效率,無法保證高效的安全運營閉環管理。

解決方案

奇安信態勢感知與安全運營解決方案的業務架構從下到上分別為:日誌採集器、流量探針、日誌採集、存儲和檢索、資產風險評估、資產管理、脆弱性管理、威脅分析、威脅檢測、處置響應、監測與報表、態勢可視化、系統管理和安全運營服務,如下圖所示。




實施部署:



方案的主要組件包括態勢感知與安全運營平台、流量傳感器和日誌採集器,各個組件均採取旁路部署的模式,不會影響實際業務網絡和其他網段。

威脅情報採取雲端推送或導入的方式單向傳輸給本地平台,確保威脅情報內容及時更新。平台通過對本地採集到的設備日誌、流量日誌,結合本地的安全分析規則和雲端威脅情報進行場景化建模關聯分析,有效發現網絡威脅。平台各組件均支持分佈式或者集羣的擴容方式,可滿足真實網絡環境下的高性能分析需求。

方案特點
1.全面性

在基礎安全體系建設完善的基礎上,通過構建能夠應對海量數據量級下的態勢感知與安全運營平台,結合專業的安全運營組織架構和嚴謹的運營流程設計,全面推進可閉環的安全運營工作的開展。

2.持續性

圍繞以“防禦、檢測、響應、預測”為核心的自適應安全架構設計,實現態勢感知能力的持續建設,保障安全運營能力的持續提升。

3.創新性

在數字化轉型的背景下引入多種創新型的技術設計方案,例如大數據、威脅情報、機器學習等,體現整個態勢感知與安全運營方案的創新性與前瞻性。

4.合規性

以《中華人民共和國網絡安全法》、《信息安全技術信息系統安全等級保護基本要求》等相關法律法規、標準規範為依據,以需求為導向,在合規的基礎上考慮態勢感知與安全運營整體方案設計,符合國家監管機構的要求,有效保障了安全運營工作推進的統一性、一致性、有效性和規範性。

應用價值
1.持續監控,實時掌握安全狀況

可以快速、宏觀的瞭解整體安全態勢,在安全運營工作中抓大放小,明確工作重點以指導安全運營人員和IT人員的安全工作。


2.全面檢測,及時發現高級威脅

結合安全威脅建模團隊多年的攻防經驗,通過檢測引擎、威脅情報、場景化檢測規則、機器學習和關聯規則等多個維度進行威脅的研判,快速定位真正的威脅,同時優化現有的傳統威脅檢測手段,減少告警的誤報和冗餘情況,將威脅告警數量控制在人工可分析的數量級。


3.響應處置,實現威脅閉環管理

提供多種響應處置方式,將不同危害等級、影響範圍的告警通過三種主要場景實現“人-人”“機-人”“機-機”的通知交互。


4.   事件調查,高效溯源安全威脅

利用調查分析、攻擊鏈分析、時間線分析等工具,安全運營人員能夠對日誌、告警、資產、漏洞、情報等證據信息進行歸納整理,幫助其拓展分析思路,輔助其多角度研判威脅,還原攻擊過程和威脅發生的切入口,為調查檢索歷史數據、分析和取證節省了寶貴的時間。


5.   風險管理,提升安全預警能力

支持幫助安全運營人員從資產和資產組2個大小維度管理風險,還默認提供4個維度的風險管理維度,分別是資產分組、組織架構、地理位置和業務分組,以滿足不同粒度的風險管理要求和不同的業務組織架構。


6.   威脅預警,全面評估事態發展

為了提高對重大網絡安全事件的應急響應能力,威脅預警功能通過導入的預警包,自動化完成對網絡的安全影響面評估。可視化展示事態發展趨勢、受影響資產範圍和失陷資產的淪陷時間線,快速完成重大網絡安全事件的預警及處置,避免收到上級監管單位的通報後被動應對安全事件。


7.   彈性平台,滿足業務擴展需要

基於微服務架構設計,內部模塊組件交互獨立,對外提供標準應用接口。平台採用橫向擴展縱向管理的模式,支持多級部署管理,下級單位可以將告警數據上傳至上級單位,上級單位對下級單位行使其監管作用。


8.合法合規,符合監管機構要求

對設備日誌進行統一採集,並對採集數據進行歸一化、富化等預處理。同時可以在平台上對採集到的原始日誌和解析日誌進行查詢、統計、關聯分析等處理使用,符合監管機構的合規性要求。