大數(shù)據(jù)安全解決方案
來源:zbtjad.cn    |   發(fā)布時間:2020年10月13日
在安全形勢不斷惡化的今天,眾多用戶經(jīng)常面臨網(wǎng)絡(luò)攻擊的威脅,雖然用戶的安全管理人員已經(jīng)在網(wǎng)絡(luò)中的各個位置部署了大量的安全設(shè)備,但仍然會有高級威脅繞過所有傳統(tǒng)防護(hù)直達(dá)組織網(wǎng)絡(luò)內(nèi)部,對重要數(shù)據(jù)資產(chǎn)進(jìn)行竊取、篡改或破壞,給組織帶來重大損失。
隨著IT系統(tǒng)的快速發(fā)展變化,網(wǎng)絡(luò)規(guī)模和數(shù)據(jù)量越來越大,基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中邊界越來越“模糊”,傳統(tǒng)依靠于“城墻式的防護(hù)體系”與“基于特征檢測的方式”無法有效解決目前安全問題,急需技術(shù)與思路解決目前面臨的安全挑戰(zhàn)。
業(yè)務(wù)挑戰(zhàn)
安全防護(hù)設(shè)備之前缺乏聯(lián)動
傳統(tǒng)安全體系統(tǒng)中根據(jù)業(yè)務(wù)應(yīng)用的差異在不同的區(qū)域部署相應(yīng)的防護(hù)設(shè)備,如網(wǎng)絡(luò)出口部署防護(hù)墻、入侵檢測,Web服務(wù)器區(qū)前部署Web防火墻,終端部署管控與殺毒等,但是安全設(shè)備之前并沒有相互聯(lián)動能力,導(dǎo)致無法協(xié)同處置安全問題。
安全投入無法體現(xiàn)業(yè)務(wù)價值
信息化在給企業(yè)帶來效率的同時,也帶來了高風(fēng)險,對于網(wǎng)絡(luò)的安全防護(hù)變成了一些必須要進(jìn)行的工作,并且安全防護(hù)的建設(shè)是一項(xiàng)持續(xù)的工程,每年都需要投入,安全手段的建設(shè)都是“默默”的工作,無法體現(xiàn)在業(yè)務(wù)的收益上,無法直觀的看到,同時由于過去建設(shè)過程中針對不同的業(yè)務(wù)系統(tǒng)進(jìn)行針對性的防護(hù)無法有效的體現(xiàn)出整體安全的提升。
忽略安全分析人員使用效率
過去的系統(tǒng)建設(shè)更多考慮從數(shù)據(jù)中直接看到結(jié)果,在實(shí)際業(yè)務(wù)場景中更多應(yīng)該由安全分析人員綜合各類系統(tǒng)、工具所產(chǎn)生的結(jié)果進(jìn)行深度分析和綜合研判,過去這類幫助分析人員的分析工具或產(chǎn)品嚴(yán)重缺失,造成過度依賴于專家力量,無法形成階梯化的團(tuán)隊(duì)力量,保障整個業(yè)務(wù)的安全穩(wěn)定發(fā)展。
企業(yè)大數(shù)據(jù)未能有效應(yīng)用
隨著各行各業(yè)大數(shù)據(jù)技術(shù)的有效應(yīng)用,在攻防對抗的背景下,大數(shù)據(jù)技術(shù)能夠有效改變目前攻防倒置的現(xiàn)象,不僅僅在于大規(guī)模數(shù)據(jù)的存儲與計(jì)算,更重要的是如何利用大數(shù)據(jù)技術(shù)中數(shù)據(jù)挖掘與可視化等技術(shù),服務(wù)于日常安全防護(hù)業(yè)務(wù)工作。目前安全行業(yè)的廠商在現(xiàn)有產(chǎn)品或系統(tǒng)上依然未能突破過去的思路,未能有效利用大數(shù)據(jù)技術(shù)改造現(xiàn)有的技術(shù)與產(chǎn)品。
檢測與發(fā)現(xiàn)手段依然單一
安全檢測中有效發(fā)現(xiàn)QM或XM的可疑行為往往是業(yè)務(wù)工作的開端,過去的模式往往通過對被監(jiān)控網(wǎng)絡(luò)的流量還原得到會話或文件等內(nèi)容,然后采用諸如沙箱技術(shù)、特征檢測等傳統(tǒng)異常檢測方式,進(jìn)而發(fā)現(xiàn)可疑的異常行為。這幾種常見的檢測方式如下:
1)基于虛擬執(zhí)行的異常檢測
2)基于行為特征的異常檢測
3)基于黑域名或黑IP的檢測
在異常行為發(fā)現(xiàn)環(huán)節(jié)中,其實(shí)需要多種方式的結(jié)合,但是如上的方式大的特點(diǎn)都是需要獲得特定樣本后從其軟件惡意行為、網(wǎng)絡(luò)惡意行為或域名行為上來建立特征庫,這就為整個異常檢測工作帶來較大的難度,畢竟樣本的發(fā)現(xiàn)和捕獲難度很大,且數(shù)量較少。另一方面,這些樣本的獲得往往都需要借助于部署在客戶網(wǎng)絡(luò)出口的分布式設(shè)備來獲得,整個周期較長,也給類似特征庫的建立帶來了不小的麻煩。同時經(jīng)常出現(xiàn)網(wǎng)絡(luò)已經(jīng)被入侵較長時間但沒有感知到,被監(jiān)管單位通報。
第三方情報數(shù)據(jù)嚴(yán)重不足
在過去業(yè)務(wù)工作中,更多依賴黑IP/域名進(jìn)行發(fā)現(xiàn),這些信息往往來自于行業(yè)內(nèi)部的自主發(fā)現(xiàn),外部威脅情報嚴(yán)重不足。不僅如此,業(yè)務(wù)工作中的分析、溯源、拓線等,目前依然依賴本地采集的數(shù)據(jù),大部分集中在流量數(shù)據(jù)等,而威脅方基本都存活在互聯(lián)網(wǎng)世界中,缺乏第三方情報數(shù)據(jù),包括DNS、Whois、URL、樣本MD5等多種互聯(lián)網(wǎng)數(shù)據(jù),只能造成業(yè)務(wù)工作處于被動。
解決方案
奇安信大數(shù)據(jù)安全解決方案結(jié)合奇安信多年的安全大數(shù)據(jù)運(yùn)營經(jīng)驗(yàn)及通過數(shù)據(jù)分析、人工智能、專家審核生成的高質(zhì)量的威脅情報,并通過云端數(shù)據(jù)產(chǎn)生的威脅情報與本地原始數(shù)據(jù)融合分析提升檢測能力,融合態(tài)勢感知技術(shù)建設(shè)本地的安全感知、預(yù)警、響應(yīng)一體化平臺。
云端威脅情報
1)生成威脅情報
依賴云端海量數(shù)據(jù)以及不斷運(yùn)營,奇安信天眼實(shí)驗(yàn)室掌握發(fā)現(xiàn)了國內(nèi)最多的APT攻擊組織信息、并不斷的跟蹤相關(guān)信息,形成海蓮花(OceanLotus)、摩珂草(APT-C-09)、索倫之眼、人面獅行動等APT報告。所有此類成果都是經(jīng)過人工確認(rèn)的準(zhǔn)確結(jié)果,杜絕了誤報的情況,同時奇安信可以依賴于海量數(shù)據(jù)對攻擊背景做出準(zhǔn)確和充足的判定。
奇安信無線安全研究院、奇安信網(wǎng)絡(luò)安全研究院、奇安信網(wǎng)絡(luò)攻防實(shí)驗(yàn)室、奇安信漏洞研究實(shí)驗(yàn)室等以研究資源為基礎(chǔ)的多個國內(nèi)高水平安全研究實(shí)驗(yàn)室為未知威脅的最終確認(rèn)提供專業(yè)高水平的技術(shù)支撐,所有大數(shù)據(jù)分析出的未知威脅都會通過專業(yè)的人員進(jìn)行人工干預(yù),做到精細(xì)分析,確認(rèn)攻擊手段攻擊對象以及攻擊的目的。
2)威脅情報內(nèi)容
威脅情報(Threat Intelligence)是一種基于證據(jù)的描述威脅的一組關(guān)聯(lián)的信息,包括威脅相關(guān)的環(huán)境信息、采用的手法機(jī)制、指標(biāo)、影響,以及行動建議等,如攻擊團(tuán)體,惡意域名(遠(yuǎn)控C&C),惡意文件MD5、URL等相關(guān)信息以及威脅指標(biāo)之間的關(guān)聯(lián)性和隨時間維度攻擊手法的變化的威脅全貌匯總形成的高級威脅情報。此外奇安信情報還包括高級威脅種類的擴(kuò)充(APT、木馬遠(yuǎn)控、僵尸網(wǎng)絡(luò)、間諜軟件、Web后門等)。
本地分析與協(xié)同
奇安信態(tài)勢感知與安全運(yùn)營平臺是基于奇安信威脅情報和本地大數(shù)據(jù)技術(shù),對用戶本地的安全大數(shù)據(jù)進(jìn)行快速、自動化數(shù)據(jù)分析,監(jiān)測、發(fā)現(xiàn)威脅和異常、快速處置與響應(yīng),并針對安全事件進(jìn)行深入調(diào)查的平臺。同時,通過可視化技術(shù)將企業(yè)總體安全態(tài)勢呈現(xiàn)給用戶。并且能在日常的安全管理工作中提供各類工具,幫助提升安全運(yùn)維效率。
在平臺架構(gòu)上,奇安信態(tài)勢感知與安全運(yùn)營平臺分為數(shù)據(jù)采集,大數(shù)據(jù)存儲與檢索、數(shù)據(jù)分析引擎工具、安全應(yīng)用、態(tài)勢感知多個層面,再結(jié)合奇安信多年積累的云端威脅情報,提升本地的檢測能力。
本地平臺可以與終端響應(yīng)與檢測(EDR)、網(wǎng)絡(luò)響應(yīng)與檢測(NDR)配合,拓展網(wǎng)絡(luò)與終端的傳感器,將網(wǎng)絡(luò)流量與終端文件級、進(jìn)程級數(shù)據(jù)進(jìn)行匯總分析與協(xié)同響應(yīng)。將威脅情報與數(shù)據(jù)的能力貫穿監(jiān)測與防御體系,達(dá)到智慧協(xié)同。
方案優(yōu)勢
奇安信大數(shù)據(jù)安全解決方案為依托奇安信威脅情報技術(shù)、本地大數(shù)據(jù)存儲技術(shù)、快速搜索技術(shù)、流式引擎關(guān)聯(lián)技術(shù)和可視化分析回溯技術(shù)對用戶本地的安全數(shù)據(jù)進(jìn)行快速、自動化的關(guān)聯(lián)分析,及時發(fā)現(xiàn)本地的威脅和異常,同時通過圖形化、可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶,并結(jié)合EDR、EDR技術(shù)形成本地的檢測發(fā)現(xiàn)、應(yīng)急處置、調(diào)查分析的閉環(huán)安全防護(hù)系統(tǒng),形成本地安全管理運(yùn)營的“大腦”與智慧協(xié)同平臺。
適用場景
分析平臺、規(guī)則引擎、流量傳感器、日志采集器,支撐所有應(yīng)用;流量傳感器、日志采集器與分析平臺支持多對一模式,可支持多級部署;分析平臺預(yù)置私有云存儲模式,可輕松實(shí)現(xiàn)水平擴(kuò)展;旁路部署,實(shí)施簡單,對客戶網(wǎng)絡(luò)環(huán)境無影響。
本方案適用于政府、金融、能源、運(yùn)營商、央企、其他大型企業(yè)等單位。