2021年9月1日,《关键信息基础设施安全保护条例》正式实施。该条例中明确要求“保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。”
IDC提出,伴随着我国相关部门对网络安全日益严格和完善的监管制度的实施,已经有越来越多的企业正在改变原有相对孤立和被动的安全防护手段,通过统一的安全管理平台或态势感知解决方案,将企业网络中各个安全组件和安全产品连通协作,打造协同作战、主动防御的安全架构,成为众多企业打造整体网络安全防御体系的首选。
盛邦安全新一代态势感知系统RayThink,帮助用户实现从静态到动态、从被动到主动、从孤立到协同、从感知到决策的四个核心转变,构建主动安全防御体系,游刃有余地应对当下网络安全挑战。
态势感知系统RayThink,以特定网络空间资产为保护对象,整合分散的安全防护、检测和响应技术,持续收集目标对象的资产数据、运行数据、脆弱性数据、内外部安全情报、日志及流量数据等,并对其进行多层次的安全分析和多维度的持续监测、评估和预测;能有效识别各类安全风险,及时预警与情报分享,并通过安全自动化编排和协同响应,达成对目标网络资产的有效保护和对安全态势的整体把控。
以资产探测为中心、基于威胁情报和安全编排自动化响应的态势感知系统RayThink,驱动安全智能运营,重新定义下一代态势感知系统,带来以下四个转变:
从以事件为中心到
以资产为中心的转变
资产感知是态势感知的前提,界定了受保护资产的范围和内容,帮助我们弄清楚网络中都有哪些设备、哪些应用系统、哪些中间件以及它们目前是什么版本、责任人是谁等等,是实现“摸清家底”的基础。然而,当下很多安全设备仅支持边界、流量、WEB等单点威胁检测,数据是相对孤立的,不足以支撑态势感知全局化的需求。只有全面、完整的全要素采集,才能为态势感知提供完整、有效、可信的数据支持。
RayThink基于主动探测、被动流量自学习、日志采集、资产主动上报等网络空间资产测绘技术,从多维度安全要素出发,自动发现、提取包括资产系统信息、软硬件信息、组件信息、应用服务信息、用户信息、漏洞信息、威胁事件、异常行为以及资产的社会属性等信息;通过标签,对这些资产要素进行检索、统计、分组建模分析与管理。
通过数据范式化技术,将主动扫描、被动监测、端点上报、人工上报的业务流量数据、资产脆弱性数据、资产运行数据、网络威胁数据等统一收集并聚合加工,从海量数据中过滤掉重复的或无效的告警源数据,为态势分析提供完备的基础数据模型库,完成对资产安全状态的准确把握和精准风险评估。
图1:资产隐患分析
RayThink支持统计和分析应用层协议流量的实时和历史信息,包括时域流量曲线、频域连接谱线、地域连接信息等;基于应用层协议的暴露面分析管理,查看风险资产和风险事件并进行联动处置,有效缩小风险暴露面。
凭借出色的网络空间资产探测能力,RayThink可以准确掌握网络空间安全状态,形成灵活、完备的资产台账库;当发生安全事件时,精准定位问题资产,迅速完成安全风险筛查与安全事件影响面评估。
从本地检测分析到
基于威胁情报的风险预测的转变
RayThink能够帮助用户实现从依靠本地检测分析向基于威胁情报共享的风险预测的转变。
威胁情报具有大量的安全事件信息,利用其多维数据,可以提高安全事件和攻击检测的准确度。RayThink通过安全事件分析引擎,将安全告警日志整合成安全事件,大幅度减少安全数据处理的工作量;基于攻击链模型,将安全事件还原成黑客攻击的过程,形成证据链,有效提高调查取证工作效率,实现攻击行为过程的可视化。
图2:威胁情报中心
RayThink具备权威的威胁情报源,通过联盟共享机制,保持强大的更新能力,不断提高情报的置信度;通过资产与威胁情报的关联分析,完成对攻击者的全面精准画像。
图3:攻击者画像
APT攻击具有持续时间长、隐蔽性高、潜伏时间长等特点。因此在攻击链的前期阶段高效检测威胁并采取有效措施,是减少APT攻击损害的有效途径。态势感知系统RayThink,基于自身资产信息,结合丰富的威胁情报库,在攻击的初级阶段实现精准检测和风险预测,将安全隐患消灭于萌芽之中,充分发挥威胁情报的价值。
图4:攻击链模型
多维威胁溯源取证能力。RayThink支持事件级原始数据提取功能,通过查看威胁事件关联的原始日志或数据包,基于数据挖掘技术验证威胁事件发生时的痕迹,以资产状态、资源消耗、异常扫描、攻击特征、横向扩散、异常外联等维度,将威胁事件的轨迹进行数据交叉存证,为事后溯源分析和智能化取证提供有效数据支撑。
图5:溯源分析能力
从单点防御到
安全编排及自动化响应的转变
态势感知要求掌握全局网络安全状态,因此需要覆盖所有安全检测能力点,从而形成从点到面的全景检测能力。
SOAR的本质是通过预置标准化预案,形成自动化的闭环响应过程,通过将事件、人、技术、流程有机结合起来,完成检测响应的循环迭代。在未来几年SOAR将迅速跨越技术裂谷进入成熟期。新一代态势感知系统RayThink,不仅具备安全监测、分析研判的能力,还具备常态化的响应能力;针对不同的攻击场景,形成流程化的响应模式,通过人机结合的协同响应及各类设备联动,完成主动威胁对抗。
图6:资产隐患分析处理剧本
采用安全编排与自动化响应的态势感知系统RayThink通过情报消费、知识利用、经验积累等途径,配合机器学习、知识图谱、人工智能的技术手段,结合实际攻击场景,建立并优化情境模型,将网络安全工作流程化、自动化、闭环化,提升安全运维人员工作效率。
从安全事件管理到
安全运营中心的转变
传统安全信息和事件管理,基于收集的安全日志事件,提供告警、报表、分析预警、数据留存等功能,但无法做到对威胁态势的全面感知。而安全运营中心,采用集中管理方式,搜集所有安全信息,并通过分析、统计和关联,形成网络资产的安全基线,动态把握安全态势,准确定位安全风险并提供处置建议。
传统的威胁分析主要针对各类安全事件。一般来说,所采集的数据量越大,关联分析的难度就越大,重构攻击事件所需的时间也越长。态势感知系统RayThink,通过引入大数据分析技术,实现从基于规则匹配向数据建模、机器学习的智能化转变以及从短时状态监控向长期趋势变化动态基线的转变。
作为中国态势感知市场主要厂商,盛邦安全连续两年入选IDC态势感知市场调研报告。基于盛邦安全“五步法”安全治理体系,紧密结合行业应用特点和需求,盛邦安全以具有业务强关联性、以解决不同行业用户实际问题为核心的态势感知产品与解决方案获得IDC“中国网络安全风险态势感知系统”创新者称号。
新一代态势感知系统RayThink,整合了盛邦安全在网络资产探测、威胁情报、SOAR安全编排自动化与响应等多个领域的核心技术能力,是一款集资产安全态势感知、外部攻击态势感知、内网安全态势感知、异常行为态势感知、脆弱性态势感知、威胁事件态势感知于一体的综合安全态势感知平台,为满足用户单位提升主动安全防御能力需求、构建新一代态势感知平台体系提供新思路和新体验。
点击了解更多