轻量态势感知解决方案
首页 > 解决方案与案例 > 技术解决方案 > 轻量态势感知解决方案

轻量态势感知技术解决方案

方案背景


网络安全形势日益严峻,面对海量的威胁事件和更高的安全需求,传统的解决方案已无法完全覆盖安全态势分析和统一管理的要求,必须要结合多维大数据关联分析的技术手段,建立网络安全态势感知平台,实时检测网络安全风险和威胁,综合分析网络安全态势,及时通报预警和快速应急处置来应对当下的网络安全威胁。

◆ 以APT攻击、勒索病毒为代表的威胁愈发呈现出组织性强、潜伏期长、复合度高的特点,单一的安全检测只能发现某些具体的攻击类型,难以准确判断复杂的安全事件;


◆ 网络安全产品细分趋势明显,类型繁多,面对海量的威胁告警和日志记录,传统的安全运维方式很难做到对有效信息的全面掌握,管理的技术瓶颈和运维的资源投入带来的压力和矛盾日益凸显;


◆ 随着网络监管的力度不断加强,针对漏洞风险的安全通告或者单位内部的安全预警,缺少统一的管控平台,很多情况下难以做到安全问题的有效跟进和闭环处理。


方案概述


轻量态势感知解决方案集感知、分析、研判和处置于一体,基于可自助选择和灵活编排的感知系统,分析平台可以通过资产治理模型、漏洞生命周期、入侵攻击链条和安全威胁情报等多个维度的安全分析模型对元数据进行关联提取,实现风险预测和对总体风险态势、入侵威胁态势和资产安全态势的全面感知,并结合通报预警和应急处置形成闭环安全指挥体系,适用于态势整体监控、等保合规检查、风险通报预警、行业数据上报等多种应用场景。


◆ 原始事件感知


单一的安全事件无法描述整体的安全态势,而态势感知方案的基础是类型丰富、线索详细的安全事件,本方案涵盖了网络资产、脆弱性风险、入侵威胁、Web安全和APT威胁等多种类型的原始事件,提供了全面的元数据信息。


◆ 安全关联分析


不同的安全视角可以为管理员提供多方面的决策依据,本方案采用钻石安全分析理论,将资产治理、脆弱性安全管理、入侵攻击链条和安全威胁情报等事件类型进行有机整合,分别从用户视角和攻击者视角进行关联分析,并通过溯源分析提取原始事件和历史轨迹,帮助用户更全面的理解和跟踪网络事件态势,从而实现合理准确的研判和处置。


◆ 多维态势监控


网络安全态势感知的核心目标之一是降低安全分析的技术门槛,简化运维压力,因此一方面需要自动过滤噪音数据,减少管理资源投入的浪费;另一方面需要提供直观的可视化分析视图,降低事件监控的难度。本方案通过提供多种形态的态势监控大屏,结合形象的动画效果和丰富的统计图表,帮助不同角色的管理和运维人员从各自关注的视角进行有效的安全监控。


方案架构


方案整体功能架构围绕各类安全事件的感知采集、提取上报、关联分析、风险画像和态势感知展开,并依托多维度的分析引擎进行关联分析,最终形成整体态势感知监控和安全事件应急指挥等核心安全能力。


轻量态势感知技术解决方案-图1.png


方案部署


方案由安全感知分析平台和各类感知系统组成,分为本地部署和多级部署两种典型部署场景。


轻量态势感知技术解决方案-图2.png


多级部署


对于多级部署来说,一级数据中心除了需要实现本部的态势感知体系建设之外,还需要兼顾各二三级中心或分支单位的安全事件集中感知分析和通报处置管理,因此需要通过专网或互联网安全通道建立数据连接,形成全局态势感知体系;二级数据中心除了需要向总部上报各类安全事件之外,还需要对自身的资产和威胁情况进行安全管理。


轻量态势感知技术解决方案-图3.png


方案优势


丰富的元数据


本方案包含了资产台账信息、资产脆弱性数据、入侵威胁事件、高级威胁事件和横向异常行为等多种类型的数据,可以提取资产IP、端口、服务、系统、中间件、安全漏洞、弱口令、Webshell后门、内容审计、恶意访问、非法扫描、僵尸主机、木马、蠕虫攻击、暴力破解、注入、跨站脚本、请求伪造等各种维度的元数据,原始信息丰富,研判依据全面,可以为态势感知提供可靠的数据支撑,并且在事件研判时提供详细的依据线索。


轻量态势感知技术解决方案-图4.png


动态的资产视角


本方案通过资产治理的安全视角,从网络资产管理出发,围绕资产属性、管理状态、自身安全性和被攻击风险进行关联分析,在入侵监控、脆弱性监控的基础上进一步补全了事件分析的维度。通过在线感知、事件学习和手动梳理相结合的方式,形成动态更新的资产台账,可以保障资产管理的准确性和时效性,从而协助用户从业务角度梳理安全态势,精准识别安全风险,合理执行应急响应。


◆ 准确的关联分析


本方案通过不同维度的原始安全事件,有效提升了事件关联分析的准确性,通过态势感知方案的整合以及关联分析,可以迅速建立不同类型安全事件之间的联系,排除干扰因素,提取有效信息;结合资产的健康状态、遭受威胁的可能性、威胁的破坏程度等信息准确判断事件影响程度,并根据相关平台模块给出处置建议,以便进行下一步通报和处理。


◆ 详细的溯源画像


本方案相关安全组件均具备原始事件深度钻取和留存的能力,可以针对某个安全事件从流量中实时提取特征摘要和原始报文,并通过对数据包字段的深度解析追溯原始IP信息,同时结合安全情报对攻击源进行画像分析,从而形成详细的溯源线索。另外,通过分析平台的大数据存储分析能力,可以保留足够完整的历史事件记录并根据资产进行梳理;并针对某个节点发生的安全事件进行历史追溯,理清整个事件的行动轨迹,形成完整的证据链。


◆ 闭环的处置流程


方案整体设计思路包含安全事件的态势监控、关联分析、事件研判、通报预警和应急处置等环节,覆盖安全事件从发现分析到处置跟踪的完整流程;利用通报处置功能将安全技术与管理操作有效结合起来,协助用户跟进事件处置的整个过程,不论对于高风险的入侵事件、高危的漏洞或是非法的行为等事件,都能够真正意义上地做到安全闭环处置。


方案价值


◆ 降低安全管理压力


轻量态势感知方案通过感知分析平台将安全能力进行合理整合,帮助用户理解安全事件,提取有效信息并给出分析结果和处置建议。一方面,统一了运维视角,减少反复查看多台安全设备造成的人力浪费;另一方面,过滤了大量噪音事件的干扰,提升整体运维管理效率;最后,借助丰富的安全分析模型,帮助用户更直观、清晰地理解安全态势,降低了设备管理的学习成本。


◆ 提升安全分析效率


传统安全产品对事件的记录多以日志列表形式呈现,虽然支持部分字段过滤和条件查询功能,但总体表现可读性较差且难以发现关键问题;尤其在同时运维多台安全产品时,监控操作更加复杂。本方案将各类安全产品日志事件进行集中统计,并利用平台的安全分析模型进行原始日志事件的归并、过滤和分类,提供直观、可视化的分析视角和一键处置机制,极大地简化了监控复杂度;同时,通过系统预定义和用户自定义的事件通报方法,及时对高危事件进行预警,进一步提高了安全监控的效率。


◆ 简化安全处置流程


传统的安全解决方案,无论事件分析或者处置流程,在安全产品应用的基础上,仍然需要大量的人力投入,包括安全事件的分析研判,安全设备的运维操作以及处置流程的协调、传递、执行和检查等。一方面,要求拥有专业的安全技术人员;另一方面,需要制定线下的规范制度并依赖人工执行和跟进。本方案通过感知分析平台进行事件的集中分析和展示,可极大的节省人力成本的投入,提高工作效率。


相关产品:

网络安全感知分析平台(RayThink)