运营商面对两部委检查和各种网络威胁部署了各类安全产品,但仍然会有部分威胁能绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失的风险。经过分析主要由以下问题造成:
l 传统安全防御手段基于已知威胁,对未知威胁没有防御作用;
l 安全与业务相对独立,无法快速有效定义威胁范围;
l 内部威胁隐藏于正常工作,传统安全设备无法有效预警;
l 海量日志,分析处理困难,更无法进行智能的关联分析。
安全运维管理人员迫切需要解决上述问题,传统的网络安全防御技术已经无法抗衡新的安全威胁。利用大数据技术、人工智能和机器学习等新技术,让安全看得见,对未知威胁检测、可视化、分析和处置响应成为网络安全行业新方向。
兰云公司推出了内网安全智能管理方案,该方案基于大数据技术基础,解决了安全分析中数据持续增长、类型复杂、来源多样等数据特性,同时使用用户及实体行为分析技术,能实现高级持续性恶意攻击以及内部违规行为等企业威胁有效检测。方案融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势,并在发现威胁之后实现安全联动,及时阻断,为企业信息化管理部门的决策分析提供依据,保护客户核心资产。
客户应充分利用现有安全系统、安全设备,建设一个“安全数据集中存储、安全态势感知场景不断扩充、分析能力与数据对外开放”的高价值安全信息存储及分析平台;遵循“全面安全数据采集、高质量数据长期存储、数据开放、充分利用信息价值、不断场景扩充”的原则,基于大数据技术构建集中共享、态势分析的全面安全数据分析平台建设方案,能有效的整合安全数据资源,发挥客户安全建设的成果所积累的价值,并有效提升自身安全能力。
按照上述思路,我们采用以下关键技术方法:
全面采集和集中关联分析:方案覆盖网络、主机及其他安全系统,信息采集无死角,既支持对安全日志、系统告警等常规数据的采集,又支持对流量、文件、行为等更基础的数据采集。并在安全智能平台上统一关联分析,全面的展示网络中各种正常或异常行为分析结果。
基于统计特征和包内容分析:采用智能协议识别技术,实现对数据报的准确、深度解析。在此基础上进行数据报的统计分析和数据内容的监测和分析。
机器学习及威胁建模:方案建立了两类机器学习模型:正向模型和反向模型,前者侧重用户行为的检测,后者侧重恶意代码的检测。两类模型采取了不同的检测策略,前者是匹配即正常,后者是匹配即异常。。
威胁情报集成:系统建立了内部和外部相结合的威胁情报体系。一方面通过机器学习、关联分析、检索分析等手段,发现内部的入侵行为并从中提取威胁情报;另一方面,系统具备开放的外部威胁情报接口,可以从第三方渠道及时获取外部威胁情报。
数据共享技术:方案提供关系型数据库、分布式文件存储系统、分布式全文检索、分布式消息总线四种核心存储共享能力,完成对外部系统提供海量、快速、规范的数据共享要求。针对每种数据类型提供JDBC、RESTFul、消息订阅、分布式文件标准接口。
资产管理:系统可自动识别本地资产,安全管理员可对资产赋予不同的安全属性,如安全权重、安全域、资产管理员信息等,并通过可视化技术将资产用不同的拓扑类型进行展示。
本方案主要由异常检测系统(BDS)、终端探针(EDR)、兰天平台(Bluesky)等设备组成。按照数据采集、数据处理、数据分析、数据呈现的功能模块划分为不同的逻辑层面,实现对资产、应用、系统、流量、日志、文件分析等功能。
系统整体架构如下图所示:
在实际应用中,异常检测系统(BDS)可以根据需要部署了多个数据采集节点,并统一由兰天平台负责管理。
系统组成和部署如下图所示:
l 安全数据管理可视化,提升安全运维管理体验
l 及时发现未知资产,降低潜在威胁
l 有效发现未知网络威胁,提升外部威胁防御能力
l 实时发现业务访问异常,辅助决策
l 有助于提升安全访问控制的精准度和粒度,提升防护效果
l 安全事件取证,便于事后追责
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
