圖:銳捷網(wǎng)絡(luò )安全態(tài)勢感知解決方案基本框架
勒索軟件“大爆發(fā)”引發(fā)深思,“下一代”防護體系重在感知威脅
2017年5月, WannaCry勒索病毒及變種大面積爆發(fā),危害波及192個(gè)國家,超過(guò)500萬(wàn)臺電腦遭遇黑手,造成損失近100億美元,期間全球多家企業(yè)級用戶(hù)業(yè)務(wù)被迫關(guān)停,這直接暴露出傳統信息安全防御體系在防護能力上的不足。與此同時(shí),隨著(zhù)《中華人民共和國網(wǎng)絡(luò )安全法》和《國家網(wǎng)絡(luò )空間安全戰略》等法規和政策的相繼出臺,態(tài)勢感知被提升到了戰略高度,國內眾多大行業(yè)、大型企業(yè)都開(kāi)始倡導、建設和積極應用態(tài)勢感知系統,以應對網(wǎng)絡(luò )空間安全的嚴峻挑戰。
如何為用戶(hù)構建下一代安全防護體系,已經(jīng)成為安全領(lǐng)域的新命題。那么“下一代”的特性體現在哪里,銳捷又是采用何種能力去協(xié)助用戶(hù)解決弊端呢?
為實(shí)現對網(wǎng)絡(luò )安全態(tài)勢的精準感知,銳捷網(wǎng)絡(luò )安全態(tài)勢感知解決方案從攻擊發(fā)現、APT深度分析、威脅預測、安全知識庫協(xié)助、工單跟蹤閉環(huán)等模塊構建全流程安全體系,打造出“四大”核心能力:
圖:銳捷態(tài)勢感知解決方案的四大能力
核心能力一:攻擊行為可發(fā)現
當前,攻擊威脅越來(lái)越向隱蔽化發(fā)展,包括定制化的APT高級攻擊和“暗網(wǎng)”內銷(xiāo)售的0day 漏洞代碼,這些技術(shù)可以讓惡意代碼長(cháng)期隱藏在企業(yè)內網(wǎng)不被察覺(jué)。為此,銳捷網(wǎng)絡(luò )安全態(tài)勢感知解決方案以“發(fā)現”為第一核心能力,通過(guò)對基礎網(wǎng)絡(luò )、中間件、業(yè)務(wù)系統、終端、安全設備等多維度的信息采集,結合深度分析、機器學(xué)習等關(guān)鍵技術(shù),以實(shí)時(shí)發(fā)現和精準定位為目標,實(shí)現攻擊溯源、歸并告警等多種方式的可視化呈現,讓用戶(hù)網(wǎng)絡(luò )中的攻擊行為無(wú)處可藏。
核心能力二:安全防護可協(xié)同
傳統的安全防護模式,更多依靠安全設備的單點(diǎn)防護能力--終端、網(wǎng)絡(luò )邊界、入侵檢測與防護、Web,這些防護設備彼此割裂、各管一段,缺乏必要的信息共享與協(xié)同。為此,銳捷在方案中體現了下一代網(wǎng)絡(luò )安全架構全新能力,通過(guò)大數據分析平臺與安全設備聯(lián)動(dòng)、云端智能分析協(xié)同、安全知識庫體系協(xié)助、安全專(zhuān)家咨詢(xún)、工單跟蹤閉環(huán)等機制,構建“人+平臺+設備”安全體系,幫助用戶(hù)從被動(dòng)防御轉向協(xié)同聯(lián)動(dòng)的主動(dòng)防御體系。
核心能力三:威脅態(tài)勢可預測
網(wǎng)絡(luò )安全威脅態(tài)勢的提前預測,是下一代安全運營(yíng)中心典型特征之一,是網(wǎng)絡(luò )攻防戰“知己知彼”的關(guān)鍵所在。銳捷網(wǎng)絡(luò )安全態(tài)勢感知解決方案通過(guò)外部威脅情報同步、攻擊趨勢分析、業(yè)務(wù)曲線(xiàn)學(xué)習等機制,對未來(lái)威脅態(tài)勢進(jìn)行提前預判,同時(shí)結合預警發(fā)布、專(zhuān)家咨詢(xún)服務(wù)等功能及機制設計,實(shí)現用戶(hù)網(wǎng)絡(luò )未來(lái)威脅態(tài)勢預測,并提供結合業(yè)務(wù)實(shí)際場(chǎng)景的解決方案。
核心能力四:安全狀態(tài)可度量
勒索軟件威脅持續發(fā)酵的原因之一就是其低廉的攻擊成本,而幫助用戶(hù)找到最適合自身場(chǎng)景的安全建設方案,既可以給黑客增加攻擊成本,又可以為安全能力進(jìn)級贏(yíng)取時(shí)間上的優(yōu)勢。為此,銳捷根據海量的安全日志、漏洞、風(fēng)險、脆弱性等權重數據,為用戶(hù)智能評判現網(wǎng)安全狀態(tài),量化全網(wǎng)及業(yè)務(wù)的安全評分,并通過(guò)安全評分趨勢、告警和工單處理等趨勢圖直觀(guān)的呈現安全建設業(yè)績(jì),幫助用戶(hù)建設可度量的安全網(wǎng)絡(luò )。
內置七大關(guān)鍵技術(shù),打造態(tài)勢感知一體化平臺
態(tài)勢感知的概念最早出現在軍事領(lǐng)域,覆蓋感知、理解和預測三個(gè)層次。如今,在態(tài)勢感知熱度下,很多品牌推出了相應產(chǎn)品。然而,受限于威脅情報來(lái)源、數據分析、響應協(xié)防和設備聯(lián)動(dòng)等多個(gè)能力限制,很多產(chǎn)品只能做到數據圖像層面的呈現功能,被當成了一款接上大屏幕的“安全地圖”。
但是,這與實(shí)際需求相去甚遠,用戶(hù)不僅要讓安全“看得見(jiàn)”,更要讓網(wǎng)絡(luò )“信得過(guò)”。為此,銳捷以大數據技術(shù)架構為核心,將獲取、分析、處理、跟蹤、預測融為一體,形成了覆蓋態(tài)勢感知全應用、全流程安全解決方案。當然,要達成“既看得見(jiàn)、又信得過(guò)”的效果,必然離不開(kāi)網(wǎng)絡(luò )安全領(lǐng)域“高精尖”技術(shù)的融合。
銳捷安全態(tài)勢感知解決方案涵蓋了網(wǎng)絡(luò )安全前沿領(lǐng)域的七大關(guān)鍵技術(shù),包括:多維度的安全信息采集、針對APT類(lèi)型和攻擊入口等深度分析、將互聯(lián)網(wǎng)云中心與本地系統進(jìn)行聯(lián)動(dòng)智能協(xié)同、結合外部廠(chǎng)商威脅情報聯(lián)動(dòng)機制、掃描內部漏洞與基線(xiàn)違規風(fēng)險管理,以及發(fā)現威脅后的設備聯(lián)動(dòng)機制和工單管理。七項關(guān)鍵技術(shù)的緊密結合,為用戶(hù)打造出真正可以“信得過(guò)”的業(yè)務(wù)網(wǎng)絡(luò )。
圖:銳捷大數據安全平臺
以被譽(yù)為數據泄密“頭號公敵”的APT來(lái)說(shuō),銳捷安全態(tài)勢感知方案能夠結合歷史數據分析、云端智能分析、沙箱模擬分析、安全專(zhuān)家咨詢(xún)等機制,實(shí)現對攻擊異常行為的識別和預警。同時(shí),利用流量探針?lè )治鰯祿皺C器學(xué)習技術(shù),建立業(yè)務(wù)訪(fǎng)問(wèn)模型,對攻擊者異常業(yè)務(wù)訪(fǎng)問(wèn)及數據竊取行為進(jìn)行及時(shí)判斷發(fā)現,幫助用戶(hù)實(shí)現對APT攻擊的防御及處理。
“安全是發(fā)展的前提”,攜手用戶(hù)共建可信網(wǎng)絡(luò )
習近平總書(shū)記在“419”座談會(huì )上提出:“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)。要樹(shù)立正確的網(wǎng)絡(luò )安全觀(guān),加快構建關(guān)鍵信息基礎設施安全保障體系,全天候全方位感知網(wǎng)絡(luò )安全態(tài)勢,增強網(wǎng)絡(luò )安全防御能力和威懾能力。”
“聰者聽(tīng)于無(wú)聲,明者見(jiàn)于未形”,感知網(wǎng)絡(luò )態(tài)勢將是網(wǎng)絡(luò )安全能力進(jìn)階最基礎的工作。面對態(tài)勢感知產(chǎn)品的需求增長(cháng),銳捷將憑借企業(yè)級網(wǎng)絡(luò )產(chǎn)品的覆蓋率,深耕行業(yè)用戶(hù)積累下的多年實(shí)踐經(jīng)驗,聯(lián)合更廣泛的網(wǎng)絡(luò )安全正能量,協(xié)助更多地用戶(hù)真正實(shí)現“看得見(jiàn)的安全,信得過(guò)的網(wǎng)絡(luò )”。
