启明星辰网络安全态势感知能力交付方案(Venusense Cybersecurity Situational Awareness Solution)是围绕不同行业客户的特性,为用户量身定制的态势感知解决方案。方案特点是覆盖监管侧和非监管侧的态势感知建设需求,针对各种不同的目标网络环境,譬如传统互联网、工业互联网、涉*密网络、云计算环境、物联网等,适用的场景包括终端态势、网站态势、漏洞态势、威胁态势、资产态势、攻击态势等多类型为保护对象的全方位态势感知。方案最大的技术亮点是围绕泰合网络安全态势感知平台系统为基础,运用安全大数据架构,紧耦合启明星辰安全数据的采集能力,包括对设备、主机、日志、进程、服务等全要素信息的采集,有效结合安全大数据的分析经验,帮助用户解决全方位、全天候态势感知的方案建设需求。
方案是帮助不同类型用户需求,提升用户对态势监控、威胁分析、运维处置等安全能力的建设水平,在网络新常态下,实现诸如:网站整体运行态势监控、暴露或内部资产识别监控、内外部入侵行为定位、高级持续威胁判定、失陷主机态势分布、政企侧漏洞闭环管理、攻击链还原、威胁情报管理、终端管控等高价值业务和场景的管理能力。
本方案凭借国内六大安全团队:泰合态势感知研发团队、北斗安全服务团队、ADLab积极防御实验室、核心技术研究院、恶意样本分析团队、威胁情报团队对信息安全领域的深度理解和经验,以多维度、多资源的安全情报和交互式处置平台为依托,为用户提供数据深度钻取、可视化展现、态势处置与预警、数据运营等动态赋能,是用户全流程、全周期态势感知的最佳选择和最佳实践。
方案特点
采集层,基于因需自定义的数据采集方案
针对用户对态势感知的场景需求,可结合用户实际业务需求,自定义全要素采集方案,依托不同的数据采集对象和采集内容,定义不同的分析场景和建模。采集对象包括但不限于:数据交换设备、网络安全设备、服务器等主机设备、移动终端设备等。采集内容包括但不限于:元数据信息、资产信息、漏洞信息、日志信息、安全设备配置信息、策略信息、威胁情报信息、异常流量信息、已知事件库信息、未知行为检测信息以及其他信息等内容,为进一步场景化的态势感知分析需求提供数据支撑。
分析层,基于大数据平台的态势感知方案
方案完全基于大数据开发,运用海量信息采集与处理方法,为用户提供分层次海量安全信息的范式化、采集、存储、集中分析和综合态势能力展现等内容,为用户的在线分析、离线分析、就地分析的态势感知需求提供分析支撑。
方案为用户提供流量识别、协议分析、文件还原、流量牵引等数据全流程的跟踪管理,结合机器学习、人工智能、行为建模、场景构建等手段和方法,将被监控数据整理分类、精简过滤、对比统计、重点识别、趋势归纳、关联分析、挖掘预测的数据处置手段,帮助用户形成安全态势、安全风险的认知。
展现层,基于自适应管理的态势感知闭环
方案中,用户可获得产品化的态势感知标准组件,还可以根据自身需求选择威胁情报服务工具、高级分析工具、设备运维管理工具、资产管理工具、配置核查工具、流量异常分析工具等,同时,展现层可为用户提供专业的分析能力作为后备力量,追踪溯源各类安全威胁。
展现层融合可定制态势感知分析模块、应急通报和分级预警、威胁情报服务、安全运维服务等内容,可因需输出,最终帮助用户实现态势感知闭环、态势决策、态势预测等能力建设,满足用户网络自适应安全的建设需求。
方案价值
1.方案帮助用户解决安全运营阶段中网络安全监控能力和分析能力不足的难题,尤其针对网络新常态下,暴露资产监控、入侵行为追踪、高级威胁监控、失陷主机发现、漏洞闭环管理、攻击链还原、威胁情报管理等多种高价值安全业务和场景的监控与管理。
2.帮助用户解决网络设备、安全设备、主机资产等各类形态IT资产,所产生的安全信息孤岛难以形成威胁情报的难题。方案利用数据采集、实时或准实时等检测技术手段,分析和发现攻击行为、流量异常等安全威胁,通过打通各系统间产生的安全数据,转化为安全情报,实现单一的安全信息能力转化为自适应安全信息能力,弥补用户在信息安全数据整合能力、威胁行为预判能力上可能存在的短板。
3.全套方案以用户场景建设为背景,提供应对不同威胁场景的针对性方案,譬如被攻击对象和攻击源识别、攻击过程及影响分析、僵木蠕毒爆发、失陷主机态势、暴露资产风险评价、内部威胁情报碰撞等落地方案内容,为用户提供成体系化的应对措施和处置方案。
典型应用
监管机构通过态势感知平台建设实现监管重任:监管部门可以参照国务院《关于加强信息安全保障工作的意见》即信息系统安全等级保护的要求,对关键基础设施实施重点深入的威胁分析展示,从证据链入手,对暴露资产的漏洞、被监管对象的数据泄露、网络威胁集中爆发等行为实现一体化管控机制,同时,构建网络安全事件分级分类、通报处置、攻击反制、应急指挥为一体的综合平台,及时掌握辖区内网络安全状况,降低网络威胁,打击网络违法犯罪,提升应急响应的综合能力。
金融行业通过态势感知平台建设实现防护提升:各类金融机构基于金融行业的生产网、办公网和互联网等多类型网络的安全防护需求,构建基于态势感知的多层次自适应安全体系,通过搭建全流量全数据采集模型,汇聚金融领域网络安全事件的信息,通过数据治理方案,提供在线分析、离线分析、就地分析能力,辅助管理者掌握全局安全状态,给出网络状态、趋势、预判,为最终制定安全决策提供保障。
工业互联网企业落实工控环境态势感知建设解决防护能力不足:随着工业4.0概念的不断深入和落地,工业企业开始接入互联网,生产设备、管理系统、业务系统以及与众多企业的协同都将互联,对于工业互联网企业来说,在安全防护上普遍都面临着三重困境,检测能力的困境,对于一些可能带来重大损失的安全威胁无法做到及时发现,甚至是出现误报;响应能力的困境,由于企业网络边界的扩大,安全人才的匮乏,在发生安全事件时响应能力更是大打折扣;应用安全的困境,工业控制、管理系统复杂、更新不及时,导致了应用的漏洞百出,以及攻防的不对称。通过态势感知平台建设,很好地解决了三个方面的难题,第一,捕捉开放工控端口,发现安全漏洞。第二,站点漏洞、站点篡改和异常访问等监测;第三,工业企业僵木蠕毒爆发的态势。