新闻中心

0512-87776571

szsl@sl2500.com

打造动态防御体系-态势感知平台建设

时间:2021-01-05 11:25:31   作者:   来源:

 日前,富士康遭勒索病毒攻击事件引起了社会的广泛关注,这样一家巨头公司面对黑客攻击、数据泄露等问题时也显得不知所措;现阶段针对于传统安全防御体系失效的问题,打造新型主动防御体系显得迫在眉睫,主动防御除了满足事前预知,事中防御,事后响应的原则外,其规模需要涵盖多个维度,基于上述的诉求, 以“下一代防火墙(AF)”、“终端检测响应平台(EDR)”、“网络安全态势感知(NSSA)”为主体的网络安全主动防御体系逐渐崭露头角;2016年习总书记在网络安全和信息化工作座谈会上提出要 “全天候全方位感知网络安全态势”,“态势感知”在网络安全行业热度持续不减。

 

一、态势感知概述

 

“态势感知“一词最早由美国军方提出,包括感知、理解和预测三个维度,随着网络技术的迅速发展和网络规模的日益扩大,诸如网络攻击、网络漏洞、数据与隐私安全等网络安全风险日益提升,为了面对新一轮的风险挑战,网络安全态势感知(NSSA)作为一种主动的大规模网络监测技术,被逐步应用于网络安全领域,旨在突破被动防御的局限,以检测、分析、响应和预测一体化的方式对网络环境进行全面的把控。

 

二、为什么要做态势感知

 

由于传统网络安全防护产品之间很少存在关联,造成了“信息孤岛“效应,同时数据信息的来源比较单一,仅仅聚焦于安全事件相关的告警和日志,防御的效果达不到理想的状态,基于被动防御,做出的响应大多也是在事件发生后“亡羊补牢”;为了响应国家最新的等保2.0网络安全防护政策,木链科技从全局出发,融合前沿的技术手段,打造一个的高水准的态势感知平台,实现了主动防御态势新突破,安全防护等级也得到了大幅度的提升。

 

三、态势感知解决方案简介

 

产品架构可以分为以下四个过程:如下图所示

 

 

1、态势提取:态势感知以大数据和云计算为基础,主动进行有效信息的采集;对日志、流量、资产、威胁情报等影响系统安全性的海量数据和要素进行提取,这一步是态势感知的前提。

 

2、态势评估:对各种网络安全要素进行分类、归并、关联分析并进行处理融合,对融合的信息进行综合分析,得出影响网络整体的安全状况,这一步是态势感知基础。

 

3、态势变化预测:通过态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的核心。

 

4、可视化态势分析:定性、定量分析当前网络的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的目标。

 

 

四、核心技术

 

1、高效数据存储方法

 

一般的MYSQL、PostgreSQL等关系型数据库已经不能满足多源异构数据的存储要求,我们使用一种基于图形数据库的NSSA数据存储方法,将网络划分为基本安全层、安全分析层、威胁情报层,每一层包含一个或者多个对应的域,基本安全层用来描述基本的网络环境和安全信息;安全分析层用于记录和分析各种安全问题和安全事件;威胁情报层用于关联安全分析层的内容并恢复攻击图像。

 

随着时间复杂度越高,该方法可以保持平稳的查询深度,不仅提高了查询的效率,而且遍历的性能基本不受数据量多元异构的影响。

 

 

2、科学的分析手段

 

基于机器学习的关联分析方式,将资产、威胁、脆弱性等方向做关联分析,建立统计模型、预测行为趋势;收集影响网络态势的网元信息、流量信息、报警信息、漏洞信息等各类指标,并将这些指标按照其风险程度分为不同的等级,将这些分层的数据源作为属性,各个属性存在相互依赖的关系并以条件概率表的方式表现属性之间联合概率分布情况,通过计算验证概率的方法,对网络安全态势做出评估与修正;准确把握网络态势的变化趋势,并对评估结果全面、客观,提高了网络环境的稳定性和可靠性。

 

3、强化内部威胁的处理

 

系统并不关心海量的告警日志或事件危险的优先级而是聚焦于用户和实体,针对“异常用户“(管理员账号被盗用)和”用户异常“(正常账号进行违规的操作),即用户行为是符合访问控制规则的,对异常事件的处理更具有针对性和高质量。

 

例如当设备重启后,传统的SOC/SIEM系统会认定为高等级的安全事件并警告,而在该技术的理解中,系统会先判定重启用户是谁?该用户在过去一年内每个月固定时间是否都有类似行为?如果都有答案,即可不发送警告,仅作记录,此系统的优势在于不仅误报率大幅度降低还能检测到低频长周期的不易被发现的威胁;将内部威胁监测和全局预警两者有效衔接,可以解决以人、资产、应用为维度的账号安全和数据安全问题。

 

五、未来发展趋势

 

1、融合SOAR技术

 

当前市面网络安全防护产品凭借相关技术,使用户获得了更低的MTTI(平均检测时间),如果想要提高MTTR(平均响应时间),还需要结合SOAR技术。

 

该技术可以让数据智能的选择真正需要的分析系统,运维人员只需编排好与之对应的“剧本”,系统即可自动化执行相关逻辑运算操作得出相关结论;将安全运营自动化,不仅提高了监测和巡查的效率,保证第一时间定位风险,而且极大的节省了响应时间并降低人力成本。

 

2、云端部署

 

将态势感知系统云平台化,配合云计算场景远程高效的应对复杂的网络环境和潜在威胁同时省去了硬件设备占用庞大的场地和昂贵的费用,最重要的是,海量的日志分析和处理对运算和存储性能有很高的要求,云计算最大的特点就是可弹性扩容和性能按需分配,所以态势感知云化平台可以有效保障其感知能力可以随着对象规模的变化而变化,这使得资源的利用率达到了极大的提升,在新环境下高效的为网络安全保驾护航。

 

3、应用场景全覆盖

 

当前网络安全态势正朝着工控物联网、广域网、区块链和数字货币等方向发展,一些新兴的威胁正在快速发展。态势感知系统应更加深入地与安全设备或安全软件进行处置联动,发现威胁或攻击后第一时间向设备或服务器下发处置指令,为工业信息安全提供有效的技术支持,打造安全可视的网络安全大环境,朝着全网联动、共同防御的方向迈进。

 

 

 

木链科技在多款工业安全产品开发和海量安全分析运维经验的基础上,融合大数据和机器学习技术开发了BoleanGuard工业安全态势感知平台。平台集安全可视化、监测、预警和响应处置于一体,集中收集并存储客户工控环境的资产、性能、配置、日志、流量等安全相关的数据,内置大数据存储和多种智能分析引擎,有效发现网络内部的违规资产、行为、策略和威胁,网络外部的攻击并及时预警,提供包括工单在内的多种响应方式,使安全防护和管理工作规范化流程化,通过数据可视化将网络安全态势呈现给客户,最终生成多种合规报告。


平台通过多种数据、分析方法构建动态的多层次、全天候网络安全态势知,结合等级保护管理,为客户构建网络安全动态深度防御体系。BoleanGuard工业安全态势感知平台采用组件化开发技术,是专注于安全管理和安全分析的应⽤套件开发平台,可以根据用户需求灵活调整,针对实际生产环境,定制最优的安全解决方案。


下一篇:返回列表