產品介紹

態(tài)勢感知與安全運營平臺(簡稱NGSOC)以大數據平臺為基礎，通過收集多元、異構的海量日志，利用關聯分析、機器學習、威脅情報等技術，幫助政企客戶持續(xù)監(jiān)測網絡安全態(tài)勢，實現從“被動防御”向“積極防御”的進階，為安全管理者提供風險評估和應急響應的決策支撐，為安全運營人員提供威脅發(fā)現、調查分析及響應處置的安全運營工具，已在多家大型政企單位落地實踐。

核心功能

1、數據采集與存儲

支持國內數家廠商的幾十種常見設備的自動解析、過濾、富化、內容轉譯、歸一化，支持通過Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種采集方式。

2、威脅情報

基于威脅情報領域少有的數據優(yōu)勢和技術優(yōu)勢，將云端大量的情報經過專業(yè)團隊層層篩選后，將有價值的失陷情報源源不斷的推送至NGSOC，并將其應用于關聯分析、日志匹配等場景。

3、機器學習

機器生產DGA域名，其廣泛應用于勒索軟件、僵尸網絡、遠控木馬。通過機器學習中一種基于自動對數據進行表征學習的方法，無需人工提取特征?；诤Ａ康挠蛎麡颖?。通過有監(jiān)督式特征學習和分層特征提取高效算法來發(fā)現惡意域名。在真實客戶場景中通過DGA檢測域名檢測技術成功發(fā)現多起APT事件和勒索病毒。

4、威脅建模

搭載分布式流式關聯分析引擎Sabre，提供多元異構數據關聯分析、靈活威脅建模、豐富的告警上下文信息展示及分布式橫向擴展能力。

5、流量檢測

通過全流量檢測技術，可還原數十種網絡協議，對失陷主機，網絡入侵，網絡病毒，異常流量、DDoS攻擊等進行精準檢測。

6、態(tài)勢感知

NGSOC可提供六個展示內網態(tài)勢感知的大屏視圖：資產風險態(tài)勢視圖、外部威脅態(tài)勢感知、內網威脅態(tài)勢感知、全網漏洞態(tài)勢、業(yè)務資產主動外連態(tài)勢和安全運營態(tài)勢，分別從不同的安全運營角度對網絡安全態(tài)勢進行呈現。

7、威脅預警

當出現重大網絡安全事件時，通過下發(fā)威脅預警包，幫助用戶掌握是否遭受到攻擊，失陷的設備包括哪些，業(yè)務是否受到影響，網絡攻擊走向，如何應急處置。

8、資產風險管理

通過結合資產價值、脆弱性信息、威脅信息，對全網資產進行風險評估，量化風險指標，幫助用戶更好了解和掌控安全風險，為用戶提供有力的決策支撐。

9、持續(xù)監(jiān)測

通過從宏觀到微觀的分析思路，基于平臺強大的PB級數據查詢和關聯分析能力，采用強大的流式關聯分析能力，結合豐富的內置BI組件用于自定義可視化視圖，將威脅以安全人員的處置視角完美呈現在監(jiān)控面板和分析面板之上，有助于分析人員持續(xù)監(jiān)控威脅、發(fā)現線索、下鉆分析，從而極大提升了企業(yè)威脅可視及處置的能力和效率。

10、異常行為分析

將多年在客戶側積累的多個重點場景通過場景化視圖直觀呈現給用戶，針對于企業(yè)客戶經常遇到的一些安全場景，平臺進行了重點抽象，并且把它做成了一個內置的一個整體的分析場景，如內網安全、安全賬號安全、異地登陸安全等一些常見場景，輔助安全運營/分析人員進行綜合判斷，提升處置效率。

11、攻擊回溯

在海量的數據中進行重點的攻擊、重點事件回溯的過程是很常見的場景，在業(yè)界提出了冷熱數據的概念，對于發(fā)生的高頻查詢數據通過熱數據模式存儲，整體的數據搜索方面會支持百億級的數據秒級檢索，具有很大優(yōu)勢。對于超出這個時間范圍的數據進行冷數據存儲。常見的比如一些合規(guī)性要求比較高的客戶，搜索頻率會比較低并且搜索時間要求也寬松，建設成本低收益好。

12、調查取證

調查分析是由人、數據和工具組成的一個三維的協同聯動過程。

人：主要是指本地或遠程的一些具有攻防知識的專家團隊的支持。

數據：提供基于公司在多維信譽、檢測手段和威脅情報方面的積累。結合多維度數據關聯分析引擎。將整個的威脅事件，通過一個平鋪和鳥瞰的視角去觀察整個的威脅現狀、威脅的蔓延情況、威脅的分布情況以及威脅的嚴重情況等。

工具：基于攻擊鏈、調查分析系統、威脅歸并分析等豐富的輔助判斷工具來協助人更深入的、多角度的研判威脅。

13、攻擊鏈分析

根據攻擊的步驟，平臺根據洛克希德馬丁的攻擊鏈階段將調查分析結果通過時間和階段兩個維度進行呈現，將紛繁復雜的告警進行有效歸納，在偵查跟蹤階段就可以做到預先防護，在載荷投遞階段就可以重點防護，在通訊控制階段就可以快速響應，從而在運維時間和運維效率方面達到一個平衡。

14、響應處置

處置響應該是一個閉環(huán)，從威脅發(fā)現、威脅分析、威脅處置到威脅持續(xù)監(jiān)控的過程，就是一個運營的過程。在處置響應方面采用了事件+動作+指令的設計，將安全事件主題、動作和處置指令和三類有機通過平臺結合起來。

產品特點

1、先進的大數據架構

NGSOC是建立大數據技術架構之上，運用Hadoop、Spark、ElasticSearch等先進大數據組件，成功解決海量數據的采集、存儲和計算的難題。NGSOC分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設備日志和系統日志，并同時提供應用交互界面。分析平臺底層的數據檢索模塊采用了分布式計算和搜索引擎技術對數據進行處理，可通過多臺設備建立集群以保證存儲空間和計算能力的供應。傳統數據庫只能處理億級數據且查詢速度在分鐘級，NGSOC可以處理千億級數據，采集速度達10W eps，秒級查詢，大大提升安全分析和響應的速度和效率。

2、強大的威脅檢測能力

搭載分布式關聯分析引擎Sabre， 內置200+關聯分析規(guī)則, 100+語義支撐，可視化配置展現?；跈C器學習的DGA檢測技術，檢測準確率達99.94%。通過全流量檢測技術，可還原數十種網絡協議，對失陷主機，網絡入侵，網絡病毒，異常流量、DDoS攻擊等進行精準檢測。

3、相對完善的安全運營閉環(huán)

NGSOC在強有力的基礎大數據架構的支撐和分布式流式引擎Sabre強勁檢測能力的輔助下，建立起了一套相對完善的威脅處置與響應流程的支撐體系?？赏ㄟ^平臺對資產、漏洞等基礎屬性和告警、風險等安全屬性的全生命周期管理，功能涵蓋從威脅發(fā)現、展示、歸納到處置響應聯動的閉環(huán)能力。

4、專業(yè)的安全運營服務

具有專職產品運營服務團隊，可提供原廠一線駐場、二線分析、運營方案咨詢及培訓服務，幫助客戶解決無人運營困難。

適用場景

場景一：大數據日志審計

NGSOC可以通過日志采集探針通過Syslog、、WMI、JDBC、Log File、FTP、WebService等方式對設備日志進行采集，并對采集數據進行歸一化、富化等預處理。用戶可以在分析平臺上對采集到的原始日志和解析日志進行查詢、統計、關聯分析等處理使用。與此同時，NGSOC對用戶網絡資產的日志進行統一的采集、存儲和使用，能夠讓存量資產符合《網絡安全法》及配套法規(guī)要求。

場景二：資產管理與風險展示

用戶網絡中缺少對已經存在的網絡設備資產、安全設備資產、服務器資產、存儲資產、終端防護系統資產等資產的統一管理平臺，需要對包括資產類型、廠商、型號、系統類型、責任人、責任域等進行統一管理。同時還需要發(fā)現超出現有管理資產范圍的未被管理到的資產，以納入管理系統來，防止出現未知的信息安全風險。對于發(fā)現的資產所存在的漏洞要能夠以資產的視角來進行統一管理，做到漏洞可發(fā)現，解決過程可跟蹤，結果可統計，漏洞態(tài)勢可感知的漏洞閉環(huán)管理。NGSOC可以通過多種方式對資產進行信息采集，包括手工錄入、外部資產列表導入、對接資產探查系統自動掃描發(fā)現、通過天擎終端發(fā)現等，通過NGSOC可以直觀的對資產情況進行掌握。

場景三：網絡安全態(tài)勢感知

由于內網環(huán)境中資產類型多、數據種類多、數據量大、對象行為復雜，安全管理者要想既能直觀、實時地掌握全局安全威脅態(tài)勢，又能快速檢閱單一資產的安全狀態(tài)細節(jié)，需要平臺能根據用戶實際的安全運營的需求分不同應用場景對重點資產、重點威脅事件進行可視化呈現。NGSOC可提供六個展示內網態(tài)勢感知的大屏視圖：資產風險態(tài)勢視圖、外部威脅態(tài)勢感知、內網威脅態(tài)勢感知、全網漏洞態(tài)勢、業(yè)務資產主動外連態(tài)勢和安全運營態(tài)勢，分別從不同的安全運營角度對網絡安全態(tài)勢進行呈現。

場景四：威脅事件捕獲

傳統的安全技術對已知的攻擊(已具備特征庫的攻擊)能起到較好的檢測效果，但對于高級持續(xù)性威脅(APT)或者一些復雜的內部違規(guī)行為的判定就無能為力了。針對當前互聯網威脅的這一現狀，NGSOC將威脅的自動檢測方案放到了以下幾個關鍵點：

1. 將傳統安全設備或系統的安全告警作為參考數據，但不作為行為研判的唯一標準。充分利用原始的網絡流量、主機行為日志等數據對原始行為進行記錄和分類;

2. 充分利用威脅情報，從原始的網絡行為和主機行為中去捕獲跟惡意組織相關的各種痕跡;

3. 當發(fā)現可疑行為后，平臺將主動對行為相關的資源對象，如：賬號、攻擊源IP、資產、文件等，在歷史數據中進行多維度回溯分析，同時對關聯對象的將來行為進行持續(xù)跟蹤。

4. 平臺將關聯行為組合在一起后，再對行為鏈進行綜合研判，分析攻擊者的企圖、手段以及受害范圍，再利用EDR進行處置和防御。

場景五：事件調查(線上、線下)

自動的行為鏈檢測可以對數據進行快速分析匯聚，提高分析效率，但對于復雜的場景或者對無明顯惡意特征的行為進行定性分析仍然需要專業(yè)的安全分析人員以及網絡管理人員等的參與。NGSOC的事件調查功能就是專門面向安全分析人員、網絡管理人員的數據調查工具。包含了安全攻防類、行為管理類、內控內審類和網絡故障類。安全分析人員在進行數據調查時需要能快速的對數據進行檢索，找到可疑的內容并進行分類和備注，同時可以對不同的類型的數據進行多種條件的關聯和快速統計，從中發(fā)現潛在的威脅行為。

部署方式

在企業(yè)網絡中NGSOC的部署方式如下圖所示：

NGSOC的主要組件有：分析平臺(軟件)、流量采集器硬件和日志采集探針(軟件)，各個組件均采取旁路部署的模式，部署在安全管理區(qū)組成獨立的安全管理網絡，不會影響用戶業(yè)務網絡和其他網段。其中威脅情報采取云端推送或導入的方式單向傳輸給部署在用戶本地的分析平臺，所以即便在與互聯網隔離的環(huán)境下也能實現威脅情報的及時更新。分析平臺通過對本地采集到的設備日志、流量日志，結合本地的安全分析規(guī)則和云端威脅情報進行場景化建模關聯分析，有效發(fā)現網絡威脅。NGSOC各組件均支持分布式或者集群的擴容方式，滿足不同規(guī)模用戶的高性能分析需求。