DT時(shí)代:安全的協(xié)同化

文 | 本刊記者 姜紅德

DT時(shí)代:安全的協(xié)同化

文 | 本刊記者 姜紅德

企業(yè)IT運(yùn)維人員經(jīng)常會(huì)遇到這樣一些熟悉的場(chǎng)景，傳統(tǒng)的SOC（安全管理中心）不明原由的告警，讓人疲于奔命。本來(lái)應(yīng)該發(fā)揮協(xié)調(diào)指揮作用的中心樞紐，因?yàn)闆](méi)有實(shí)現(xiàn)智能化，與其他系統(tǒng)難以協(xié)同而導(dǎo)致了頻繁誤報(bào)，讓很多IT部門無(wú)所適從，安全產(chǎn)品的協(xié)同化呼聲由此在業(yè)內(nèi)越來(lái)越高。

9月14日，360企業(yè)安全集團(tuán)的態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)（NGSOC）在多家銀行、政府、企業(yè)客戶的見(jiàn)證下發(fā)布。360網(wǎng)神董事長(zhǎng)兼CEO齊向東介紹，NGSOC是一款以大數(shù)據(jù)安全分析能力為基礎(chǔ)、以威脅情報(bào)為驅(qū)動(dòng)的新一代產(chǎn)品。它將會(huì)成為新的安全智慧的核心，給企業(yè)與機(jī)構(gòu)的安全管理運(yùn)營(yíng)提供了新的“大腦”與智慧協(xié)同的平臺(tái)。

大數(shù)據(jù)加速安全產(chǎn)品協(xié)同化

現(xiàn)代戰(zhàn)爭(zhēng)需要協(xié)同陸、海、空各個(gè)兵種聯(lián)合的力量才能有機(jī)會(huì)取得勝利，我們已經(jīng)看不到依靠單一兵種能夠取得戰(zhàn)爭(zhēng)勝利的例子。網(wǎng)絡(luò)攻擊如今就像置身于現(xiàn)代戰(zhàn)爭(zhēng)一樣，不能只依靠終端或者防火墻等單一產(chǎn)品來(lái)防范和發(fā)現(xiàn)各類威脅和攻擊了。

齊向東表示，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)無(wú)法應(yīng)對(duì)日益頻繁的，新的和更高級(jí)的網(wǎng)絡(luò)攻擊。在提出了數(shù)據(jù)驅(qū)動(dòng)安全理念后，360在今年互聯(lián)網(wǎng)安全大會(huì)上又提出了協(xié)同聯(lián)動(dòng)的安全理念。希望能夠?qū)崿F(xiàn)不同的安全設(shè)備之間的協(xié)同聯(lián)動(dòng)，來(lái)提升應(yīng)對(duì)網(wǎng)絡(luò)威脅的防護(hù)能力。

為了構(gòu)建這樣一個(gè)協(xié)同安全產(chǎn)品，360在2016年先后發(fā)布了新一代的威脅感知系統(tǒng)（360天眼）、新一代的終端安全系統(tǒng)（360天擎）、新一代智慧防火墻（360天堤）?，F(xiàn)在只缺一個(gè)情報(bào)樞紐，將數(shù)據(jù)進(jìn)行匯總分析協(xié)同響應(yīng)，貫穿監(jiān)測(cè)與防護(hù)整個(gè)體系，來(lái)達(dá)到智慧安全的協(xié)同，這就是今天發(fā)布的360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)，也叫NGSOC。

根據(jù)Gartner發(fā)布的2016年安全信息與事件管理(SIEM)市場(chǎng)分析報(bào)告顯示，在產(chǎn)品功能方面，國(guó)際SIEM廠商都在加入威脅情報(bào)、異常檢測(cè)、行為監(jiān)測(cè)、用戶行為分析功能。領(lǐng)先的SIEM廠商則在將其產(chǎn)品與大數(shù)據(jù)平臺(tái)進(jìn)行整合。這說(shuō)明結(jié)合大數(shù)據(jù)分析平臺(tái)和威脅情報(bào)支持將是SOC產(chǎn)品的未來(lái)方向。

齊向東介紹， NGSOC自身具有很多的優(yōu)勢(shì)。首先，360創(chuàng)新性地將互聯(lián)網(wǎng)大數(shù)據(jù)分析平臺(tái)用在NGSOC中，能夠?qū)崿F(xiàn)海量數(shù)據(jù)的存儲(chǔ)、實(shí)時(shí)挖掘和分析。對(duì)海量日志進(jìn)行數(shù)據(jù)分析，是確保360態(tài)勢(shì)感知和安全運(yùn)營(yíng)平臺(tái)有異常行為發(fā)現(xiàn)的能力，使得平臺(tái)可以更加準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊，并及時(shí)響應(yīng)和處置。這也是國(guó)內(nèi)第一個(gè)把實(shí)時(shí)的挖掘分析、告警、響應(yīng)和處置聯(lián)動(dòng)起來(lái)的一套系統(tǒng)。

其次，態(tài)勢(shì)感知和安全運(yùn)營(yíng)可視化分析技術(shù)，可以將企業(yè)內(nèi)外部安全態(tài)勢(shì)進(jìn)行直觀的呈現(xiàn)。在一個(gè)平臺(tái)上既可以感知到企業(yè)外網(wǎng)即外部世界的安全態(tài)勢(shì)，同時(shí)又能夠可視化直觀地展示企業(yè)內(nèi)部即現(xiàn)在所面臨的安全態(tài)勢(shì)，NGSOC都能快速定位和處置并拓展分析，從而可以保障企業(yè)業(yè)務(wù)系統(tǒng)的順利進(jìn)行。

同時(shí)，360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)對(duì)傳統(tǒng)SOC的革新與豐富，基本上是符合、甚至是引領(lǐng)業(yè)界方向的。

智能、可視化的平臺(tái)

作為一家從互聯(lián)網(wǎng)起家的安全公司，360一直具有濃厚的互聯(lián)網(wǎng)基因。360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)也是360核心優(yōu)勢(shì)技術(shù)集中的一個(gè)產(chǎn)品，除了大數(shù)據(jù)分析等技術(shù)之外，另外一個(gè)就是可視化技術(shù)。據(jù)了解，360在三年之前就開(kāi)始接觸可視化技術(shù)，并參加了當(dāng)時(shí)全球最大的一個(gè)競(jìng)賽項(xiàng)目，競(jìng)賽的目的就是將真實(shí)的數(shù)據(jù)拿過(guò)來(lái)進(jìn)行可視化分析，看看它到底能給安全帶來(lái)哪些幫助和作用。

360企業(yè)安全集團(tuán)總裁吳云坤表示，“可視化分析的作用是這樣，數(shù)據(jù)評(píng)比有時(shí)候是雜亂無(wú)章的，通過(guò)不同的眼睛和視覺(jué)，呈現(xiàn)出來(lái)的所謂的異常，包括一些規(guī)律性的東西，通過(guò)可視化可以讓人通過(guò)肉眼的方式找到?！?可視化分析技術(shù)將企業(yè)內(nèi)外部安全態(tài)勢(shì)進(jìn)行直觀的呈現(xiàn)，使得企業(yè)的管理者能夠?qū)崟r(shí)掌握企業(yè)內(nèi)的安全狀況，甚至對(duì)行業(yè)、地域的安全態(tài)勢(shì)進(jìn)行對(duì)比;而對(duì)于安全運(yùn)維人員，以資產(chǎn)和人為視角出發(fā)的安全管理，豐富的安全運(yùn)維與服務(wù)工具，也會(huì)幫助提升日常的安全管理運(yùn)維效率。

目前可視化技術(shù)已經(jīng)在國(guó)內(nèi)很多行業(yè)進(jìn)行了應(yīng)用，一些高校和競(jìng)賽中也開(kāi)始對(duì)此進(jìn)行研究和實(shí)踐。通過(guò)可視化技術(shù)（不僅僅是數(shù)據(jù)，還有圖片等等信息），還可以實(shí)現(xiàn)溯源分析，甚至在一些特殊機(jī)構(gòu)中可以進(jìn)行間諜行為分析。

“可視化技術(shù)和大數(shù)據(jù)分析是緊密關(guān)聯(lián)的，也是研究數(shù)據(jù)的一種方法”。360企業(yè)安全集團(tuán)副總裁韓永剛表示，“通過(guò)數(shù)據(jù)加圖片的方式，可以了解更多的信息。比如一個(gè)人在酒吧晚上12點(diǎn)沒(méi)有動(dòng)，早上6點(diǎn)出去了，這個(gè)人估計(jì)是喝醉了。當(dāng)用圖像表現(xiàn)的時(shí)候可以顯示出其中意義，如果只有表格的話你可能根本不知道是什么意思。只有通過(guò)可視化的方式描述出來(lái)，才能知道背后發(fā)生的事情?！?/p>

據(jù)介紹，360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)基于很多類型調(diào)查對(duì)象，不管是人、設(shè)備，還是郵箱、文件、域名，可以提供更多便利調(diào)查工具，例如搜索引擎、可視化關(guān)聯(lián)分析的引擎、統(tǒng)計(jì)分析引擎，圖計(jì)算引擎等，給安全服務(wù)和安全運(yùn)維人員提供更多的工具。無(wú)論是對(duì)于安全事件的定位、處置和分析，還是對(duì)日常安全運(yùn)維管理效率提升，或?qū)τ诠芾韺影踩芾砗蜎Q策，可以實(shí)現(xiàn)更高效率的運(yùn)轉(zhuǎn)過(guò)程。

總體來(lái)看，360 NGSOC基于大數(shù)據(jù)安全分析、威脅情報(bào)驅(qū)動(dòng)，并達(dá)到智慧協(xié)同的方式，最終基于數(shù)據(jù)驅(qū)動(dòng)，實(shí)現(xiàn)對(duì)安全事件的及時(shí)發(fā)現(xiàn)、快速響應(yīng)、調(diào)查分析，形成新的發(fā)現(xiàn)、響應(yīng)和防御的體系。安全+大數(shù)據(jù)方式的NGSOC利用互聯(lián)網(wǎng)安全改造傳統(tǒng)安全產(chǎn)業(yè)，就像是給傳統(tǒng)安全增加了眼睛和大腦。