文 | 本刊記者 姜紅德
DT時(shí)代:安全的協(xié)同化
文 | 本刊記者 姜紅德
企業(yè)IT運(yùn)維人員經(jīng)常會(huì)遇到這樣一些熟悉的場(chǎng)景,傳統(tǒng)的SOC(安全管理中心)不明原由的告警,讓人疲于奔命。本來(lái)應(yīng)該發(fā)揮協(xié)調(diào)指揮作用的中心樞紐,因?yàn)闆](méi)有實(shí)現(xiàn)智能化,與其他系統(tǒng)難以協(xié)同而導(dǎo)致了頻繁誤報(bào),讓很多IT部門無(wú)所適從,安全產(chǎn)品的協(xié)同化呼聲由此在業(yè)內(nèi)越來(lái)越高。
9月14日,360企業(yè)安全集團(tuán)的態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)(NGSOC)在多家銀行、政府、企業(yè)客戶的見(jiàn)證下發(fā)布。360網(wǎng)神董事長(zhǎng)兼CEO齊向東介紹,NGSOC是一款以大數(shù)據(jù)安全分析能力為基礎(chǔ)、以威脅情報(bào)為驅(qū)動(dòng)的新一代產(chǎn)品。它將會(huì)成為新的安全智慧的核心,給企業(yè)與機(jī)構(gòu)的安全管理運(yùn)營(yíng)提供了新的“大腦”與智慧協(xié)同的平臺(tái)。
現(xiàn)代戰(zhàn)爭(zhēng)需要協(xié)同陸、海、空各個(gè)兵種聯(lián)合的力量才能有機(jī)會(huì)取得勝利,我們已經(jīng)看不到依靠單一兵種能夠取得戰(zhàn)爭(zhēng)勝利的例子。網(wǎng)絡(luò)攻擊如今就像置身于現(xiàn)代戰(zhàn)爭(zhēng)一樣,不能只依靠終端或者防火墻等單一產(chǎn)品來(lái)防范和發(fā)現(xiàn)各類威脅和攻擊了。
齊向東表示,傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)無(wú)法應(yīng)對(duì)日益頻繁的,新的和更高級(jí)的網(wǎng)絡(luò)攻擊。在提出了數(shù)據(jù)驅(qū)動(dòng)安全理念后,360在今年互聯(lián)網(wǎng)安全大會(huì)上又提出了協(xié)同聯(lián)動(dòng)的安全理念。希望能夠?qū)崿F(xiàn)不同的安全設(shè)備之間的協(xié)同聯(lián)動(dòng),來(lái)提升應(yīng)對(duì)網(wǎng)絡(luò)威脅的防護(hù)能力。
為了構(gòu)建這樣一個(gè)協(xié)同安全產(chǎn)品,360在2016年先后發(fā)布了新一代的威脅感知系統(tǒng)(360天眼)、新一代的終端安全系統(tǒng)(360天擎)、新一代智慧防火墻(360天堤)?,F(xiàn)在只缺一個(gè)情報(bào)樞紐,將數(shù)據(jù)進(jìn)行匯總分析協(xié)同響應(yīng),貫穿監(jiān)測(cè)與防護(hù)整個(gè)體系,來(lái)達(dá)到智慧安全的協(xié)同,這就是今天發(fā)布的360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái),也叫NGSOC。
根據(jù)Gartner發(fā)布的2016年安全信息與事件管理(SIEM)市場(chǎng)分析報(bào)告顯示,在產(chǎn)品功能方面,國(guó)際SIEM廠商都在加入威脅情報(bào)、異常檢測(cè)、行為監(jiān)測(cè)、用戶行為分析功能。領(lǐng)先的SIEM廠商則在將其產(chǎn)品與大數(shù)據(jù)平臺(tái)進(jìn)行整合。這說(shuō)明結(jié)合大數(shù)據(jù)分析平臺(tái)和威脅情報(bào)支持將是SOC產(chǎn)品的未來(lái)方向。
齊向東介紹, NGSOC自身具有很多的優(yōu)勢(shì)。首先,360創(chuàng)新性地將互聯(lián)網(wǎng)大數(shù)據(jù)分析平臺(tái)用在NGSOC中,能夠?qū)崿F(xiàn)海量數(shù)據(jù)的存儲(chǔ)、實(shí)時(shí)挖掘和分析。對(duì)海量日志進(jìn)行數(shù)據(jù)分析,是確保360態(tài)勢(shì)感知和安全運(yùn)營(yíng)平臺(tái)有異常行為發(fā)現(xiàn)的能力,使得平臺(tái)可以更加準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊,并及時(shí)響應(yīng)和處置。這也是國(guó)內(nèi)第一個(gè)把實(shí)時(shí)的挖掘分析、告警、響應(yīng)和處置聯(lián)動(dòng)起來(lái)的一套系統(tǒng)。
其次,態(tài)勢(shì)感知和安全運(yùn)營(yíng)可視化分析技術(shù),可以將企業(yè)內(nèi)外部安全態(tài)勢(shì)進(jìn)行直觀的呈現(xiàn)。在一個(gè)平臺(tái)上既可以感知到企業(yè)外網(wǎng)即外部世界的安全態(tài)勢(shì),同時(shí)又能夠可視化直觀地展示企業(yè)內(nèi)部即現(xiàn)在所面臨的安全態(tài)勢(shì),NGSOC都能快速定位和處置并拓展分析,從而可以保障企業(yè)業(yè)務(wù)系統(tǒng)的順利進(jìn)行。
同時(shí),360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)對(duì)傳統(tǒng)SOC的革新與豐富,基本上是符合、甚至是引領(lǐng)業(yè)界方向的。
作為一家從互聯(lián)網(wǎng)起家的安全公司,360一直具有濃厚的互聯(lián)網(wǎng)基因。360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)也是360核心優(yōu)勢(shì)技術(shù)集中的一個(gè)產(chǎn)品,除了大數(shù)據(jù)分析等技術(shù)之外,另外一個(gè)就是可視化技術(shù)。據(jù)了解,360在三年之前就開(kāi)始接觸可視化技術(shù),并參加了當(dāng)時(shí)全球最大的一個(gè)競(jìng)賽項(xiàng)目,競(jìng)賽的目的就是將真實(shí)的數(shù)據(jù)拿過(guò)來(lái)進(jìn)行可視化分析,看看它到底能給安全帶來(lái)哪些幫助和作用。
360企業(yè)安全集團(tuán)總裁吳云坤表示,“可視化分析的作用是這樣,數(shù)據(jù)評(píng)比有時(shí)候是雜亂無(wú)章的,通過(guò)不同的眼睛和視覺(jué),呈現(xiàn)出來(lái)的所謂的異常,包括一些規(guī)律性的東西,通過(guò)可視化可以讓人通過(guò)肉眼的方式找到?!?可視化分析技術(shù)將企業(yè)內(nèi)外部安全態(tài)勢(shì)進(jìn)行直觀的呈現(xiàn),使得企業(yè)的管理者能夠?qū)崟r(shí)掌握企業(yè)內(nèi)的安全狀況,甚至對(duì)行業(yè)、地域的安全態(tài)勢(shì)進(jìn)行對(duì)比;而對(duì)于安全運(yùn)維人員,以資產(chǎn)和人為視角出發(fā)的安全管理,豐富的安全運(yùn)維與服務(wù)工具,也會(huì)幫助提升日常的安全管理運(yùn)維效率。
目前可視化技術(shù)已經(jīng)在國(guó)內(nèi)很多行業(yè)進(jìn)行了應(yīng)用,一些高校和競(jìng)賽中也開(kāi)始對(duì)此進(jìn)行研究和實(shí)踐。通過(guò)可視化技術(shù)(不僅僅是數(shù)據(jù),還有圖片等等信息),還可以實(shí)現(xiàn)溯源分析,甚至在一些特殊機(jī)構(gòu)中可以進(jìn)行間諜行為分析。
“可視化技術(shù)和大數(shù)據(jù)分析是緊密關(guān)聯(lián)的,也是研究數(shù)據(jù)的一種方法”。360企業(yè)安全集團(tuán)副總裁韓永剛表示,“通過(guò)數(shù)據(jù)加圖片的方式,可以了解更多的信息。比如一個(gè)人在酒吧晚上12點(diǎn)沒(méi)有動(dòng),早上6點(diǎn)出去了,這個(gè)人估計(jì)是喝醉了。當(dāng)用圖像表現(xiàn)的時(shí)候可以顯示出其中意義,如果只有表格的話你可能根本不知道是什么意思。只有通過(guò)可視化的方式描述出來(lái),才能知道背后發(fā)生的事情?!?/p>
據(jù)介紹,360態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)基于很多類型調(diào)查對(duì)象,不管是人、設(shè)備,還是郵箱、文件、域名,可以提供更多便利調(diào)查工具,例如搜索引擎、可視化關(guān)聯(lián)分析的引擎、統(tǒng)計(jì)分析引擎,圖計(jì)算引擎等,給安全服務(wù)和安全運(yùn)維人員提供更多的工具。無(wú)論是對(duì)于安全事件的定位、處置和分析,還是對(duì)日常安全運(yùn)維管理效率提升,或?qū)τ诠芾韺影踩芾砗蜎Q策,可以實(shí)現(xiàn)更高效率的運(yùn)轉(zhuǎn)過(guò)程。
總體來(lái)看,360 NGSOC基于大數(shù)據(jù)安全分析、威脅情報(bào)驅(qū)動(dòng),并達(dá)到智慧協(xié)同的方式,最終基于數(shù)據(jù)驅(qū)動(dòng),實(shí)現(xiàn)對(duì)安全事件的及時(shí)發(fā)現(xiàn)、快速響應(yīng)、調(diào)查分析,形成新的發(fā)現(xiàn)、響應(yīng)和防御的體系。安全+大數(shù)據(jù)方式的NGSOC利用互聯(lián)網(wǎng)安全改造傳統(tǒng)安全產(chǎn)業(yè),就像是給傳統(tǒng)安全增加了眼睛和大腦。