隨著網(wǎng)絡(luò)威脅的不斷增加��,企業(yè)網(wǎng)絡(luò)需要建設(shè)穩(wěn)健���、可靠����、可信的網(wǎng)絡(luò)安全環(huán)境��,以應(yīng)對不斷變化的網(wǎng)絡(luò)安全挑戰(zhàn)��,提高企業(yè)的安全韌性�。同時,企業(yè)高層和運維管理人員需要對安全態(tài)勢的不斷監(jiān)控和評估���,并采取相應(yīng)的措施和策略。
網(wǎng)絡(luò)攻防形勢升級驅(qū)動態(tài)勢感知變革
網(wǎng)絡(luò)態(tài)勢感知產(chǎn)品可通過掌握網(wǎng)絡(luò)安全狀態(tài),發(fā)現(xiàn)安全風(fēng)險�,并進行展示、監(jiān)測和預(yù)警���。而面對不斷變化的網(wǎng)絡(luò)形勢����,網(wǎng)絡(luò)態(tài)勢感知還需要滿足快速應(yīng)對網(wǎng)絡(luò)攻擊���、靈活適應(yīng)網(wǎng)絡(luò)環(huán)境�、高效運維網(wǎng)絡(luò)安全建設(shè)等要求���。
1.網(wǎng)絡(luò)態(tài)勢感知需要快速應(yīng)對網(wǎng)絡(luò)攻擊
在網(wǎng)絡(luò)安全威脅不斷演變和進化的情況下��,企業(yè)需要有一套能夠及時掌握網(wǎng)絡(luò)整體安全態(tài)勢的系統(tǒng)���,建立起全面、快速�、準(zhǔn)確的安全事件響應(yīng)機制。這就要求網(wǎng)絡(luò)態(tài)勢感知能夠具備感知���、評估�、預(yù)警、響應(yīng)等環(huán)節(jié)�,從而不斷升級和提高企業(yè)網(wǎng)絡(luò)安全防御的能力。
2.網(wǎng)絡(luò)態(tài)勢感知需要靈活適應(yīng)網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)態(tài)勢感知需要靈活適應(yīng)網(wǎng)絡(luò)環(huán)境的變化��,以確保安全事件能夠在最短時間內(nèi)得到響應(yīng)和處理�����。網(wǎng)絡(luò)環(huán)境是動態(tài)變化的����,包括網(wǎng)絡(luò)拓撲、入網(wǎng)設(shè)備����、網(wǎng)絡(luò)應(yīng)用、流通數(shù)據(jù)等���,網(wǎng)絡(luò)安全態(tài)勢也是時刻變化的����,同時���,不同的行業(yè)屬性環(huán)境其網(wǎng)絡(luò)結(jié)構(gòu)也存在差異���。因此網(wǎng)絡(luò)態(tài)勢感知需要根據(jù)變化的網(wǎng)絡(luò)環(huán)境靈活采集和分析,快速適應(yīng)網(wǎng)絡(luò)環(huán)境的變化����。
3.網(wǎng)絡(luò)態(tài)勢感知需要高效運維網(wǎng)絡(luò)安全
保障企業(yè)網(wǎng)絡(luò)的穩(wěn)健、可靠��、可信����,安全運營人員責(zé)任重大,他們需要兼顧大量的業(yè)務(wù)系統(tǒng)��、網(wǎng)絡(luò)設(shè)備���、安全設(shè)備的運維工作和安全告警處置工作�,必須做到高效運維����,高效處置事件。同時�,也要應(yīng)對未知威脅、潛在威脅����。因此�����,安全運營人員需要一個準(zhǔn)確易用的集中運營管理平臺�����,提高業(yè)務(wù)連續(xù)性���。
威努特態(tài)勢分析與安全運營管理平臺
智能應(yīng)對多變的網(wǎng)絡(luò)風(fēng)險
威努特態(tài)勢分析與安全運營管理平臺(簡稱威努特SASOC)是威努特結(jié)合多年網(wǎng)絡(luò)安全攻防和運維實踐,推出的一款監(jiān)測運維類態(tài)勢感知產(chǎn)品�����。平臺以風(fēng)險管理為中心�,通過大數(shù)據(jù)引擎關(guān)聯(lián)分析資產(chǎn)、威脅���、脆弱性三要素�,為安全運維決策提供建議和幫助���,實現(xiàn)動態(tài)靈活的安全態(tài)勢�,打造一站式安全運營中心,助力企業(yè)提高安全韌性和業(yè)務(wù)連續(xù)性�。
威努特SASOC,是網(wǎng)絡(luò)安全大腦����,也是提供風(fēng)險評估和應(yīng)急響應(yīng)的決策支撐的安全運維工具��。威努特SASOC通過集中管控網(wǎng)絡(luò)安全設(shè)備��、網(wǎng)絡(luò)通訊設(shè)備����,收集多元異構(gòu)的海量日志,利用關(guān)聯(lián)分析���、機器學(xué)習(xí)�、威脅情報等技術(shù)�,為安全運營人員提供事前風(fēng)險排查、事中安全監(jiān)測�����、事后追蹤溯源的一站式安全運營服務(wù)����。
威努特SASOC客戶價值
威努特SASOC產(chǎn)品是一款運維監(jiān)測態(tài)勢感知�����,除了滿足合規(guī)要求��,可以真正幫助客戶高效運維�,提高安全防御能力�����,實現(xiàn)高效安全事件處置���。
資產(chǎn)拓撲可控可視
通過刻畫資產(chǎn)畫像�、訪問關(guān)系�����、策略�����、安全狀態(tài)等信息,將資產(chǎn)可視化表達�,解決入網(wǎng)資產(chǎn)失控,邊界模糊等難題����。
威脅漏洞可視可溯
針對漏洞、威脅��,攻擊�����、違規(guī)行為統(tǒng)計���、分析,通過拓撲�、地圖等可視化展示。同時��,對攻擊路徑解析����,對攻擊鏈溯源,從而為處置風(fēng)險提供依據(jù)���,提高系統(tǒng)韌性��。
減輕海量告警疲勞
對海量單點安全事件進行合并����、去重、范化���、分級�����、關(guān)聯(lián)分析����,大幅降低誤告警數(shù)量����,提高事件處置響應(yīng)處置速度。
多維提升運維效率
提供資產(chǎn)統(tǒng)一管理����、策略統(tǒng)一配置、日志統(tǒng)一收集��、告警統(tǒng)一分析,威脅統(tǒng)一展示等多維度的便捷運維功能�。
滿足安全合規(guī)要求
GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》中要求對企業(yè)的區(qū)域邊界、通信網(wǎng)絡(luò)和計算環(huán)境進行統(tǒng)一管理���,構(gòu)建“一個中心��、三重防護”的安防體系�。
《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》中要求“采用自動化機制對關(guān)鍵業(yè)務(wù)所涉及的信息系統(tǒng)的所有監(jiān)測信息進行整合分析���,以便及時關(guān)聯(lián)��、分析關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢�?!?
威努特SASOC產(chǎn)品特色
豐富的安全知識庫�����,夯實安全分析基礎(chǔ)
系統(tǒng)內(nèi)置多種安全知識庫為更高階的安全事件關(guān)聯(lián)分析提供數(shù)據(jù)基礎(chǔ):
1.內(nèi)置千種工控系統(tǒng)常見漏洞��,通過無損掃描�,在識別資產(chǎn)的同時,自動發(fā)現(xiàn)工控設(shè)備漏洞����,并提供專業(yè)的漏洞修補解決方案�。
2.內(nèi)置威脅情報庫��,覆蓋APT���、惡意軟件�����、惡意域名�、惡意IP���、釣魚網(wǎng)站等多種類型的情報信息�����,高效識別惡意威脅����。
3.內(nèi)置處置建議庫���,根據(jù)實際場景自定義告警處置建議���,方便指導(dǎo)管理員根據(jù)實際情況進行告警處置��。
4.內(nèi)置合規(guī)分析模板庫���,結(jié)合國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),詳細解釋每一條的要求和檢查標(biāo)準(zhǔn)�,方便管理員以此為依據(jù)進行等保合規(guī)排查。
多年網(wǎng)絡(luò)攻防經(jīng)驗�,打造場景化安全態(tài)勢
通過多年積累,場景化關(guān)聯(lián)分析資產(chǎn)上報的漏洞�、威脅、告警等�����,打造更貼合用戶視角的安全態(tài)勢�����。
特別是工業(yè)場景下的工控態(tài)勢�����,工業(yè)環(huán)境在組網(wǎng)部署�����、業(yè)務(wù)模型�、通信協(xié)議、安全策略等方面有別與傳統(tǒng)網(wǎng)絡(luò)環(huán)境����,威努特在工控領(lǐng)域經(jīng)過多年積累,能夠分析工業(yè)環(huán)境的惡意軟件���、異常指令和失陷主機等�,發(fā)現(xiàn)失陷業(yè)務(wù)�,阻斷攻擊下鉆、挖掘潛在的業(yè)務(wù)異常情況����,形成工控態(tài)勢。
智能關(guān)聯(lián)分析引擎��,全面告警降噪
通過智能分析引擎�,實時關(guān)聯(lián)分析,迅速識別安全威脅�。系統(tǒng)內(nèi)置超過100條關(guān)聯(lián)分析規(guī)則,對海量告警和訊息進行去重�����、分組、合并��、繼承�,降低誤報數(shù)據(jù),提高告警可用性���。站在安全視角����,關(guān)聯(lián)分析可分為如下幾類:
1.基于規(guī)則的關(guān)聯(lián)分析:是將可疑的活動場景(暗示某潛在安全攻擊行為的一系列安全事件序列)加以預(yù)先定義����,系統(tǒng)能夠根椐定義的關(guān)聯(lián)性規(guī)則表達式,對收集到的事件進行檢查�����,確定該事件是否和特定的規(guī)則匹配��。系統(tǒng)應(yīng)內(nèi)置規(guī)則庫對安全事件進行分析和監(jiān)控��。
2.基于統(tǒng)計的關(guān)聯(lián)分析:參照國家相關(guān)標(biāo)準(zhǔn)���,定義安全事件類別���,對每個類別的事件設(shè)定一個合理的閥值,將出現(xiàn)的事件先歸類��,然后進行緩存和計數(shù)�����,當(dāng)在某一段時間內(nèi)�����,計數(shù)達到閥值�����,可以產(chǎn)生一個級別更高的安全事件����。
3.基于資產(chǎn)的關(guān)聯(lián)分析,安全事件能夠自動根據(jù)IP地址與資產(chǎn)進行關(guān)聯(lián)�。
4.基于漏洞的關(guān)聯(lián)分析,資產(chǎn)存在漏洞,安全事件利用漏洞����,通過將兩者的漏洞集合關(guān)聯(lián),可以剔除虛假告警��。
多層次資產(chǎn)信息刻畫�����,徹底摸清家底
采用無損探測技術(shù)�����,識別發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)信息��,同時����,匹配內(nèi)置資產(chǎn)指紋庫,包括西門子�、施耐德、羅克韋爾工控設(shè)備指紋�����,傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備和通訊設(shè)備指紋,大大提高資產(chǎn)刻畫效率和準(zhǔn)確度�����。
最終形成多維度資產(chǎn)畫像�����,包括:
基本信息:設(shè)備名稱��、IP��、MAC�����、類型�、操作系統(tǒng)�����、廠商��、區(qū)域等信息�����。
運行狀態(tài):CPU利用率、內(nèi)存利用率�����、硬盤利用率���、網(wǎng)口狀態(tài)和流量信息等�����。
告警信息:資產(chǎn)當(dāng)前相關(guān)的告警列表��。
漏洞信息:資產(chǎn)當(dāng)前相關(guān)的漏洞列表��。
配置信息:資產(chǎn)當(dāng)前的配置信息���,識別不合規(guī)不安全的配置項。
端口服務(wù):資產(chǎn)當(dāng)前開啟的監(jiān)聽端口和服務(wù)信息��,識別高危端口����。
訪問關(guān)系:資產(chǎn)當(dāng)前和網(wǎng)絡(luò)中其他設(shè)備的通訊關(guān)系�����,識別非法連接���。
事件規(guī)律深入挖掘,發(fā)現(xiàn)隱匿威脅
系統(tǒng)內(nèi)置事件挖掘算法��,可根據(jù)事件時間���、屬性、趨勢等發(fā)現(xiàn)隱匿威脅�,預(yù)警網(wǎng)絡(luò)風(fēng)險。
1.關(guān)聯(lián)事件挖掘
系統(tǒng)內(nèi)置事件挖掘算法�����,結(jié)合安全事件的實際發(fā)生場景���,去除噪音�����,從序列數(shù)據(jù)中找出全部頻繁序列模式�����,從而發(fā)現(xiàn)安全事件之間的關(guān)聯(lián)關(guān)系����。
2.時間周期挖掘
系統(tǒng)對時間序列進行傅里葉變換,即時域頻域轉(zhuǎn)換�����,得到時間序列周期估計值��。使用ACF(Auto-Correlation Function)算法計算對應(yīng)周期的ACF自相關(guān)系數(shù)��,取自相關(guān)系數(shù)最大且強相關(guān)的周期估計值����,從而獲得安全事件序列的周期特征,根據(jù)周期性進行預(yù)測和預(yù)判���。
3.事件趨勢預(yù)測
系統(tǒng)采用自回歸移動平均模型ARMA(Auto Regressive Moving Average)進行趨勢預(yù)測�。根據(jù)特征提取后的網(wǎng)絡(luò)流量數(shù)據(jù)進行模型建立過程��,通過數(shù)據(jù)預(yù)處理��、時間序列分解、模式識別�����、ARMA模型訓(xùn)練���、模型評價等過程����,最終輸出訓(xùn)練好的模型��,根據(jù)該模型進行時間序列的趨勢預(yù)測和異常點檢測�����。
一站式安全運維��,全面提升運維效率
作為安全管理的統(tǒng)一入口�����,實現(xiàn)從設(shè)備狀態(tài)監(jiān)控��、安全策略配置和下發(fā)�����、軟件升級和授權(quán)�����、安全事件收集和處置��,支持內(nèi)網(wǎng)多區(qū)域管理及跨地域級聯(lián)管理�,解決多種安全設(shè)備帶來的安全管理分散問題,顯著提升日常安全運維效率�����。
1.設(shè)備狀態(tài)監(jiān)控
實時監(jiān)測系統(tǒng)運行狀態(tài)和安全狀態(tài)���,基于可視化拓撲實時展示設(shè)備信息���、日志信息、告警信息���、運行信息�����。
2.安全策略自學(xué)習(xí)
支持工業(yè)協(xié)議白名單策略自學(xué)習(xí)���,基于網(wǎng)絡(luò)流量自動生成白名單策略��,解決白名單策略配置難題��,同時支持從收集到的安全事件自動提取安全策略����,解決業(yè)務(wù)系統(tǒng)配置變化����,安全策略不能實時調(diào)整難題。
3.行業(yè)策略模板
內(nèi)置電力�����、軌道交通�����、核電等行業(yè)主機安全防護策略模板�,一鍵式批量下發(fā)主機安全防護策略���。
4.設(shè)備級聯(lián)管理
對于大型集團企業(yè)�,往往存在多個大規(guī)模局域網(wǎng),或者跨地域廣域網(wǎng)����,需要部署多臺安全管理平臺,由于地域分散�����,安全管理員不能及時了解下級節(jié)點的安全狀況并調(diào)整安全策略�����,級聯(lián)管理能夠匯總同步下級節(jié)點的策略和安全數(shù)據(jù)�����,同時能夠從上級節(jié)點實現(xiàn)安全策略的配置和下發(fā)���。
