奇安信網(wǎng)神態(tài)勢感知與安全運(yùn)營平臺(簡稱NGSOC)以大數(shù)據(jù)平臺為基礎(chǔ),通過收集多元、異構(gòu)的海量日志,利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù),幫助政企客戶持續(xù)監(jiān)測網(wǎng)絡(luò)安全態(tài)勢,實(shí)現(xiàn)從“被動防御”向“積極防御”的進(jìn)階,為安全管理者提供風(fēng)險(xiǎn)評估和應(yīng)急響應(yīng)的決策支撐,為安全運(yùn)營人員提供威脅發(fā)現(xiàn)、調(diào)查分析及響應(yīng)處置的安全運(yùn)營工具,已在400+大型政企單位落地實(shí)踐。
賽迪顧問發(fā)布的《2018-2019年中國網(wǎng)絡(luò)信息安全市場研究年度報(bào)告》顯示,奇安信NGSOC在中國安全管理平臺產(chǎn)品市場占有率達(dá)到23.5%,排名第一。IDC發(fā)布的《中國態(tài)勢感知解決方案市場2019年廠商評估》顯示,奇安信集團(tuán)獲評中國態(tài)勢感知解決方案領(lǐng)導(dǎo)者。數(shù)世咨詢發(fā)布的態(tài)勢感知能力點(diǎn)陣圖顯示,奇安信態(tài)勢感知在技術(shù)創(chuàng)新力和市場執(zhí)行力均處于領(lǐng)導(dǎo)者地位。
1.海量數(shù)據(jù)采集與存儲
支持國內(nèi)外數(shù)十家廠商的上百種常見設(shè)備的自動解析、過濾、富化、內(nèi)容轉(zhuǎn)譯、歸一化,支持通過Syslog、DB、SNMP、Netflow、API接口、鏡像流量、文件等多種采集方式。
2.威脅情報(bào)
基于奇安信在威脅情報(bào)領(lǐng)域獨(dú)有的數(shù)據(jù)優(yōu)勢和技術(shù)優(yōu)勢,將云端大量的情報(bào)經(jīng)過專業(yè)團(tuán)隊(duì)層層篩選后,將最有價(jià)值的失陷情報(bào)源源不斷的推送至NGSOC,并將其應(yīng)用于關(guān)聯(lián)分析、日志匹配等場景。
3.機(jī)器學(xué)習(xí)
機(jī)器生產(chǎn)DGA域名,其廣泛應(yīng)用于勒索軟件、僵尸網(wǎng)絡(luò)、遠(yuǎn)控木馬。通過機(jī)器學(xué)習(xí)中一種基于自動對數(shù)據(jù)進(jìn)行表征學(xué)習(xí)的方法,無需人工提取特征。基于海量的域名樣本。通過有監(jiān)督式特征學(xué)習(xí)和分層特征提取高效算法來發(fā)現(xiàn)惡意域名。在真實(shí)客戶場景中通過DGA檢測域名檢測技術(shù)成功發(fā)現(xiàn)多起APT事件和勒索病毒,準(zhǔn)確率99.94%,檢出率95.24%。
4.威脅建模
搭載分布式流式關(guān)聯(lián)分析引擎Sabre,提供多元異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析、靈活威脅建模、豐富的告警上下文信息展示及分布式橫向擴(kuò)展能力,已獲得數(shù)十個(gè)相關(guān)專利。
5.全流量檢測
通過全流量檢測技術(shù),可還原數(shù)十種網(wǎng)絡(luò)協(xié)議,對失陷主機(jī),網(wǎng)絡(luò)入侵,網(wǎng)絡(luò)病毒,異常流量、DDoS攻擊等進(jìn)行精準(zhǔn)檢測。
6.態(tài)勢感知
NGSOC可提供六個(gè)展示內(nèi)網(wǎng)態(tài)勢感知的大屏視圖:資產(chǎn)風(fēng)險(xiǎn)態(tài)勢視圖、外部威脅態(tài)勢感知、內(nèi)網(wǎng)威脅態(tài)勢感知、全網(wǎng)漏洞態(tài)勢、業(yè)務(wù)資產(chǎn)主動外連態(tài)勢和安全運(yùn)營態(tài)勢,分別從不同的安全運(yùn)營角度對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行呈現(xiàn)。
7.威脅預(yù)警
當(dāng)出現(xiàn)重大網(wǎng)絡(luò)安全事件時(shí),通過下發(fā)威脅預(yù)警包,幫助用戶第一時(shí)間掌握是否遭受到攻擊,失陷的設(shè)備包括哪些,業(yè)務(wù)是否受到影響,網(wǎng)絡(luò)攻擊走向,如何應(yīng)急處置。
8.資產(chǎn)風(fēng)險(xiǎn)管理
通過結(jié)合資產(chǎn)價(jià)值、脆弱性信息、威脅信息,對全網(wǎng)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估,量化風(fēng)險(xiǎn)指標(biāo),幫助用戶更好了解和掌控安全風(fēng)險(xiǎn),為用戶提供有力的決策支撐。
9.持續(xù)監(jiān)測
通過從宏觀到微觀的分析思路,基于平臺強(qiáng)大的PB級數(shù)據(jù)查詢和關(guān)聯(lián)分析能力,采用強(qiáng)大的流式關(guān)聯(lián)分析能力,結(jié)合豐富的內(nèi)置BI組件用于自定義可視化視圖,將威脅以安全人員的處置視角完美呈現(xiàn)在監(jiān)控面板和分析面板之上,有助于分析人員持續(xù)監(jiān)控威脅、發(fā)現(xiàn)線索、下鉆分析,從而極大提升了企業(yè)威脅可視及處置的能力和效率。
10.異常行為分析
將奇安信多年在客戶側(cè)積累的多個(gè)重點(diǎn)場景通過場景化視圖直觀呈現(xiàn)給用戶,針對于企業(yè)客戶經(jīng)常遇到的一些安全場景,平臺進(jìn)行了重點(diǎn)抽象,并且把它做成了一個(gè)內(nèi)置的一個(gè)整體的分析場景,如內(nèi)網(wǎng)安全、安全賬號安全、異地登陸安全等一些常見場景,輔助安全運(yùn)營/分析人員進(jìn)行綜合判斷,提升處置效率。
11.攻擊回溯
在海量的數(shù)據(jù)中進(jìn)行重點(diǎn)的攻擊、重點(diǎn)事件回溯的過程是很常見的場景,奇安信在業(yè)界率先提出了冷熱數(shù)據(jù)的概念,對于最近時(shí)間發(fā)生的高頻查詢數(shù)據(jù)通過熱數(shù)據(jù)模式存儲,整體的數(shù)據(jù)搜索方面會支持百億級的數(shù)據(jù)秒級檢索,具有絕對的業(yè)界領(lǐng)先優(yōu)勢。對于超出這個(gè)時(shí)間范圍的數(shù)據(jù)進(jìn)行冷數(shù)據(jù)存儲。常見的比如一些合規(guī)性要求比較高的客戶,搜索頻率會比較低并且搜索時(shí)間要求也寬松,建設(shè)成本低收益好。
12.調(diào)查取證
調(diào)查分析是由人、數(shù)據(jù)和工具組成的一個(gè)三維的協(xié)同聯(lián)動過程。
人:主要是指本地或遠(yuǎn)程的一些具有攻防知識的專家團(tuán)隊(duì)的支持。
數(shù)據(jù):提供基于公司在多維信譽(yù)、檢測手段和威脅情報(bào)方面的積累。結(jié)合奇安信自出研發(fā)的具有專利技術(shù)的多維度數(shù)據(jù)關(guān)聯(lián)分析引擎。將整個(gè)的威脅事件,通過一個(gè)平鋪和鳥瞰的視角去觀察整個(gè)的威脅現(xiàn)狀、威脅的蔓延情況、威脅的分布情況以及威脅的嚴(yán)重情況等。
工具:基于攻擊鏈、調(diào)查分析系統(tǒng)、威脅歸并分析等豐富的輔助判斷工具來協(xié)助人更深入的、多角度的研判威脅。
13.攻擊鏈分析
根據(jù)攻擊的步驟,平臺根據(jù)洛克希德馬丁的攻擊鏈階段將調(diào)查分析結(jié)果通過時(shí)間和階段兩個(gè)維度進(jìn)行呈現(xiàn),將紛繁復(fù)雜的告警進(jìn)行有效歸納,在偵查跟蹤階段就可以做到預(yù)先防護(hù),在載荷投遞階段就可以重點(diǎn)防護(hù),在通訊控制階段就可以快速響應(yīng),從而在運(yùn)維時(shí)間和運(yùn)維效率方面達(dá)到一個(gè)最佳的平衡。
14.響應(yīng)處置
處置響應(yīng)該是一個(gè)閉環(huán),從威脅發(fā)現(xiàn)、威脅分析、威脅處置到威脅持續(xù)監(jiān)控的過程,就是一個(gè)運(yùn)營的過程。在處置響應(yīng)方面采用了獨(dú)特的事件+動作+指令的設(shè)計(jì),將安全事件主題、動作和處置指令和三類有機(jī)通過平臺結(jié)合起來。
先進(jìn)的大數(shù)據(jù)架構(gòu)
NGSOC是建立大數(shù)據(jù)技術(shù)架構(gòu)之上,運(yùn)用Hadoop、Spark、ElasticSearch等先進(jìn)大數(shù)據(jù)組件,成功解決海量數(shù)據(jù)的采集、存儲和計(jì)算的難題。NGSOC分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志,并同時(shí)提供應(yīng)用交互界面。分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對所有數(shù)據(jù)進(jìn)行處理,可通過多臺設(shè)備建立集群以保證存儲空間和計(jì)算能力的供應(yīng)。傳統(tǒng)數(shù)據(jù)庫只能處理億級數(shù)據(jù)且查詢速度在分鐘級,NGSOC可以處理千億級數(shù)據(jù),采集速度達(dá)10W eps,秒級查詢,大大提升安全分析和響應(yīng)的速度和效率。
強(qiáng)大的威脅檢測能力
搭載分布式關(guān)聯(lián)分析引擎Sabre, 內(nèi)置200+關(guān)聯(lián)分析規(guī)則, 100+語義支撐,可視化配置展現(xiàn)。基于機(jī)器學(xué)習(xí)的DGA檢測技術(shù),檢測準(zhǔn)確率達(dá)99.94%。通過全流量檢測技術(shù),可還原數(shù)十種網(wǎng)絡(luò)協(xié)議,對失陷主機(jī),網(wǎng)絡(luò)入侵,網(wǎng)絡(luò)病毒,異常流量、DDoS攻擊等進(jìn)行精準(zhǔn)檢測。
完善的安全運(yùn)營閉環(huán)
NGSOC在強(qiáng)有力的基礎(chǔ)大數(shù)據(jù)架構(gòu)的支撐和分布式流式引擎Sabre強(qiáng)勁檢測能力的輔助下,建立起了一套完善的威脅處置與響應(yīng)流程的支撐體系。可通過平臺對資產(chǎn)、漏洞等基礎(chǔ)屬性和告警、風(fēng)險(xiǎn)等安全屬性的全生命周期管理,功能涵蓋從威脅發(fā)現(xiàn)、展示、歸納到處置響應(yīng)聯(lián)動的閉環(huán)能力。
專業(yè)的安全運(yùn)營服務(wù)
奇安信集團(tuán)具有專職產(chǎn)品運(yùn)營服務(wù)團(tuán)隊(duì),可提供原廠一線駐場、二線分析、運(yùn)營方案咨詢及培訓(xùn)服務(wù),幫助客戶解決無人運(yùn)營困難。
在企業(yè)網(wǎng)絡(luò)中NGSOC的部署方式如下圖所示:
NGSOC產(chǎn)品自2016年發(fā)布以來,受到眾多政企客戶認(rèn)可。賽迪顧問報(bào)告顯示,NGSOC產(chǎn)品在中國安全管理平臺市場占有率NO.1。IDC報(bào)告顯示,奇安信為中國態(tài)勢感知市場領(lǐng)導(dǎo)者。此外,NGSOC還收獲多個(gè)機(jī)構(gòu)頒發(fā)的重要榮譽(yù)。
1. 2020年3月19日,數(shù)字安全領(lǐng)域第三方調(diào)研機(jī)構(gòu)數(shù)世咨詢發(fā)布《網(wǎng)絡(luò)安全態(tài)勢感知能力指南》,報(bào)告在業(yè)界首次提出能力點(diǎn)陣的概念,從技術(shù)創(chuàng)新力與市場執(zhí)行力兩大維度,對國內(nèi)主流態(tài)勢感知提供商進(jìn)行了側(cè)寫。奇安信在技術(shù)創(chuàng)新力和市場執(zhí)行力均位于行業(yè)領(lǐng)導(dǎo)者地位。
2. 2019年,賽迪顧問發(fā)布了《2018-2019年中國網(wǎng)絡(luò)信息安全市場研究年度報(bào)告》。報(bào)告顯示,奇安信NGSOC在中國安全管理平臺產(chǎn)品市場占有率達(dá)到23.5%,排名第一。
