隨著網絡威脅的不斷增加,企業(yè)網絡需要建設穩(wěn)健、可靠、可信的網絡安全環(huán)境�,以應對不斷變化的網絡安全挑戰(zhàn)�����,提高企業(yè)的安全韌性。同時���,企業(yè)高層和運維管理人員需要對安全態(tài)勢的不斷監(jiān)控和評估,并采取相應的措施和策略���。
網絡攻防形勢升級驅動態(tài)勢感知變革
網絡態(tài)勢感知產品可通過掌握網絡安全狀態(tài),發(fā)現安全風險���,并進行展示、監(jiān)測和預警���。而面對不斷變化的網絡形勢�,網絡態(tài)勢感知還需要滿足快速應對網絡攻擊���、靈活適應網絡環(huán)境�、高效運維網絡安全建設等要求。
1.網絡態(tài)勢感知需要快速應對網絡攻擊
在網絡安全威脅不斷演變和進化的情況下�,企業(yè)需要有一套能夠及時掌握網絡整體安全態(tài)勢的系統(tǒng),建立起全面、快速���、準確的安全事件響應機制。這就要求網絡態(tài)勢感知能夠具備感知、評估���、預警�、響應等環(huán)節(jié)�,從而不斷升級和提高企業(yè)網絡安全防御的能力。
2.網絡態(tài)勢感知需要靈活適應網絡環(huán)境
網絡態(tài)勢感知需要靈活適應網絡環(huán)境的變化,以確保安全事件能夠在最短時間內得到響應和處理。網絡環(huán)境是動態(tài)變化的�,包括網絡拓撲���、入網設備�����、網絡應用、流通數據等,網絡安全態(tài)勢也是時刻變化的���,同時,不同的行業(yè)屬性環(huán)境其網絡結構也存在差異。因此網絡態(tài)勢感知需要根據變化的網絡環(huán)境靈活采集和分析�,快速適應網絡環(huán)境的變化���。
3.網絡態(tài)勢感知需要高效運維網絡安全
保障企業(yè)網絡的穩(wěn)健�、可靠���、可信�,安全運營人員責任重大,他們需要兼顧大量的業(yè)務系統(tǒng)、網絡設備、安全設備的運維工作和安全告警處置工作�����,必須做到高效運維���,高效處置事件���。同時�����,也要應對未知威脅���、潛在威脅�。因此�,安全運營人員需要一個準確易用的集中運營管理平臺,提高業(yè)務連續(xù)性���。
威努特態(tài)勢分析與安全運營管理平臺
智能應對多變的網絡風險
威努特態(tài)勢分析與安全運營管理平臺(簡稱威努特SASOC)是威努特結合多年網絡安全攻防和運維實踐,推出的一款監(jiān)測運維類態(tài)勢感知產品。平臺以風險管理為中心���,通過大數據引擎關聯(lián)分析資產、威脅、脆弱性三要素,為安全運維決策提供建議和幫助�,實現動態(tài)靈活的安全態(tài)勢�,打造一站式安全運營中心,助力企業(yè)提高安全韌性和業(yè)務連續(xù)性。
威努特SASOC�����,是網絡安全大腦�����,也是提供風險評估和應急響應的決策支撐的安全運維工具�。威努特SASOC通過集中管控網絡安全設備�、網絡通訊設備,收集多元異構的海量日志�,利用關聯(lián)分析���、機器學習�、威脅情報等技術���,為安全運營人員提供事前風險排查�、事中安全監(jiān)測�����、事后追蹤溯源的一站式安全運營服務�����。
威努特SASOC客戶價值
威努特SASOC產品是一款運維監(jiān)測態(tài)勢感知,除了滿足合規(guī)要求���,可以真正幫助客戶高效運維,提高安全防御能力�����,實現高效安全事件處置���。
資產拓撲可控可視
通過刻畫資產畫像�����、訪問關系�、策略���、安全狀態(tài)等信息���,將資產可視化表達���,解決入網資產失控���,邊界模糊等難題�����。
威脅漏洞可視可溯
針對漏洞、威脅,攻擊�����、違規(guī)行為統(tǒng)計、分析���,通過拓撲、地圖等可視化展示�。同時���,對攻擊路徑解析�����,對攻擊鏈溯源,從而為處置風險提供依據���,提高系統(tǒng)韌性。
減輕海量告警疲勞
對海量單點安全事件進行合并���、去重、范化�����、分級�、關聯(lián)分析,大幅降低誤告警數量,提高事件處置響應處置速度���。
多維提升運維效率
提供資產統(tǒng)一管理���、策略統(tǒng)一配置���、日志統(tǒng)一收集�、告警統(tǒng)一分析,威脅統(tǒng)一展示等多維度的便捷運維功能。
滿足安全合規(guī)要求
GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中要求對企業(yè)的區(qū)域邊界�����、通信網絡和計算環(huán)境進行統(tǒng)一管理�,構建“一個中心、三重防護”的安防體系。
《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》中要求“采用自動化機制對關鍵業(yè)務所涉及的信息系統(tǒng)的所有監(jiān)測信息進行整合分析,以便及時關聯(lián)、分析關鍵信息基礎設施的網絡安全態(tài)勢�����?��!?
威努特SASOC產品特色
豐富的安全知識庫�����,夯實安全分析基礎
系統(tǒng)內置多種安全知識庫為更高階的安全事件關聯(lián)分析提供數據基礎:
1.內置千種工控系統(tǒng)常見漏洞�����,通過無損掃描,在識別資產的同時���,自動發(fā)現工控設備漏洞,并提供專業(yè)的漏洞修補解決方案���。
2.內置威脅情報庫,覆蓋APT�����、惡意軟件���、惡意域名���、惡意IP�����、釣魚網站等多種類型的情報信息,高效識別惡意威脅�。
3.內置處置建議庫���,根據實際場景自定義告警處置建議�,方便指導管理員根據實際情況進行告警處置。
4.內置合規(guī)分析模板庫�����,結合國家標準和行業(yè)標準���,詳細解釋每一條的要求和檢查標準�����,方便管理員以此為依據進行等保合規(guī)排查�����。
多年網絡攻防經驗,打造場景化安全態(tài)勢
通過多年積累,場景化關聯(lián)分析資產上報的漏洞�、威脅�����、告警等�����,打造更貼合用戶視角的安全態(tài)勢���。
特別是工業(yè)場景下的工控態(tài)勢�����,工業(yè)環(huán)境在組網部署、業(yè)務模型�、通信協(xié)議�����、安全策略等方面有別與傳統(tǒng)網絡環(huán)境,威努特在工控領域經過多年積累�,能夠分析工業(yè)環(huán)境的惡意軟件、異常指令和失陷主機等�����,發(fā)現失陷業(yè)務,阻斷攻擊下鉆�����、挖掘潛在的業(yè)務異常情況�����,形成工控態(tài)勢。
智能關聯(lián)分析引擎�����,全面告警降噪
通過智能分析引擎�����,實時關聯(lián)分析,迅速識別安全威脅。系統(tǒng)內置超過100條關聯(lián)分析規(guī)則���,對海量告警和訊息進行去重、分組、合并�、繼承�,降低誤報數據�,提高告警可用性。站在安全視角,關聯(lián)分析可分為如下幾類:
1.基于規(guī)則的關聯(lián)分析:是將可疑的活動場景(暗示某潛在安全攻擊行為的一系列安全事件序列)加以預先定義�����,系統(tǒng)能夠根椐定義的關聯(lián)性規(guī)則表達式�,對收集到的事件進行檢查,確定該事件是否和特定的規(guī)則匹配�����。系統(tǒng)應內置規(guī)則庫對安全事件進行分析和監(jiān)控。
2.基于統(tǒng)計的關聯(lián)分析:參照國家相關標準,定義安全事件類別�,對每個類別的事件設定一個合理的閥值���,將出現的事件先歸類�����,然后進行緩存和計數,當在某一段時間內���,計數達到閥值,可以產生一個級別更高的安全事件�����。
3.基于資產的關聯(lián)分析�,安全事件能夠自動根據IP地址與資產進行關聯(lián)�����。
4.基于漏洞的關聯(lián)分析�,資產存在漏洞�,安全事件利用漏洞,通過將兩者的漏洞集合關聯(lián)�,可以剔除虛假告警�����。
多層次資產信息刻畫,徹底摸清家底
采用無損探測技術�����,識別發(fā)現網絡中的資產信息�,同時,匹配內置資產指紋庫�����,包括西門子�����、施耐德�����、羅克韋爾工控設備指紋,傳統(tǒng)網絡安全設備和通訊設備指紋�����,大大提高資產刻畫效率和準確度�。
最終形成多維度資產畫像���,包括:
基本信息:設備名稱�、IP、MAC���、類型、操作系統(tǒng)�、廠商���、區(qū)域等信息���。
運行狀態(tài):CPU利用率�����、內存利用率、硬盤利用率�����、網口狀態(tài)和流量信息等�。
告警信息:資產當前相關的告警列表�����。
漏洞信息:資產當前相關的漏洞列表。
配置信息:資產當前的配置信息�,識別不合規(guī)不安全的配置項�����。
端口服務:資產當前開啟的監(jiān)聽端口和服務信息�,識別高危端口。
訪問關系:資產當前和網絡中其他設備的通訊關系���,識別非法連接。
事件規(guī)律深入挖掘�����,發(fā)現隱匿威脅
系統(tǒng)內置事件挖掘算法���,可根據事件時間�、屬性、趨勢等發(fā)現隱匿威脅�����,預警網絡風險���。
1.關聯(lián)事件挖掘
系統(tǒng)內置事件挖掘算法�����,結合安全事件的實際發(fā)生場景�,去除噪音�����,從序列數據中找出全部頻繁序列模式�����,從而發(fā)現安全事件之間的關聯(lián)關系���。
2.時間周期挖掘
系統(tǒng)對時間序列進行傅里葉變換�,即時域頻域轉換,得到時間序列周期估計值。使用ACF(Auto-Correlation Function)算法計算對應周期的ACF自相關系數,取自相關系數最大且強相關的周期估計值���,從而獲得安全事件序列的周期特征,根據周期性進行預測和預判�����。
3.事件趨勢預測
系統(tǒng)采用自回歸移動平均模型ARMA(Auto Regressive Moving Average)進行趨勢預測���。根據特征提取后的網絡流量數據進行模型建立過程���,通過數據預處理�����、時間序列分解���、模式識別�、ARMA模型訓練���、模型評價等過程���,最終輸出訓練好的模型���,根據該模型進行時間序列的趨勢預測和異常點檢測�。
一站式安全運維�����,全面提升運維效率
作為安全管理的統(tǒng)一入口���,實現從設備狀態(tài)監(jiān)控�、安全策略配置和下發(fā)、軟件升級和授權�、安全事件收集和處置�,支持內網多區(qū)域管理及跨地域級聯(lián)管理���,解決多種安全設備帶來的安全管理分散問題�,顯著提升日常安全運維效率。
1.設備狀態(tài)監(jiān)控
實時監(jiān)測系統(tǒng)運行狀態(tài)和安全狀態(tài),基于可視化拓撲實時展示設備信息���、日志信息、告警信息、運行信息���。
2.安全策略自學習
支持工業(yè)協(xié)議白名單策略自學習,基于網絡流量自動生成白名單策略,解決白名單策略配置難題,同時支持從收集到的安全事件自動提取安全策略�����,解決業(yè)務系統(tǒng)配置變化���,安全策略不能實時調整難題�����。
3.行業(yè)策略模板
內置電力���、軌道交通�、核電等行業(yè)主機安全防護策略模板�����,一鍵式批量下發(fā)主機安全防護策略。
4.設備級聯(lián)管理
對于大型集團企業(yè)�����,往往存在多個大規(guī)模局域網�,或者跨地域廣域網,需要部署多臺安全管理平臺���,由于地域分散,安全管理員不能及時了解下級節(jié)點的安全狀況并調整安全策略�����,級聯(lián)管理能夠匯總同步下級節(jié)點的策略和安全數據�,同時能夠從上級節(jié)點實現安全策略的配置和下發(fā)。
