隨著網(wǎng)絡(luò)威脅的不斷增加,企業(yè)網(wǎng)絡(luò)需要建設(shè)穩(wěn)健、可靠、可信的網(wǎng)絡(luò)安全環(huán)境,以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全挑戰(zhàn),提高企業(yè)的安全韌性。同時(shí),企業(yè)高層和運(yùn)維管理人員需要對(duì)安全態(tài)勢(shì)的不斷監(jiān)控和評(píng)估,并采取相應(yīng)的措施和策略。
網(wǎng)絡(luò)攻防形勢(shì)升級(jí)驅(qū)動(dòng)態(tài)勢(shì)感知變革
網(wǎng)絡(luò)態(tài)勢(shì)感知產(chǎn)品可通過掌握網(wǎng)絡(luò)安全狀態(tài),發(fā)現(xiàn)安全風(fēng)險(xiǎn),并進(jìn)行展示、監(jiān)測(cè)和預(yù)警。而面對(duì)不斷變化的網(wǎng)絡(luò)形勢(shì),網(wǎng)絡(luò)態(tài)勢(shì)感知還需要滿足快速應(yīng)對(duì)網(wǎng)絡(luò)攻擊、靈活適應(yīng)網(wǎng)絡(luò)環(huán)境、高效運(yùn)維網(wǎng)絡(luò)安全建設(shè)等要求。
1.網(wǎng)絡(luò)態(tài)勢(shì)感知需要快速應(yīng)對(duì)網(wǎng)絡(luò)攻擊
在網(wǎng)絡(luò)安全威脅不斷演變和進(jìn)化的情況下,企業(yè)需要有一套能夠及時(shí)掌握網(wǎng)絡(luò)整體安全態(tài)勢(shì)的系統(tǒng),建立起全面、快速、準(zhǔn)確的安全事件響應(yīng)機(jī)制。這就要求網(wǎng)絡(luò)態(tài)勢(shì)感知能夠具備感知、評(píng)估、預(yù)警、響應(yīng)等環(huán)節(jié),從而不斷升級(jí)和提高企業(yè)網(wǎng)絡(luò)安全防御的能力。
2.網(wǎng)絡(luò)態(tài)勢(shì)感知需要靈活適應(yīng)網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)態(tài)勢(shì)感知需要靈活適應(yīng)網(wǎng)絡(luò)環(huán)境的變化,以確保安全事件能夠在最短時(shí)間內(nèi)得到響應(yīng)和處理。網(wǎng)絡(luò)環(huán)境是動(dòng)態(tài)變化的,包括網(wǎng)絡(luò)拓?fù)洹⑷刖W(wǎng)設(shè)備、網(wǎng)絡(luò)應(yīng)用、流通數(shù)據(jù)等,網(wǎng)絡(luò)安全態(tài)勢(shì)也是時(shí)刻變化的,同時(shí),不同的行業(yè)屬性環(huán)境其網(wǎng)絡(luò)結(jié)構(gòu)也存在差異。因此網(wǎng)絡(luò)態(tài)勢(shì)感知需要根據(jù)變化的網(wǎng)絡(luò)環(huán)境靈活采集和分析,快速適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。
3.網(wǎng)絡(luò)態(tài)勢(shì)感知需要高效運(yùn)維網(wǎng)絡(luò)安全
保障企業(yè)網(wǎng)絡(luò)的穩(wěn)健、可靠、可信,安全運(yùn)營(yíng)人員責(zé)任重大,他們需要兼顧大量的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運(yùn)維工作和安全告警處置工作,必須做到高效運(yùn)維,高效處置事件。同時(shí),也要應(yīng)對(duì)未知威脅、潛在威脅。因此,安全運(yùn)營(yíng)人員需要一個(gè)準(zhǔn)確易用的集中運(yùn)營(yíng)管理平臺(tái),提高業(yè)務(wù)連續(xù)性。
威努特態(tài)勢(shì)分析與安全運(yùn)營(yíng)管理平臺(tái)
智能應(yīng)對(duì)多變的網(wǎng)絡(luò)風(fēng)險(xiǎn)
威努特態(tài)勢(shì)分析與安全運(yùn)營(yíng)管理平臺(tái)(簡(jiǎn)稱威努特SASOC)是威努特結(jié)合多年網(wǎng)絡(luò)安全攻防和運(yùn)維實(shí)踐,推出的一款監(jiān)測(cè)運(yùn)維類態(tài)勢(shì)感知產(chǎn)品。平臺(tái)以風(fēng)險(xiǎn)管理為中心,通過大數(shù)據(jù)引擎關(guān)聯(lián)分析資產(chǎn)、威脅、脆弱性三要素,為安全運(yùn)維決策提供建議和幫助,實(shí)現(xiàn)動(dòng)態(tài)靈活的安全態(tài)勢(shì),打造一站式安全運(yùn)營(yíng)中心,助力企業(yè)提高安全韌性和業(yè)務(wù)連續(xù)性。
威努特SASOC,是網(wǎng)絡(luò)安全大腦,也是提供風(fēng)險(xiǎn)評(píng)估和應(yīng)急響應(yīng)的決策支撐的安全運(yùn)維工具。威努特SASOC通過集中管控網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)通訊設(shè)備,收集多元異構(gòu)的海量日志,利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù),為安全運(yùn)營(yíng)人員提供事前風(fēng)險(xiǎn)排查、事中安全監(jiān)測(cè)、事后追蹤溯源的一站式安全運(yùn)營(yíng)服務(wù)。
威努特SASOC客戶價(jià)值
威努特SASOC產(chǎn)品是一款運(yùn)維監(jiān)測(cè)態(tài)勢(shì)感知,除了滿足合規(guī)要求,可以真正幫助客戶高效運(yùn)維,提高安全防御能力,實(shí)現(xiàn)高效安全事件處置。
資產(chǎn)拓?fù)淇煽乜梢?
通過刻畫資產(chǎn)畫像、訪問關(guān)系、策略、安全狀態(tài)等信息,將資產(chǎn)可視化表達(dá),解決入網(wǎng)資產(chǎn)失控,邊界模糊等難題。
威脅漏洞可視可溯
針對(duì)漏洞、威脅,攻擊、違規(guī)行為統(tǒng)計(jì)、分析,通過拓?fù)洹⒌貓D等可視化展示。同時(shí),對(duì)攻擊路徑解析,對(duì)攻擊鏈溯源,從而為處置風(fēng)險(xiǎn)提供依據(jù),提高系統(tǒng)韌性。
減輕海量告警疲勞
對(duì)海量單點(diǎn)安全事件進(jìn)行合并、去重、范化、分級(jí)、關(guān)聯(lián)分析,大幅降低誤告警數(shù)量,提高事件處置響應(yīng)處置速度。
多維提升運(yùn)維效率
提供資產(chǎn)統(tǒng)一管理、策略統(tǒng)一配置、日志統(tǒng)一收集、告警統(tǒng)一分析,威脅統(tǒng)一展示等多維度的便捷運(yùn)維功能。
滿足安全合規(guī)要求
GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中要求對(duì)企業(yè)的區(qū)域邊界、通信網(wǎng)絡(luò)和計(jì)算環(huán)境進(jìn)行統(tǒng)一管理,構(gòu)建“一個(gè)中心、三重防護(hù)”的安防體系。
《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》中要求“采用自動(dòng)化機(jī)制對(duì)關(guān)鍵業(yè)務(wù)所涉及的信息系統(tǒng)的所有監(jiān)測(cè)信息進(jìn)行整合分析,以便及時(shí)關(guān)聯(lián)、分析關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢(shì)。”
威努特SASOC產(chǎn)品特色
豐富的安全知識(shí)庫(kù),夯實(shí)安全分析基礎(chǔ)
系統(tǒng)內(nèi)置多種安全知識(shí)庫(kù)為更高階的安全事件關(guān)聯(lián)分析提供數(shù)據(jù)基礎(chǔ):
1.內(nèi)置千種工控系統(tǒng)常見漏洞,通過無損掃描,在識(shí)別資產(chǎn)的同時(shí),自動(dòng)發(fā)現(xiàn)工控設(shè)備漏洞,并提供專業(yè)的漏洞修補(bǔ)解決方案。
2.內(nèi)置威脅情報(bào)庫(kù),覆蓋APT、惡意軟件、惡意域名、惡意IP、釣魚網(wǎng)站等多種類型的情報(bào)信息,高效識(shí)別惡意威脅。
3.內(nèi)置處置建議庫(kù),根據(jù)實(shí)際場(chǎng)景自定義告警處置建議,方便指導(dǎo)管理員根據(jù)實(shí)際情況進(jìn)行告警處置。
4.內(nèi)置合規(guī)分析模板庫(kù),結(jié)合國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),詳細(xì)解釋每一條的要求和檢查標(biāo)準(zhǔn),方便管理員以此為依據(jù)進(jìn)行等保合規(guī)排查。
多年網(wǎng)絡(luò)攻防經(jīng)驗(yàn),打造場(chǎng)景化安全態(tài)勢(shì)
通過多年積累,場(chǎng)景化關(guān)聯(lián)分析資產(chǎn)上報(bào)的漏洞、威脅、告警等,打造更貼合用戶視角的安全態(tài)勢(shì)。
特別是工業(yè)場(chǎng)景下的工控態(tài)勢(shì),工業(yè)環(huán)境在組網(wǎng)部署、業(yè)務(wù)模型、通信協(xié)議、安全策略等方面有別與傳統(tǒng)網(wǎng)絡(luò)環(huán)境,威努特在工控領(lǐng)域經(jīng)過多年積累,能夠分析工業(yè)環(huán)境的惡意軟件、異常指令和失陷主機(jī)等,發(fā)現(xiàn)失陷業(yè)務(wù),阻斷攻擊下鉆、挖掘潛在的業(yè)務(wù)異常情況,形成工控態(tài)勢(shì)。
智能關(guān)聯(lián)分析引擎,全面告警降噪
通過智能分析引擎,實(shí)時(shí)關(guān)聯(lián)分析,迅速識(shí)別安全威脅。系統(tǒng)內(nèi)置超過100條關(guān)聯(lián)分析規(guī)則,對(duì)海量告警和訊息進(jìn)行去重、分組、合并、繼承,降低誤報(bào)數(shù)據(jù),提高告警可用性。站在安全視角,關(guān)聯(lián)分析可分為如下幾類:
1.基于規(guī)則的關(guān)聯(lián)分析:是將可疑的活動(dòng)場(chǎng)景(暗示某潛在安全攻擊行為的一系列安全事件序列)加以預(yù)先定義,系統(tǒng)能夠根椐定義的關(guān)聯(lián)性規(guī)則表達(dá)式,對(duì)收集到的事件進(jìn)行檢查,確定該事件是否和特定的規(guī)則匹配。系統(tǒng)應(yīng)內(nèi)置規(guī)則庫(kù)對(duì)安全事件進(jìn)行分析和監(jiān)控。
2.基于統(tǒng)計(jì)的關(guān)聯(lián)分析:參照國(guó)家相關(guān)標(biāo)準(zhǔn),定義安全事件類別,對(duì)每個(gè)類別的事件設(shè)定一個(gè)合理的閥值,將出現(xiàn)的事件先歸類,然后進(jìn)行緩存和計(jì)數(shù),當(dāng)在某一段時(shí)間內(nèi),計(jì)數(shù)達(dá)到閥值,可以產(chǎn)生一個(gè)級(jí)別更高的安全事件。
3.基于資產(chǎn)的關(guān)聯(lián)分析,安全事件能夠自動(dòng)根據(jù)IP地址與資產(chǎn)進(jìn)行關(guān)聯(lián)。
4.基于漏洞的關(guān)聯(lián)分析,資產(chǎn)存在漏洞,安全事件利用漏洞,通過將兩者的漏洞集合關(guān)聯(lián),可以剔除虛假告警。
多層次資產(chǎn)信息刻畫,徹底摸清家底
采用無損探測(cè)技術(shù),識(shí)別發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)信息,同時(shí),匹配內(nèi)置資產(chǎn)指紋庫(kù),包括西門子、施耐德、羅克韋爾工控設(shè)備指紋,傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備和通訊設(shè)備指紋,大大提高資產(chǎn)刻畫效率和準(zhǔn)確度。
最終形成多維度資產(chǎn)畫像,包括:
基本信息:設(shè)備名稱、IP、MAC、類型、操作系統(tǒng)、廠商、區(qū)域等信息。
運(yùn)行狀態(tài):CPU利用率、內(nèi)存利用率、硬盤利用率、網(wǎng)口狀態(tài)和流量信息等。
告警信息:資產(chǎn)當(dāng)前相關(guān)的告警列表。
漏洞信息:資產(chǎn)當(dāng)前相關(guān)的漏洞列表。
配置信息:資產(chǎn)當(dāng)前的配置信息,識(shí)別不合規(guī)不安全的配置項(xiàng)。
端口服務(wù):資產(chǎn)當(dāng)前開啟的監(jiān)聽端口和服務(wù)信息,識(shí)別高危端口。
訪問關(guān)系:資產(chǎn)當(dāng)前和網(wǎng)絡(luò)中其他設(shè)備的通訊關(guān)系,識(shí)別非法連接。
事件規(guī)律深入挖掘,發(fā)現(xiàn)隱匿威脅
系統(tǒng)內(nèi)置事件挖掘算法,可根據(jù)事件時(shí)間、屬性、趨勢(shì)等發(fā)現(xiàn)隱匿威脅,預(yù)警網(wǎng)絡(luò)風(fēng)險(xiǎn)。
1.關(guān)聯(lián)事件挖掘
系統(tǒng)內(nèi)置事件挖掘算法,結(jié)合安全事件的實(shí)際發(fā)生場(chǎng)景,去除噪音,從序列數(shù)據(jù)中找出全部頻繁序列模式,從而發(fā)現(xiàn)安全事件之間的關(guān)聯(lián)關(guān)系。
2.時(shí)間周期挖掘
系統(tǒng)對(duì)時(shí)間序列進(jìn)行傅里葉變換,即時(shí)域頻域轉(zhuǎn)換,得到時(shí)間序列周期估計(jì)值。使用ACF(Auto-Correlation Function)算法計(jì)算對(duì)應(yīng)周期的ACF自相關(guān)系數(shù),取自相關(guān)系數(shù)最大且強(qiáng)相關(guān)的周期估計(jì)值,從而獲得安全事件序列的周期特征,根據(jù)周期性進(jìn)行預(yù)測(cè)和預(yù)判。
3.事件趨勢(shì)預(yù)測(cè)
系統(tǒng)采用自回歸移動(dòng)平均模型ARMA(Auto Regressive Moving Average)進(jìn)行趨勢(shì)預(yù)測(cè)。根據(jù)特征提取后的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行模型建立過程,通過數(shù)據(jù)預(yù)處理、時(shí)間序列分解、模式識(shí)別、ARMA模型訓(xùn)練、模型評(píng)價(jià)等過程,最終輸出訓(xùn)練好的模型,根據(jù)該模型進(jìn)行時(shí)間序列的趨勢(shì)預(yù)測(cè)和異常點(diǎn)檢測(cè)。
一站式安全運(yùn)維,全面提升運(yùn)維效率
作為安全管理的統(tǒng)一入口,實(shí)現(xiàn)從設(shè)備狀態(tài)監(jiān)控、安全策略配置和下發(fā)、軟件升級(jí)和授權(quán)、安全事件收集和處置,支持內(nèi)網(wǎng)多區(qū)域管理及跨地域級(jí)聯(lián)管理,解決多種安全設(shè)備帶來的安全管理分散問題,顯著提升日常安全運(yùn)維效率。
1.設(shè)備狀態(tài)監(jiān)控
實(shí)時(shí)監(jiān)測(cè)系統(tǒng)運(yùn)行狀態(tài)和安全狀態(tài),基于可視化拓?fù)鋵?shí)時(shí)展示設(shè)備信息、日志信息、告警信息、運(yùn)行信息。
2.安全策略自學(xué)習(xí)
支持工業(yè)協(xié)議白名單策略自學(xué)習(xí),基于網(wǎng)絡(luò)流量自動(dòng)生成白名單策略,解決白名單策略配置難題,同時(shí)支持從收集到的安全事件自動(dòng)提取安全策略,解決業(yè)務(wù)系統(tǒng)配置變化,安全策略不能實(shí)時(shí)調(diào)整難題。
3.行業(yè)策略模板
內(nèi)置電力、軌道交通、核電等行業(yè)主機(jī)安全防護(hù)策略模板,一鍵式批量下發(fā)主機(jī)安全防護(hù)策略。
4.設(shè)備級(jí)聯(lián)管理
對(duì)于大型集團(tuán)企業(yè),往往存在多個(gè)大規(guī)模局域網(wǎng),或者跨地域廣域網(wǎng),需要部署多臺(tái)安全管理平臺(tái),由于地域分散,安全管理員不能及時(shí)了解下級(jí)節(jié)點(diǎn)的安全狀況并調(diào)整安全策略,級(jí)聯(lián)管理能夠匯總同步下級(jí)節(jié)點(diǎn)的策略和安全數(shù)據(jù),同時(shí)能夠從上級(jí)節(jié)點(diǎn)實(shí)現(xiàn)安全策略的配置和下發(fā)。