360态势感知与安全运营平台解决方案

在企业的网络基础设施和信息系统建设过程中，为保证业务系统的安全可靠运行，同时也为了满足国家法律法规和行业规范的要求，会进行相应的信息安全基础建设，部署相关的安全设备和安全系统（防火墙、防病毒系统、IDS/IPS、VPN、WAF、日志审计等）。这些安全设备和系统较好地解决了其关注的某个方面的安全问题，如防火墙能够依据预定义的策略阻止违反策略的访问、防病毒系统能够利用其病毒特征库发现已知病毒、日志审计系统能够利用审计规则发现可疑访问等。

但随着网络应用规模和复杂度的不断提高，网络中传输的数据量急剧上升，网络攻防对抗日趋激烈，企业内部新的安全问题开始显现，主要体现在以下几个方面。

1. 复杂的网络环境让安全工作无从下手，攻击者即便是大摇大摆的出入企业的敏感数据区域也无人知晓，投入了大量资金建设的安全防御体系也成了摆设。

2. 传统安全技术对高级持续性威胁无能为力，对于高级持续性威胁，无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。

3. 围墙式的防御体系不再适应当前的网络环境，只有将这些安全孤岛整合起来，打通数据间的隔阂，形成企业或组织的全面数字安全感知体系，才能真正实现安全威胁的积极防御和有效应对。

要解决这些新的安全问题，企业亟需使用新的技术手段来掌控全局的安全态势，从而优化安全运营过程，将企业网络的安全风险控制在合理的区间内。建立以态势感知和安全运营平台为核心的安全体系是企业新的安全形势下的提升安全能力的必由之路。

方案设计

360态势感知与安全运营平台（以下简称360NGSOC）聚焦于回顾“架构安全”补强“被动防御”，重点发展“积极防御”和“情报驱动”，以有效提高企业的信息安全防护能力。

依据美国国家安全系统委员会（CNSS）提供的定义，在网络安全领域的态势感知是指：在一定的时间和空间范围内，对组织的安全状态以及威胁环境的感知，理解这两者的含义以及意味的风险，并对它们未来的状态进行预测。

态势感知需要掌握组织内部的安全状态，以及相关的威胁情报。掌握组织内部的安全状态主要依赖主动防御措施，采用数据驱动的持续监控方案，态势感知的目的是深入理解当前的风险，并可以对未来的风险进行预测、预防。

360NGSOC主要包括流量传感器、日志采集器、文件威胁鉴定器（可选）、关联规则引擎、网管探针（可选）和分析平台六个硬件模块，如图1所示 。

图1 360态势感知与安全运营平台（NGSOC）部署

NGSOC的各个组件平台均采取旁路部署的模式，组成一个独立的网络，不会和用户本身的网络产生交集。关联规则引擎通过对本地的设备日志、流量日志、本地的安全规则和云端威胁情报进行自动化关联分析，可有效发现本地威胁和异常。威胁情报采取单向推送的方式传给部署在用户本地的分析平台，另外，分析平台可采用在线或离线两种模式获取威胁情报升级包，即便再与互联网隔离的环境下也能实现威胁情报的手动更新。方案各组件支持分布式或者集群的扩容方式，满足不同规模用户的性能需求。

方案优势

360NGSOC基于360安全能力和大数据能力的积累，以及对“数据驱动安全”技术思想的成熟实践，配合近百家国家部、省市监管部门、重要行业和大型企业建立了态势感知与安全运营平台，从而不断完善系统方案，形成了以下技术优势。

1. 广泛的数据采集与关联分析能力

在复杂的网络环境下，管理者很难获得一个全网安全的综合视图，无法掌握整个网络的安全态势。因此，需要能够将安全分析所需的各类数据统一采集起来，尤其是如流量还原数据、终端日志等一手数据，并对这些数据进行归一化和富化处理，利用这些数据对内网环境中的各类资产和网络结构进行识别。同时可利用预定义的分析模型、分析规则对采集的数据进行实时关联分析，以提高安全威胁的检出率和降低误报。采集的数据类型应涵盖网络中各类关注对象（网络设备、安全设备、服务器、数据库、中间件、应用系统）等的安全日志、网络中的数据包、网络设备的流量数据、终端主机日志等。

2. 可水平扩展的数据计算和存储资源

传统的技术架构在大规模网络和海量数据的环境下，性能瓶颈是个难以解决的问题，为解决性能和扩展性问题，系统应采用可灵活水平扩展的分布式架构，数据采集使用分布式采集探针，可根据采集数据量和网络拓扑的需要灵活增加探针的数量，数据存储和分析系统亦可根据需保存的数据量和计算资源需求通过增加节点的方式进行灵活的水平扩展。

3. 海量数据的计算与分析能力

无论是安全分析人员依据所采集的数据进行交互式安全分析，还是系统利用历史数据自动进行统计分析，都需实现对海量数据的快速检索与统计能力，因此平台应具备支持千亿级在线数据的检索与统计能力。

4. 威胁情报驱动

传统方式中，检测安全威胁主要是利用检测设备的特征库、分析规则等进行模式匹配，这种方式对发现已知威胁较为有效，但对于发现使用0Day、NDay漏洞的高级攻击者来说并不有效。为提高对这类高级威胁的检出能力，在分析时应引入关联性强、体系完整的威胁情报，从而将对威胁的单点性描述，变为从多维度，更加关注威胁目标、手法、关联关系、组织背景、可机读技术指标、决策依据等战术与战略情报。从而通过威胁情报驱动来进行高级威胁的发现，验证疑似攻击，辅助安全协同，并辅助决策。

5. 基本于规则链的自动检测技术

系统应支持对于特定的攻击场景（如APT攻击场景），在可疑攻击事件触发告警后，能够依据预定义的一组分析规则，自动启用调查分析进程，将与产生告警相关的一系列数据提取出来，以图形化的方式展现给分析人员，为分析人员提供分析的数据支撑。这里的规则链是安全分析人员针对某类安全事件进行人工分析时分析推理过程的形式化描述（以一组相关的分析规则体现），规则链可以根据不同的攻击事件分析场景来灵活自定义，是将专业安全分析人员的分析经验固化在系统中，在未来的安全分析中进行利用。

6. 自动化的告警响应处置

在发现安全威胁时应及时进行响应，尽可能减小安全威胁带来的风险和实际损失，系统在检测到有攻击行为或违规访问时，除能够利用邮件、短信等方式向管理员发出告警外，对于非常确定性的且有明确处置方法的安全事件，可支持通过设备联运进行响应，响应可考虑在两个方面进行，一是针对有害连接，在网关设备上进行响应，自动将其中断和阻止，二是对于在终端发现的有害进程，可直接在终端封堵或杀掉进程。

7. 调查分析

线上的安全告警是攻击者留下的行为片段，线下的安全事件是攻击的结果和造成的影响，并不是攻击的全貌。要想对攻击追本溯源，了解攻击者的企图、使用了哪些手段和资源、攻击的影响面、还原完整的攻击链，需要安全分析人员能从少量的线索出发，利用本地全量的网络和主机行为日志，以及云端威胁情报和互联网数据进行深入的调查，利用搜索、统计、可视化关联等方法和技术，在海量数据中找出与攻击者相关联的更多蛛丝马迹，从而拼凑出攻击者完整的行为链条，还原攻击的全貌。

8. 安全态势感知

安全决策者往往不需要关注安全事件的具体细节，但需要对企业的安全态势能有全局性的把控。这要求系统能将采集到的数据和威胁检测、分析的结果能按照企业的网络、业务逻辑结构实时的呈现出来。另外还需要系统能根据不同时期、不同场景下的安全态势展示需求，以不同的视图给不同的安全管理角色展示不同维度的威胁数据，使其能够对所关注的内容一目了然。如图2、图3所示。

图2 资产风险态势视图

图3 外部威胁感知

9. 利用本地和云端数据进行安全事件的可视化溯源分析

在发现攻击行为后，安全分析人员往往希望能够对事件进行溯源分析，试图找到攻击行为背后的攻击者，了解攻击者的攻击企图、常用工具、技术和攻击手法等，以评估来自特定攻击者的安全风险，有针对性地采取防范措施，搜集攻击相关证据，为向执法部门报案提供更为有效的证据和侦破案件的数据支持。但进行溯源分析仅依靠本地网络数据往往无法有效进行，应充分利用互联网安全公司提供的云端安全大数据（包括代码样本库、主防库、DNS查询记录、Whois信息、IP/DNS/URL信誉、相关社工库等），提供图形化的交互分析手段，以最大可能提高分析人员完成事件溯源分析过程，复现攻击全过程。

方案价值

经过完善的设计，360NGSOC方案可为用户带来如下价值。

1. 发现基础安全建设遗留的安全隐患，完善企业安全防护体系

主要是因为现阶段主流的安全产品基本上都是单兵作战，只能对自己所负责的区域的流量信息进行分析处理，只能对已知的威胁进行有效防护，但是对于未知威胁的处理能力则非常弱。本方案有效利用云端威胁情报数据，从互联网数据中进行发掘和分析攻击线索，极大提升未知威胁和APT攻击的检出效率，因此可以有效发现企业基础安全建设中遗留的安全隐患并及时修正。

2. 弥补现有被动防御方式的不足，提升企业安全防护水平

传统安全防御体系的重要思想是防御，这就决定了能够越早解决攻击问题的物理位置就变得越重要。在这种思想下，处于攻击最前沿的网端始终是安全建设的重点，大量的检测与防御设备都部署在网端，如：IDS、IPS、UTM、FW、Audit、网闸等等。这种情况下，传统的安全防御体系就如同一个硬壳软糖，将安全性全部寄托于硬壳之上，一旦硬壳被砸碎，那么内部是毫无二次抵御攻击的能力，而事实证明，天下不存在无坚不摧的管道硬壳。因此单纯靠检测与防御解决网络安全问题已经不切实际，需要采用一种新的思路，在检测与防御系统被绕过或失效，已经被攻陷的情况下，仍然能尽快发现入侵事件，并快速追踪溯源，清晰掌握攻击过程全貌，为迅速采取动作，遏制攻击扩散提供技术基础。而态势感知方案通过引入威胁情报和规则链技术的引入，形成了监听-主动回溯、研判-主动监测的检测体系，大大提升了企业积极防御的能力，弥补了企业现有被动防御方式的不足。

3. 基于客户业务环境进行场景化威胁监测，提升异常行为检测能力

传统安全防护设备进行监测时一般使用通用的监测规则，这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。态势感知系统独有的场景化威胁检测技术，能够基于企业用户的业务环境构建威胁检测和响应模型，及时发现企业内部的业务安全风险。

4. 帮助企业建设协同防御体系，提高应急响应效率

传统的安全防御体系由于安全设备是独立运行的，所以响应速度较慢。攻击者仅需花费较低的成本就可以攻入企业内网，且有充裕的时间寻找并获取其感兴趣的数据。态势感知系统通过终端检测响应（EDR）和网络检测响应（NDR）技术可以和企业配置的其他安全设备进行联动，形成协调防御体系，可以大大缩短攻击者的攻击时间窗口并提高攻击者的攻击成本。

5. 帮助企业搭建搜索平台，提升企业数据查找能力

传统的安全方案中，对于企业本地数据的处理往往采用mysql等关系型数据库。这种设计早已不能满足当前数据量的处理性能需要。天眼创新性的采用搜索引擎技术作为本地数据存储和检索核心技术，采用json格式作为引擎的输入输出格式，这样可极大提高检索性能，可以为企业提供TB级的数据快速搜索能力，同时相比传统架构也能够降低大量接口上的开发量。天眼可为企业本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。

6. 帮助企业搭建数据可视化平台，使企业内网安全态势一目了然

数据可视化是大数据应用领域里非常重要的技术手段，数据可视化是研究如何将数据之间的关联关系以及蕴含的意义，并通过可视化方式进行展现，便于分析人员的深度分析的技术，是整个大数据技术领域中的重要组成部分。尤其对于情报分析领域，可以极大的提升情报分析的效率和效果。在企业安全方面，一方面可通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解；另一方面可以通过可视化技术将威胁事件与企业业务进行有机结合，通过态势感知大屏将内网全局的安全态势以图形化的方式直观呈现，将安全由不可见变为可见。

关注融合时代请长按

最新丨行业丨资讯

关于通信世界

一个全媒体综合服务平台

由工业和信息化部主管，人民邮电出版社主办，

是中国通信产业的前瞻媒体