APT攻击、入侵防护

态势感知系统

发布时间：2022-07-04

产品一：奇安信安全态势感知系统

安全挑战

1.安全数据太分散且无法集中存储

随着信息网络承载的业务越来越复杂，各种系统审计信息、安全设备的告警信息各自独立存放。如果敏感数据区域遭受攻击，由于攻击痕迹存放在各个分散→的信息孤岛上，安全运营与处置人员无法快速准确定位安全问题，当下的网络安全防御体系无法有效应对此种问题。

2.高级威胁检测滞后且响应速度慢

高级威胁攻击的特点是△目的性非常强、攻击目标明确且持续时间长，此外攻击方法经过巧妙改造，攻击者往往会利用社会工程学的ㄨ方法或高级技术手段，对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特▽征对攻击行为进行简单的模式匹配，只关注单次行为的识别和判断，并没有对长期的攻击←行为链进行有效分析。因此，对于高级威胁，现有的安全防护体系无论是在威胁的检测、发现还是响应等方面都存在严重不足。

3.安全事件溯源和调查取证无手段

安全事件的溯源分析作为安全事故中事后响应的重要组成部分，有助于修复∏漏洞与降低风险，避免二次事故的发生。但大部分攻击告警事→件中所包含的信息无法反应真实的攻击信息，大量告警分散且误报太多。诸如安全告警的源IP等单一维度的安全数据无法提供足▲够的安全分析及溯源信息，然而通过对受害资产与内网流量进行溯¤源分析，在一定程度上可以还原攻击者的攻击路径与攻击手法。目前，已经建设的安全设备都没有基于大数据架构，无法对网内各类安全数据（日志或流量）进行溯源，无法对事件进行调查取证。

4.安全数据无可视化手段↓进行呈现

在现有的安全体系中，大量的安全监测结果只是单一维♀度的反映某个系统存在相关问题，呈现的方式也多种多样，并没有针对海量的安全数据进行统一可视化々展现，无法整体掌控网络安全的态势。

5.安全运营无专岗且人员配置精简

随着信息系统规模∞日益庞大，整个信息网中发生的安全威胁事件也在不断增加，目前安全管理人员数量不足，专业技能更新无法跟上安全技术的发展。目前安全运营工作无法做到专人专岗，往往都是■身兼多职，这种情况严重☉影响安全威胁事件的检测、分析与处置的效率，无法保证高效的安全∮运营闭环管理。

解决方案

奇安信态势感知与安全运营解决方案的业务架构从下到上分别为：日志采集器、流量探针、日志采集、存储和检索、资产风险评估、资产管理、脆弱性管理、威胁分析、威胁检测、处置响应、监测与㊣报表、态势可视化、系统管理和安全运营服务，如下图所示。

态势感知与安全运营解决方案

实施部署：

态势感知与安全运营解决方案

方案】的主要组件包括态势感知与安全运营平台⌒、流量传感器和日志采集器，各个组№件均采取旁路部署的模式，不会影响实际业务网络和其他网段。

威胁情报采取云端推送或导入的方式单向传输给本地平台，确保威胁情报内∩容及时更新。平台通过对本地采集到的设备日志、流量日志，结合本地的安全分析规则和⊙云端威胁情报进行场景化建模关联分∑　析，有效发现网络威胁。平台各组件均支持分布式或者集群的扩容方式，可满足真实网络环境下的高性能分析需求。

方案特点

1.全面性

在基础安全体系建设完善的基础上，通过构建能够应对海量数〗据量级下的态势感知与安全运营平台，结合专业的安全运营组织架构和严谨的运营流程设计，全面推进可闭环的安全运营工作的开展。

2.持续性

围绕以“防御、检测、响应、预测”为核心的自适应安全架构设计，实现态势感知能力的持续建设，保障安∞全运营能力的持续提升。

3.创新性

在数字化转型的背景下引入多种创新型的技＠术设计方案，例如大数据、威胁情报、机器学习等，体现整个态势感知与安全运营方案的创新性与前瞻性。

4.合规性

以《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基◣本要求》等相关法律法规、标准规范为依据，以需求为导向，在合规的基础上考虑态势感知与安全运营整体方案设计，符合国※家监管机构的要求，有效保障了安全运营工作推进的统一性、一致性、有效性和规范性。

应用价值

1.持续监控，实≡时掌握安全状况

可以快速、宏观的了解整体安全态势，在安全运营工作中抓大放小，明确工作重点以指导安全运营人员和IT人员的安全工作。

2.全面检测，及时发现高级威胁

结合安全威胁建模团队多年的攻防经验，通过检测〇引擎、威胁情报、场景化检测规则、机器学习和关联规则等多个维度进行威胁的研判，快速定位真正的威胁，同时优化现有的传统威胁检测手段，减少告警的误报和冗余情况，将威胁告警数量「控制在人工可分析的数量级。

3.响应处置，实现威胁闭环管理

提供多种响应处▂置方式，将不同危害等级、影响范围的告警通过三种主要场景实现“人-人”“机-人”“机-机”的通知交互。

4. 事件调查，高效溯源安全威胁

利用调查分析、攻击链分析、时间线分析等工具，安全运营人☆员能够对日志、告警、资产、漏洞、情报等证据信息进行归纳整理，帮助其拓展分析思路，辅助其多角度研判威胁，还原攻击过程和威胁发生的切入口，为调查检索历史数据、分析和取证节省了宝贵的时间。

5. 风险管理，提升安全预警能力

支持帮助安全运营人员从资产和资产组2个大〗小维度管理风险，还默认提供4个维度的风险管理维度，分别是资产分组、组织架构、地理位置和业务分组，以满足不同粒度的风险管理要求和不同的业务组织架♀构。

6. 威胁预警，全面评估事态发展

为了提高对重大网络安全事件的应急响应能力，威胁预警功能通过导入的预警包，自动化完成对网络的安全影响面评估。可视化展示事态发展趋势、受影响资产范围和失陷资产的沦陷时间线，快速完成重大网络安全事件的预警及处置，避免收到上级监管单位的通报︼后被动应对安全◎事件。

7. 弹性平台，满足业务扩展需要

基于微服务架构设计，内部模块组件交互独立，对外提供标准应用接口。平台采用横向扩展纵向管理的模式，支持多级部∮署管理，下级单位可以将告警数据上传至上级单位，上级单位对下级单位行使其监管作用。

8.合法合规，符合监管机构要求

对设备日志进行统一采集，并对采集数据进行归一化、富化等预处理。同时可以在平台上对采集到的原始日志和解析日志进行查询、统计、关联分析等◢处理使用，符合监管机构的合规性要求。

产品一：奇安信安全态势感知系统

安全挑战

1.安全数据太分散且无法集中存储

随着信息网络承载的业务越来越复杂，各种系统审计信息、安全设备的告警信息各自独立存放。如果敏感数据区域遭受攻击，由于攻击痕迹存放在各个分散的信息孤岛上，安全运营与处置人员无法快速准确定位安全问题，当下的网络安全防御体系无法有效应对此种问题。

2.高级威胁检测滞后且响应速度慢

高级威胁攻击的特点是目的性非常强、攻击目标明确且持续时间长，此外攻击方法经过巧妙改造，攻击者往往会利用社会工程学的方法或高级技术手段，对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特征对攻击行为进行简单的模式匹配，只关注单次行为的识别和判断，并没有对长期的攻击行为链进行有效分析。因此，对于高级威胁，现有的安全防护体系无论是在威胁的检测、发现还是响应等方面都存在严重不足。

3.安全事件溯源和调查取证无手段

安全事件的溯源分析作为安全事故中事后响应的重要组成部分，有助于修复漏洞与降低风险，避免二次事故的发生。但大部分攻击告警事件中所包含的信息无法反应真实的攻击信息，大量告警分散且误报太多。诸如安全告警的源IP等单一维度的安全数据无法提供足够的安全分析及溯源信息，然而通过对受害资产与内网流量进行溯源分析，在一定程度上可以还原攻击者的攻击路径与攻击手法。目前，已经建设的安全设备都没有基于大数据架构，无法对网内各类安全数据（日志或流量）进行溯源，无法对事件进行调查取证。

4.安全数据无可视化手段进行呈现

在现有的安全体系中，大量的安全监测结果只是单一维度的反映某个系统存在相关问题，呈现的方式也多种多样，并没有针对海量的安全数据进行统一可视化展现，无法整体掌控网络安全的态势。

5.安全运营无专岗且人员配置精简

随着信息系统规模日益庞大，整个信息网中发生的安全威胁事件也在不断增加，目前安全管理人员数量不足，专业技能更新无法跟上安全技术的发展。目前安全运营工作无法做到专人专岗，往往都是身兼多职，这种情况严重影响安全威胁事件的检测、分析与处置的效率，无法保证高效的安全运营闭环管理。

解决方案

奇安信态势感知与安全运营解决方案的业务架构从下到上分别为：日志采集器、流量探针、日志采集、存储和检索、资产风险评估、资产管理、脆弱性管理、威胁分析、威胁检测、处置响应、监测与报表、态势可视化、系统管理和安全运营服务，如下图所示。

态势感知与安全运营解决方案

实施部署：

态势感知与安全运营解决方案

方案的主要组件包括态势感知与安全运营平台、流量传感器和日志采集器，各个组件均采取旁路部署的模式，不会影响实际业务网络和其他网段。

威胁情报采取云端推送或导入的方式单向传输给本地平台，确保威胁情报内容及时更新。平台通过对本地采集到的设备日志、流量日志，结合本地的安全分析规则和云端威胁情报进行场景化建模关联分析，有效发现网络威胁。平台各组件均支持分布式或者集群的扩容方式，可满足真实网络环境下的高性能分析需求。

方案特点

1.全面性

在基础安全体系建设完善的基础上，通过构建能够应对海量数据量级下的态势感知与安全运营平台，结合专业的安全运营组织架构和严谨的运营流程设计，全面推进可闭环的安全运营工作的开展。

2.持续性

围绕以“防御、检测、响应、预测”为核心的自适应安全架构设计，实现态势感知能力的持续建设，保障安全运营能力的持续提升。

3.创新性

在数字化转型的背景下引入多种创新型的技术设计方案，例如大数据、威胁情报、机器学习等，体现整个态势感知与安全运营方案的创新性与前瞻性。

4.合规性

以《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等相关法律法规、标准规范为依据，以需求为导向，在合规的基础上考虑态势感知与安全运营整体方案设计，符合国家监管机构的要求，有效保障了安全运营工作推进的统一性、一致性、有效性和规范性。

应用价值

1.持续监控，实时掌握安全状况

可以快速、宏观的了解整体安全态势，在安全运营工作中抓大放小，明确工作重点以指导安全运营人员和IT人员的安全工作。

2.全面检测，及时发现高级威胁

结合安全威胁建模团队多年的攻防经验，通过检测引擎、威胁情报、场景化检测规则、机器学习和关联规则等多个维度进行威胁的研判，快速定位真正的威胁，同时优化现有的传统威胁检测手段，减少告警的误报和冗余情况，将威胁告警数量控制在人工可分析的数量级。

3.响应处置，实现威胁闭环管理

提供多种响应处置方式，将不同危害等级、影响范围的告警通过三种主要场景实现“人-人”“机-人”“机-机”的通知交互。

4. 事件调查，高效溯源安全威胁

利用调查分析、攻击链分析、时间线分析等工具，安全运营人员能够对日志、告警、资产、漏洞、情报等证据信息进行归纳整理，帮助其拓展分析思路，辅助其多角度研判威胁，还原攻击过程和威胁发生的切入口，为调查检索历史数据、分析和取证节省了宝贵的时间。

5. 风险管理，提升安全预警能力

支持帮助安全运营人员从资产和资产组2个大小维度管理风险，还默认提供4个维度的风险管理维度，分别是资产分组、组织架构、地理位置和业务分组，以满足不同粒度的风险管理要求和不同的业务组织架构。

6. 威胁预警，全面评估事态发展

为了提高对重大网络安全事件的应急响应能力，威胁预警功能通过导入的预警包，自动化完成对网络的安全影响面评估。可视化展示事态发展趋势、受影响资产范围和失陷资产的沦陷时间线，快速完成重大网络安全事件的预警及处置，避免收到上级监管单位的通报后被动应对安全事件。

7. 弹性平台，满足业务扩展需要

基于微服务架构设计，内部模块组件交互独立，对外提供标准应用接口。平台采用横向扩展纵向管理的模式，支持多级部署管理，下级单位可以将告警数据上传至上级单位，上级单位对下级单位行使其监管作用。

8.合法合规，符合监管机构要求

对设备日志进行统一采集，并对采集数据进行归一化、富化等预处理。同时可以在平台上对采集到的原始日志和解析日志进行查询、统计、关联分析等处理使用，符合监管机构的合规性要求。

百姓彩票大厅进入

1.安全数据太分散且无法集中存储

2.高级威胁检测滞后且响应速度慢

3.安全事件溯源和调查取证无手段

4.安全数据无可视化手段↓进行呈现

5.安全运营无专岗且人员配置精简

1.全面性

2.持续性

3.创新性

4.合规性

1.持续监控，实≡时掌握安全状况

2.全面检测，及时发现高级威胁

3.响应处置，实现威胁闭环管理

4. 事件调查，高效溯源安全威胁

5. 风险管理，提升安全预警能力

6. 威胁预警，全面评估事态发展

7. 弹性平台，满足业务扩展需要

8.合法合规，符合监管机构要求

1.安全数据太分散且无法集中存储

2.高级威胁检测滞后且响应速度慢

3.安全事件溯源和调查取证无手段

4.安全数据无可视化手段进行呈现

5.安全运营无专岗且人员配置精简

1.全面性

2.持续性

3.创新性

4.合规性

1.持续监控，实时掌握安全状况

2.全面检测，及时发现高级威胁

3.响应处置，实现威胁闭环管理

4. 事件调查，高效溯源安全威胁

5. 风险管理，提升安全预警能力

6. 威胁预警，全面评估事态发展

7. 弹性平台，满足业务扩展需要

8.合法合规，符合监管机构要求