安天互联网威胁态势总览
安天态势感知与监控预警平台
介绍
安天态势感知与监控预警平台(以下简称安天态势感知平台)是一套通过感知能力汇聚威胁情报汇入和深度分析能力延展,支撑态势分析研判、安全策略制定、通报预警处置、交互式信息资产安全分析的业务系统,是以防护目标为视角,赋予用户私有化威胁发现能力的网络安全全局掌控与感知新体系。安天态势感知平台是面向安全监管部门、行业用户、关键基础设施管理机构、大中型企事业单位提供情报监测与预警、威胁检测与感知、深度分析与处置、安全业务管理与呈现的多角度安全业务与服务,从而不仅能发现各类攻击行为的“态”、而且在一定程度上能够感知未知攻击的“势”,实现网络安全态势全景感知。平台主要服务两类用户:一是帮助网络安全监管部门和职能部门,改善所管辖领域和地理范围内的网络安全情况,全局掌控网络安全态势,辅助上层领导管理者做出合理性、趋势性的安全决策;二是能够为关键基础设施和行业用户内网环境提供全面纵深的安全防护,对资产安全进行分级评估,有效降低关键资产遭受威胁攻击的风险。
安天信息资产及风险态势感知总览
功能介绍
态势感知平台作为整个安全监管和防御体系的枢纽与大脑,通过态势感知的协调、管理与分析能力可以实现对网络流量、网络边界、业务系统、主机端点相关安全,感知防护环节的汇聚、分析、协调联动、综合研判。具体包括:能够接入多来源异构数据并进行汇聚与统一管理;能够基于安全场景形成梳理攻击事件链;能够在海量事件中对高危事件进行准确、及时告警;能够快速聚焦监控范围内高风险资产并对资产进行定位;能够针对不同威胁启动如漏洞响应、通报预警、上报下达等相应的处置流程;能够通过更为精细的可视化手段呈现多攻击场景的攻击历史、现状与趋势;能够通过标签与向量实现威胁定向预警等。
面对复杂网络攻击环境,需要在安全产品上层构建能够具备安全能力统筹协调、动态完善;针对攻击层层设防、深入分析、有效响应能力的态势感知平台。态势感知平台以资产防护为核心,结合资产的类别、归属、特征分级保护,跟踪关键资产的威胁、隐患情况,建立全域态势感知,有效应对针对关键资产的定点攻击。平台从流量、端点、边界多点汇聚数据,通过细粒度数据采集与检测、部分数据长期留存策略和威胁的深度分析,具备有效而深入的网络场景关联分析能力,能够有效实现威胁的历史追溯和同类威胁的守候发现,真实还原整个攻击的作业过程,构建威胁的发现、辨别、分析、响应纵深的感知体系,从而能够在传统单点防御的基础上,向用户提供威胁全域纵深感知、安全设备统筹协调、检测与分析动态完善的上层安全能力。
技术原理
态势感知平台的基本工作原理是对多来源异构数据进行汇聚与集中管理,基于安全场景,对汇聚后形成的事件进行深入挖掘与分析,形成可视化的态势呈现,从而及早发现、感知威胁,进一步有效支撑监管部门通报预警、快速处置等业务流程。因此,进行安全态势呈现和数据分析的基础资源是从端点、网络、边界、各类检测工具所汇聚形成的相关感知结果和威胁事件。态势感知平台以安天的探海威胁检测系统(网络)、智甲终端防御系统(端点)、(镇关威胁阻断系统(边界))等产品为探针,同时可以融入第三被动流量监测、端点扫描、主机蜜罐、主机检测、移动端检测五类安全数据,通过去异构化与知识化处理,将异构数据形成的事件汇入平台,另外,平台可以对接安天追影威胁分析系统的集群化部署,通过自动汇入追影产生的分析能力,提升平台整体的分析和感知能力。依托安天核心的威胁检测能力,实现向量细粒度拆解与多角度标签化输出,以此为基础,对事件进行分析、检索、规则定制、向前检索、向后守候,以及相应知识和规则的通报和推送,从而有效支撑监管部门内部漏洞响应、通报预警、情报共享等业务,并建立对应完善的工作流和成果回馈机制。
特色
安天态势感知平台具备三点特色:一是在实际应用价值方面,打破了传统一些早期态势感知系统给人只有可视化大屏以“地图炮”为核心、“实时化”展示为主要目的的设计思路的印象,而是提供了从威胁发现、检测、呈现、告警、分析、研判、预警、最终到处置的完整业务流程,解决了态势感知系统可看不可用、可看不好用“中看不中用”的实际应用问题,能够满足不同用户角色的实际业务需求,如能为系统操作员提供威胁发现的方法、能为高级安全分析人员提供威胁深入分析的途径、能为上层领导管理者提供安全决策依据等;二是在分析粒度方面,通过安天自主研发的下一代威胁检测引擎与探海威胁检测系统提供的全要素数据采集能力与精细的向量拆解能力,与多数传统态势感知系统只是对发现的异常事件进行整理与分析不同,安天态势感知的分析能力扩展到全量事件、全面对象,完成了从简单的事件名称和风险等级的分析到向量和标签级别分析的进化。安天态势感知能够以对象标签和对象向量为数据基础进行条件检索、过滤、关联、聚合等多种分析操作,并通过对事件的标签化实现各种威胁场景的构建,借助深度分析产生的线索向量还可以实现特有的规则对未知威胁、高级威胁的历史事件追溯,同时通过与安全设备联动及时发现面向关键目标发起的同类攻击,这种基于场景的向前追溯向后守候的能力同以往的单一检测结果与简单检测规则相比具备更强的威胁对抗能力与威胁预防能力;三是在可视化方面,能够进行交互式可视化资产管理,对于平台管理的资产与安全数据,突破了传统宏观的地图炮呈现方式限制,在三维空间内对其组织结构进行更为精细的可视化拓扑展示,多图层标注资产威胁与隐患,通过合理的布局,全局、清晰、直观地对资产安全进行虚拟化管理,提供对资产的全局搜索、过滤、标注等交互式操作,并能够进一步地针对具体资产展开深入分析。
优势
安天态势感知平台具备三点优势:一是通过安天17年针对恶意代码与安全威胁的深度分析经验,特别是长期持续与方程式、白象、APT-TOCS等境外高级攻击组织的持续对抗、跟踪分析,积累了丰富的威胁对抗经验,掌握了较为全面的威胁分析技术,从而能够提供高价值的威胁检测结果,帮助用户做出更合理的安全决策判断;二是安天具备从网络流量监测、终端安全防御、到边界威胁阻断、威胁深度分析全线的安全产品体系,态势感知平台作为上层业务系统,能够对各类产品进行很好的集成与管理,从而能够对安全态势提供全域的感知能力,同时能够实现威胁检测与安全响应的协同联动,缩短发现问题与处置问题的时间,赋予用户私有化的安全检测能力;三是安天凭借多年的积累,具备丰厚的威胁情报与客户端用户群,拥有超xx亿的客户端装机量、超xxx防火墙装机量,以此为数据基础,辅助以专业分析人员的经验与知识,能够形成对未知威胁与APT攻击更为精准的检测与分析能力。
案例
通过十七年持续积累,安天推出了应对各类威胁的先进解决方案,多次为国家与地区重大活动提供网络安全保障,承担了多个大型项目的监控预警平台建设,有深厚的安全集成能力基础。从2002年以来,安天先后承担了国家大规模的骨干网络流量恶意代码监测和大规模分析系统搭建、恶意代码集中检测与分析系统搭建,东北三省某国家直连点网络态势感知与通报系统、国家网信办态势感知平台、黑龙江网信办省域监控预警平台等建设搭建等多项重要的网络安全保障工作,工作成绩得到了国家主管部门和用户的充分肯定与认可。