百卓網絡安全态勢感知解決方案發布丨百卓網絡 - 守護安全 服務民生

< 返回新聞中心

百卓網絡安全态勢感知解決方案發布

9月28日,在通鼎互聯主辦的“沿着數據做好連接與安全”的新品發布會上,百卓網絡基于多年在運營商服務經驗,在大流量采集、分析、處理能力方面,結合大數據、雲計算技術和公司安全團隊豐富的實戰經驗,提出了全方位縱深防禦體系----百卓網絡安全态勢感知解決方案,此方案将解決傳統城牆式防禦體系所面臨的瓶頸。

1.jpg

什麼是态勢感知?

态勢感知簡單的概括就是一種基于環境的、動态的、整體地洞悉安全風險的能力。早在20世紀80年代,美國空軍就提出了态勢感知這個概念,覆蓋感知、理解和預測三個層次。90年代,态勢感知的概念開始被逐漸被接受,并随着網絡的興起而升級為“網絡态勢感知(CyberspaceSituation Awareness,CSA)”。

1995年,美國空軍的工程師和前首席科學家Mica Endsley博士發表了一個态勢感知狀态的理論框架模型,一直被廣泛使用。Endsley的模型對态勢感知狀态的組成描述為三個步驟或階段:感知、理解和預測,簡稱Endsley模型。

2.jpg

Endsley模型

網絡态勢感知的現狀

随着網絡安全重要性的凸顯,态勢感知開始在網絡安全領域嶄露頭角。2009年,美國白宮在公布的網絡空間安全戰略文件中明确提出要構建态勢感知能力,并梳理出具備态勢感知能力和職責的國家級網絡安全中心或機構,覆蓋了國家安全、情報、司法等各個領域。

2016年4月19日,習總書記在與網絡安全業界人士座談會上明确指出:“加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全态勢,增強網絡安全防禦能力和威懾能力。”知己知彼,才能百戰不殆。沒有意識到風險是最大的風險。同年12月15日,國務院發布《“十三五”國家信息化規劃》提出,要全天候全方位感知網絡安全态勢。加強網絡安全态勢感知、監測預警和應急處置能力建設。

我們為什麼需要态勢感知

首先,目前網絡安全形勢日趨嚴峻,網絡安全威脅的範圍和内容不斷擴大和演化,近幾年網絡攻擊事件層出不群。今年5月發生的“勒索病毒”wannacry造成至少150個國家、30萬名用戶中招,造成損失達80億美元。習總書記也提出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”

其次,傳統的城牆式安全防禦有諸多缺陷,已經不能滿足現在日益嚴重的網絡安全需求。發布會上,百卓網絡安全事業部總監楊建軍指出:“傳統的城牆式防禦存在如下三方面主要缺陷:

一、未知攻擊防禦能力不足,傳統的邊界式防禦基于特征檢測,隻能發現已知安全威脅,無法應對新的漏洞和攻擊方法;

二、被入侵後診斷能力缺失,城牆式防護被繞過後,對于黑客在企業内網的攻擊行為無法檢測、追蹤;

三、高誤報、海量告警導緻管理員維護困難,每天成百上千條告警日志,管理員無暇顧及。”

目前黑客常用的高級持續性攻擊方法有發送惡意附件類型的,和基于惡意鍊接的跨站攻擊和釣魚網站等,都是傳統城牆式防禦體系所無法防禦的。

百卓網絡安全态勢感知

基于網絡安全形勢日趨嚴峻的形勢和傳統城牆式防禦體系存在的缺陷,百卓網絡基于多年在運營商的服務經驗,在大流量采集、分析、處理方面,結合大數據、雲計算技術和公司安全團隊豐富的實戰經驗,提出了百卓網絡縱深防禦體系态勢感知方案。

發布會上,百卓網絡安全産品部總監楊建軍認為: ”百卓基于深耕多年的網絡安全市場的理解,基于DPI骨幹網安全的核心技術,我們已經建立起一套威脅發現、立體防護、安全管控、安全響應的安全解決方案體系,而态勢感知就是整個體系中非常核心的一環。“

百卓網絡總裁陳海濱在交流中也強調,”我們基于态勢感知的安全體系不僅僅解決傳統意義上的網絡空間安全,我們更多的也會運用網絡、運用網絡安全的技術為民生、為社會服務,反哺社會。這也是我們作為網絡安全的從業者的一個使命!”

詳解——百卓網絡安全态勢感知

Endsley模型——感知,多維度流量、日志采集

3.jpg

全量采集流量日志,能夠識别出3000多種常見應用,包括IM、視頻、p2p等。并支持對應用的精細化識别,包括對微信的多種行為進行識别,如:微信聊天、微信語言、微信傳文件等。

支持目前市場上主流的設備、系統、應用日志采集,支持不同形式的日志收集方式,通過 SNMP、Syslog、NetFlow、agent等多種方式完成數據收集功能。支持的設備日志包括主流的路由器、交換機、防火牆、操作系統日志、web服務器日志、數據庫日志、應用系統日志等。

Endsley模型——理解,基于大數據的全新檢測方法

4.jpg

百卓全方位縱深防禦體系——安全态勢感知系統設計完全基于公司豐富的安全實戰經驗總結,根據黑客入侵的不同階段設計了與之相對應的安全防禦體系。

Endsley模型——預測,全方位立體防禦體系

5.jpg

通過流量采集器、日志采集器采集大量基礎日志數據,還有在線安全檢測引擎所産生告警信息統一存入安全大數據分析系統進行數據分析和攻擊模型檢測,同時流量采集器會保存全量的特定協議數據,以便新漏洞爆發後檢測企業是否遭受過此0day攻擊,也可用于攻擊溯源,同時可以保存隻産生過一次訪問行為的攻擊數據,比如釣魚網站,跨站攻擊等。