经典案例
中国移动天津公司安全态势感知系统
合作背景
近几年,我们所处的安全形势可谓是内忧外患,对我们企业网安全造成的威胁只要来自于二个方面:
首先是外部威胁:尤其是对于开放在互联网的系统,这方面更为明显。随着黑客技术逐渐进步,针对企业网应用,更高级、更先进的外部攻击,其攻击本身的复杂性使得攻击行为很难被侦测,有时 一个木马在我们的服务器上存在了1年甚至是更长时间,我们可能都没有发现,但它造成的影响是难以衡量的。
其次是内部威胁:内部威胁可以是来时内部人员,合作伙伴人员,资产自身的脆弱性等等。来自企业内部的威胁,尤其是来自于人员的威胁更为难以捕获,极为隐蔽,有数据统计97%以上的安全事件是来自内部威胁。
在这种内外夹击的形式下,反观我们应对这些安全问题的手段呢,却是非常单一。
业务支撑网掌握着用户、策略、资产、日志、事件、配置、漏洞、流量等多种安全数据,随着业务发展和系统的不断扩容,这些安全数据的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,也动摇了传统的安全分析方法。因为当前绝大多数安全分析手段包括一些安全设备的分析手段,均采用基于规则和固定特征的分析引擎,必须在规则库和特征库的支撑下才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击以及特征不明确的攻击,进而导致我们面对逐渐升级的信息安全问题时显得力不从心,无法做到主动制定、实时防御,更多的时候都在亡羊补牢,一直处于被动防御的局面。
基于上述问题,天津公司2016年安全工作的目标定位于:立足基础运维,提升主动防御能力。同时也希望利用大数据技术提升自己的安全管控水平。
客户价值
利用大数据技术,进行安全态势的分析和展现,挖掘潜在风险。通过尝试并引入高性能的数据挖掘和分析算法,实现多维度的综合安全分析能力,提高安全数据的应用价值;实现综合的安全态势感知能力,准确发现隐蔽的、复杂的安全问题,挖掘潜在的安全风险,提升安全管理水平。
通过对曾经发生过的安全问题或事件进行反思和分析,挖掘其中深层次关联和间接联系,尝试对可能发生的风险进行预警,将安全工作的介入点由事后,前移至事中或事前。
技术方案
工程将对安全态势的感知分为二个层面:基础层面和提升层面。在基础层面,提取了四个“核心”,作为实现安全态势感知的基础,这四个核心包括“人员”、“资产”、“事件”和“状态”。以人员和资产为核心进行建模,对攻击源头和攻击目标进行安全要素的感知;以事件和威胁为核心进行建模,对安全事件的特征和影响等方面进行安全风险感知;以状态为核心,对过去和现在的所处的安全状态进行感知。提升层面主要用于实现风险感知预测,在这个层面主要依托于基础层面实现的功能和场景,对安全意图、趋势和风险进行尝试性预测。
工程包括如下功能建设:
1、实现对于4A、SMP和SOC三套安全平台所管理的日志数据的集中采集,并增加对于互联网安全数据的采集以及威胁情报获取;
2、实现大数据处理和存储能力,通过集成Hadoop、Spark、Kafka、Hive、ES、SequoiaDB等组件,实现安全大数据平台的存储和处理能力、分析能力、高效检索能力;
3、实现大数据的分析能力,通过集成Mahout、Spark 、MLlib组件,引入机器学习机制,实现多种安全数据算法;并通过引入标签管理功能,实现对于人员画像和资产画像,并以此为核心搭建应用场景;
4、实现对安全事件的关联分析整合,实现安全威胁检测;
5、基于人的安全态势感知,重点分析人的安全意图,找出高可疑的人员进行重点监控;
6、基于事的安全态势感知,分析高危的安全事件特征,分析高危的安全事件影响,分析安全攻击的路径,分析安全攻击的趋势,分析安全策略的有效性,分析安全措施的有效性;
7、基于物的安全态势感知,分析周边环境对于安全资产的影响,分析安全资产面临的风险,分析安全资产的安全趋势;
