神州泰岳

产品介绍

Ultra-SecSight是神州泰岳安全公司发布的企业信息安全大数据分析服务平台,基于“数据驱动安全”的全新技术理念设计,通过对于多种异构的安全数据集中化整合,并利用大数据相关的先进技术,基于泰岳安全多年积累的海量安全数据的基础上,通过科学的数据挖掘、智能分析、机器学习、大数据算法运用、实时/离线处理和安全可视化等技术手段进行信息安全大数据分析服务平台建设。产品提供全面的安全数据管理能力、精确的威胁情报分析能力、智能的安全态势感知能力、高效的安全数据查询检索能力、精准的审计分析能力和专业的安全场景分析能力。

优势特点

产品功能

适用场景

经典案例

神州泰岳

高:安全数据处理和分析效率高

安全数据处理和分析效率高。采用基于大数据体系的数据架构,安全分析时不再跨数据库进行数据处理,大幅提升了数据处理和分析效率。

快:安全数据查询和检索速度快

强化了企业搜索较互联网搜索对准确度、完整度更苛刻的需求,使得用户可以在海量数据中迅速、精准找到所需的完整IT的信息。

准:安全分析结果准

能够准确分析高可疑人员、高风险资产、高危行为,做到准确预测安全趋势和安全风险。

多:安全场景多

实现了多种安全场景,包括:内外部入侵检测、APT分析检测、维护操作违规检测、业务操作违规检测、各类业务欺诈检测、钓鱼检测等,并提供支持灵活可扩展的自定义安全场景能力。

全:管理的数据全

SecSight全面收集企业IT管理支撑相关的人员、资产、资源、事件、行为、配置、流量、拓扑等基础数据,同时通过多种渠道获取外部的安全威胁情报数据。

企业各类基础IT支撑数据采集

Ultra-SecSight全面采集企业IT管理支撑相关的人员、资产、事件、日志、配置、策略、流量等基础数据,最大程度的将企业信息安全管理工作可视化,洞察并挖掘企业内部信息安全风险。

外部安全威胁情报获取

随着以APT为典型代表的新型威胁和攻击的不断增长,企业和组织在防范内外部的攻击过程中越发需要依靠充分、有效的安全威胁情报做为支撑,以帮助其更好的应对这些新型威胁。新型威胁更多地利用0day进行攻击,这意味着防守方可能无法提前获知特征信息,从而无法发挥现有安全防护机制的作用,此时,安全情报显得至关重要。
Ultra-SecSight通过HTTP(S)、FTP、GIT、STIX、邮件或API等方式,从权威组织获取安全情报信息,帮助企业分析和追踪外部安全威胁。同时,采用数据接口方式从主管部门发布的安全预警信息、企业内部安全知识库、合作厂商定制的安全预警信息获取安全情报信息,帮助企业分析和追踪内部安全威胁。

精确、综合信息安全态势感知

企业信息安全态势感知建立在全面有效的数据采集和分析基础之上。一方面,对于安全管理和运维人员,Ultra-SecSight企业信息安全大数据分析服务平台帮助企业全面、快速、准确的掌握企业信息安全风险的全局。知过去,积累经验和知识;知现在,指挥告警和响应;知未来,指导预警和防护。另一方面,Ultra-SecSight的企业信息安全大数据也帮助企业清晰的掌控企业各项信息安全管控措施的部署情况、推广情况、管控效果等全局信息,指导企业后续安全建设投入更具科学性和针对性。

高效的查询、检索、分析与报表

Ultra-SecSight的核心是建立在搜索和索引技术的基础之上。SecSight提供类似于互联网搜索引擎的查询功能,同时强化了企业搜索较互联网搜索对准确度、完整度更苛刻的需求,使得用户可以在企业海量数据中迅速找到所需的准确完整的信息,同时,依托基础规则+机器学习的机制,SecSight还提供复杂条件下的安全分析、告警和报表报告。
Ultra-SecSight对海量数据进行检索,快速高效的获取结果,通过系统提供的检索、统计分析、可视化数据等手段,让用户在对数据分析前,对数据有一定的认识,了解数据组成、细节、结构等,继而开始对数据进行数据处理、数据分析、数据挖掘、分析建模等过程,获取大数据价值。
在数据检索结果的基础上,提供可视化的数据统计分析过程,通过展现选择、视图定义等过程,将海量信息安全数据更直观的展示在用户面前,让用户对数据有更深入的认识,同时基于数据检索的统计分析能更快速、更直接的输出数据结果及直观分析视图。

实现以人、资源、行为为主线的安全审计

Ultra-SecSight可以帮助企业实现以人、资源、行为为主线的三大类安全审计工作场景:
以人为主线的审计,通过对于人的刻画,不仅可体现当前个人全息状态,亦可用于前瞻性判断。作为高级数据分析的基础,Ultra-SecSight重点实现对高可疑人群的安全审计;
以资源为主线的审计,通过对于资产与资产之间的互访关系、人员对于资产的操作、安全事件对于资产的影响等数据进行分析,形成资产面临的安全威胁模型,重点关注对高风险IT资产的安全审计;
以行为为主线的审计,重点关注对各种高危操作、违规操作行为的安全审计。

提供丰富的安全分析场景

基于泰岳安全多年信息安全经验,Ultra-SecSight可以设定多个专家级信息安全场景模型,通过Ultra-SecSight信息安全大数据分析服务平台,企业可以获得内外部入侵检测、APT分析检测、维护操作违规检测、业务操作违规检测、各类业务欺诈检测、钓鱼检测等专门的安全场景分析。
Ultra-SecSight支持大数据分析场景模型可扩展,用户真正可以根据需求定制化构建出场景模型,通过数据筛选、数据分析、数据挖掘等系列分析过程,将数据呈现成数据分析者设计的展现形式并输出自定义模型数据分析结论。其构建场景分析模型流程主要有以下几个步骤:自定义数据源,自设置数据筛选分析条件,自调试预处理过程,多维度、多度量指标数据分析过程,自设计展现形态,并循环整个过程,直到模型构建完成。

业务异常流量分析

流量基线是网络异常流量检测的常用方法,通过流量的大小、流量的协议分布、流量的业务等,建立流量基线、能够表现流量特征的数值序列。通过与流量基线的对比,可以在第一时间获取特定时期内的网络负载情况、负载变化情况,直观地评估网络流量的健康程度,针对异常流量特别是DDOS洪泛攻击、恶意扫描等网络安全事件的发现具有指导作用。基于基线的流量异常检测,通过长时间的大数据学习刻画重要资产应用系统的流量基线,发现流量与基线严重背离现象,识别流量异常事件。

安全威胁检测

基于安全设备告警事件、网络流量、中间件日志等,结合大数据平台的数据分析能力,通过一系列的关联、归并、排错处理以及模型检测,对网络中的安全攻击进行分析检测并生成告警,威胁检测包括:攻击检测、恶意操作检测、异常流量检测及漏洞四大类网络安全攻击进行分析;

资源画像

资产画像是以资产为主维度,根据访问、操作等行为和合规、漏洞、弱口令等安全数据结合基础信息勾勒出资产画像,通过分析资产的各类信息变化情况得出资产安全态势并向安全人员发出预警。结合日志、人员、资产、授权、组织机构、业务系统、堡垒主机信息合规、弱口令、漏洞等数据,使用标签传播算法计算得出各日志的分类标签;使用多种统计算法,配合页面的多种态势展现图表,对于标签数据进行各种态势计算;

人员画像

人员画像是以人员帐号为主维度,从访问、操作等行为结合基础信息勾勒出人员画像,通过分析人员日常操作行为、操作习惯、管理资源范围、操作权限范围等情况发现异常访问、异常操作的人员,并发出预警。结合日志、人员、资产、授权、组织机构、业务系统、堡垒主机信息等数据,使用标签传播算法计算得出各日志的分类标签,使用多种统计算法,配合页面的多种态势展现图表,对于标签数据进行各种态势计算;

经典案例

中国移动天津公司安全态势感知系统

合作背景

近几年,我们所处的安全形势可谓是内忧外患,对我们企业网安全造成的威胁只要来自于二个方面:

首先是外部威胁:尤其是对于开放在互联网的系统,这方面更为明显。随着黑客技术逐渐进步,针对企业网应用,更高级、更先进的外部攻击,其攻击本身的复杂性使得攻击行为很难被侦测,有时 一个木马在我们的服务器上存在了1年甚至是更长时间,我们可能都没有发现,但它造成的影响是难以衡量的。

其次是内部威胁:内部威胁可以是来时内部人员,合作伙伴人员,资产自身的脆弱性等等。来自企业内部的威胁,尤其是来自于人员的威胁更为难以捕获,极为隐蔽,有数据统计97%以上的安全事件是来自内部威胁。

在这种内外夹击的形式下,反观我们应对这些安全问题的手段呢,却是非常单一。

业务支撑网掌握着用户、策略、资产、日志、事件、配置、漏洞、流量等多种安全数据,随着业务发展和系统的不断扩容,这些安全数据的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,也动摇了传统的安全分析方法。因为当前绝大多数安全分析手段包括一些安全设备的分析手段,均采用基于规则和固定特征的分析引擎,必须在规则库和特征库的支撑下才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击以及特征不明确的攻击,进而导致我们面对逐渐升级的信息安全问题时显得力不从心,无法做到主动制定、实时防御,更多的时候都在亡羊补牢,一直处于被动防御的局面。

基于上述问题,天津公司2016年安全工作的目标定位于:立足基础运维,提升主动防御能力。同时也希望利用大数据技术提升自己的安全管控水平。

  

客户价值

利用大数据技术,进行安全态势的分析和展现,挖掘潜在风险。通过尝试并引入高性能的数据挖掘和分析算法,实现多维度的综合安全分析能力,提高安全数据的应用价值;实现综合的安全态势感知能力,准确发现隐蔽的、复杂的安全问题,挖掘潜在的安全风险,提升安全管理水平。

通过对曾经发生过的安全问题或事件进行反思和分析,挖掘其中深层次关联和间接联系,尝试对可能发生的风险进行预警,将安全工作的介入点由事后,前移至事中或事前。

技术方案

工程将对安全态势的感知分为二个层面:基础层面和提升层面。在基础层面,提取了四个“核心”,作为实现安全态势感知的基础,这四个核心包括“人员”、“资产”、“事件”和“状态”。以人员和资产为核心进行建模,对攻击源头和攻击目标进行安全要素的感知;以事件和威胁为核心进行建模,对安全事件的特征和影响等方面进行安全风险感知;以状态为核心,对过去和现在的所处的安全状态进行感知。提升层面主要用于实现风险感知预测,在这个层面主要依托于基础层面实现的功能和场景,对安全意图、趋势和风险进行尝试性预测。

工程包括如下功能建设:

1、实现对于4A、SMP和SOC三套安全平台所管理的日志数据的集中采集,并增加对于互联网安全数据的采集以及威胁情报获取;

2、实现大数据处理和存储能力,通过集成Hadoop、Spark、Kafka、Hive、ES、SequoiaDB等组件,实现安全大数据平台的存储和处理能力、分析能力、高效检索能力;

3、实现大数据的分析能力,通过集成Mahout、Spark 、MLlib组件,引入机器学习机制,实现多种安全数据算法;并通过引入标签管理功能,实现对于人员画像和资产画像,并以此为核心搭建应用场景;

4、实现对安全事件的关联分析整合,实现安全威胁检测;

5、基于人的安全态势感知,重点分析人的安全意图,找出高可疑的人员进行重点监控;

6、基于事的安全态势感知,分析高危的安全事件特征,分析高危的安全事件影响,分析安全攻击的路径,分析安全攻击的趋势,分析安全策略的有效性,分析安全措施的有效性;

7、基于物的安全态势感知,分析周边环境对于安全资产的影响,分析安全资产面临的风险,分析安全资产的安全趋势;