Ultra-SecSight是神州泰岳安全公司发布的企业信息安全大数据分析服务平台,基于“数据驱动安全”的技术理念设计,通过对于多种异构的安全数据集中化整合,并利用大数据相关的技术,基于泰岳安全多年积累的海量安全数据的基础上,通过科学的数据挖掘、智能分析、机器学习、大数据算法运用、实时/离线处理和安全可视化等技术手段进行信息安全大数据分析服务平台建设。产品提供安全数据管理能力、精确的威胁情报分析能力、智能的安全态势感知能力、高效的安全数据查询检索能力、精准的审计分析能力和专业的安全场景分析能力。
近几年,我们所处的安全形势可谓是内忧外患,对我们企业网安全造成的威胁只要来自于二个方面:
首先是外部威胁:尤其是对于开放在互联网的系统,这方面更为明显。随着黑客技术逐渐进步,针对企业网应用,更高级、更先进的外部攻击,其攻击本身的复杂性使得攻击行为很难被侦测,有时 一个木马在我们的服务器上存在了1年甚至是更长时间,我们可能都没有发现,但它造成的影响是难以衡量的。
其次是内部威胁:内部威胁可以是来时内部人员,合作伙伴人员,资产自身的脆弱性等等。来自企业内部的威胁,尤其是来自于人员的威胁更为难以捕获,极为隐蔽,有数据统计97%以上的安全事件是来自内部威胁。
在这种内外夹击的形式下,反观我们应对这些安全问题的手段呢,却是非常单一。
业务支撑网掌握着用户、策略、资产、日志、事件、配置、漏洞、流量等多种安全数据,随着业务发展和系统的不断扩容,这些安全数据的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,也动摇了传统的安全分析方法。因为当前绝大多数安全分析手段包括一些安全设备的分析手段,均采用基于规则和固定特征的分析引擎,必须在规则库和特征库的支撑下才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击以及特征不明确的攻击,进而导致我们面对逐渐升级的信息安全问题时显得力不从心,无法做到主动制定、实时防御,更多的时候都在亡羊补牢,一直处于被动防御的局面。
基于上述问题,天津公司2016年安全工作的目标定位于:立足基础运维,提升主动防御能力。同时也希望利用大数据技术提升自己的安全管控水平。
利用大数据技术,进行安全态势的分析和展现,挖掘潜在风险。通过尝试并引入高性能的数据挖掘和分析算法,实现多维度的综合安全分析能力,提高安全数据的应用价值;实现综合的安全态势感知能力,准确发现隐蔽的、复杂的安全问题,挖掘潜在的安全风险,提升安全管理水平。
通过对曾经发生过的安全问题或事件进行反思和分析,挖掘其中深层次关联和间接联系,尝试对可能发生的风险进行预警,将安全工作的介入点由事后,前移至事中或事前。
工程将对安全态势的感知分为二个层面:基础层面和提升层面。在基础层面,提取了四个“核心”,作为实现安全态势感知的基础,这四个核心包括“人员”、“资产”、“事件”和“状态”。以人员和资产为核心进行建模,对攻击源头和攻击目标进行安全要素的感知;以事件和威胁为核心进行建模,对安全事件的特征和影响等方面进行安全风险感知;以状态为核心,对过去和现在的所处的安全状态进行感知。提升层面主要用于实现风险感知预测,在这个层面主要依托于基础层面实现的功能和场景,对安全意图、趋势和风险进行尝试性预测。
工程包括如下功能建设:
1、实现对于4A、SMP和SOC三套安全平台所管理的日志数据的集中采集,并增加对于互联网安全数据的采集以及威胁情报获取;
2、实现大数据处理和存储能力,通过集成Hadoop、Spark、Kafka、Hive、ES、SequoiaDB等组件,实现安全大数据平台的存储和处理能力、分析能力、高效检索能力;
3、实现大数据的分析能力,通过集成Mahout、Spark 、MLlib组件,引入机器学习机制,实现多种安全数据算法;并通过引入标签管理功能,实现对于人员画像和资产画像,并以此为核心搭建应用场景;
4、实现对安全事件的关联分析整合,实现安全威胁检测;
5、基于人的安全态势感知,重点分析人的安全意图,找出高可疑的人员进行重点监控;
6、基于事的安全态势感知,分析高危的安全事件特征,分析高危的安全事件影响,分析安全攻击的路径,分析安全攻击的趋势,分析安全策略的有效性,分析安全措施的有效性;
7、基于物的安全态势感知,分析周边环境对于安全资产的影响,分析安全资产面临的风险,分析安全资产的安全趋势;