Ultra-SecSight是神州泰岳安全公司发布的企业信息安全大数据分析服务平台,基于“数据驱动安全”的全新技术理念设计,通过对于多种异构的安全数据集中化整合,并利用大数据相关的先进技术,在泰岳安全多年积累的海量安全数据的基础上,通过科学的数据挖掘、智能分析、机器学习、大数据算法的运用、实时/离线处理和安全可视化等技术手段进行信息安全大数据分析服务平台建设。产品提供全面的安全数据管理能力、精确的威胁情报分析能力、智能的安全态势感知能力、高效的安全数据查询检索能力、精准的审计分析能力和专业的安全场景分析能力。
首先是外部威胁:尤其是对于开放在互联网的系统,这方面更为明显。随着黑客技术逐渐进步,针对企业网应用,更高级、更先进的外部攻击,其攻击本身的复杂性使得攻击行为很难被侦测,有时 一个木马在我们的服务器上存在了1年甚至是更长时间,我们可能都没有发现,但它造成的影响是难以衡量的。 其次是内部威胁:内部威胁可以是来时内部人员,合作伙伴人员,资产自身的脆弱性等等。来自企业内部的威胁,尤其是来自于人员的威胁更为难以捕获,极为隐蔽,有数据统计97%以上的安全事件是来自内部威胁。
在这种内外夹击的形式下,反观我们应对这些安全问题的手段呢,却是非常单一。 业务支撑网掌握着用户、策略、资产、日志、事件、配置、漏洞、流量等多种安全数据,随着业务发展和系统的不断扩容,这些安全数据的迅速膨胀,不仅带来了海量异构数据的融合、存储和管理的问题,也动摇了传统的安全分析方法。因为当前绝大多数安全分析手段包括一些安全设备的分析手段,均采用基于规则和固定特征的分析引擎,必须在规则库和特征库的支撑下才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击以及特征不明确的攻击,进而导致我们面对逐渐升级的信息安全问题时显得力不从心,无法做到主动制定、实时防御,更多的时候都在亡羊补牢,一直处于被动防御的局面。
基于上述问题,天津公司2016年安全工作的目标定位于:立足基础运维,提升主动防御能力。同时也希望利用大数据技术提升自己的安全管控水平。
利用大数据技术,进行安全态势的分析和展现,挖掘潜在风险。通过尝试并引入高性能的数据挖掘和分析算法,实现多维度的综合安全分析能力,提高安全数据的应用价值;实现综合的安全态势感知能力,准确发现隐蔽的、复杂的安全问题,挖掘潜在的安全风险,提升安全管理水平。 通过对曾经发生过的安全问题或事件进行反思和分析,挖掘其中深层次关联和间接联系,尝试对可能发生的风险进行预警,将安全工作的介入点由事后,前移至事中或事前。