安全态势感知的创新和实践

- 2018-11-12 -

当前网络安全形势复杂,网络攻击仍处于高发态势,涉及到国家级网络公共基础设施、国计民生的重要信息系统和日益增长的移动终端,涵盖了病毒、木马、漏洞、流量攻击等多种类型,攻击门槛不断降低,攻击对象更加广泛,攻击手段复杂多样,攻击范围跨洲跨国,攻击目的利益驱动,总体来看,现阶段的安全攻防形势呈现出专业化、商业化、国际化和移动化等特点。江苏安全态势感知的实践与创新已经刻不容缓。

构建主动安全防御体系的智能核心

面对这种复杂的安全攻防形势,国内的监管机构也在逐步深化落实安全等级保护等合规制度。在完成多种安全设备的部署实现被动的防御之后,用户开始考虑更深层次的问题:1)安全风险的主动检测问题,系统是否具备对于未知威胁的云端识别和检测能力?能否实现提前的威胁预警?2)多设备协同防护的问题,是否具备对攻击进行快速响应联动以及对攻击路径进行追踪溯源的能力?3)安全防御体系建设和安全情报共享相结合的问题,能否结合安全情报实现二次攻击的分析和挖掘?对用户行为和流量趋势能否准确检测判断异常情况?4)简易化运维管理的问题,企业是否能实现安全合规的定期自检测能力?海量设备能否实现云中的智能配置管理和故障诊断?在这种背景下,安全态势感知应运而生。

江苏态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测的一个过程;是从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种能力;是通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,并在云端实现安全能力的落地实践。

安全态势感知将围绕风险、资产、业务应用等对象,从安全日志、终端行为、网络流量、业务运营数据、资产管理和故障诊断等多源数据采集着手,通对全局安全状态评价、外部攻击评级、系统自身状态合规自检等手段,实现“事态可评估”;通过对攻击趋势分析、异常流量趋势判断和终端行为异常检测,实现“趋势可预测”;通过对未知威胁的检测识别、流量/行为/资产的状态监控和多维度风险分析和可视化呈现,实现“风险可感应”;江苏安全态势感知通过对攻击溯源取证、云网端的协同联动、工单流程的闭环处理、以及设备策略的自适应调整,实现“知行可管控”。围绕态势感知的定义和内涵进行落地实践,才能实现用户对于安全态势的全面掌控。