随着信息技术的快速发展,网络安全行业的发展日新月异,技术层面出现了很多新的框架、模型和新产品,国家政策层面从《网络安全法》到网络安全等级保护2.0系列标准等,出了很多政策,网络安全产业蒸蒸日上。非常幸运,笔者作为参与者全程经历了这个时代。今天要介绍的主角是NSSA,翻译过来就是当下比较火的网络安全态势感知,命名来自于待发布的《网络安全态势感知通用技术要求》国家标准。
时间回到1996年,东软承接“九五”攻关项目—“具有信息分析功能的防火墙”,自此东软踏足了网络安全行业。2004年,基于等级保护1.0的相关技术要求,完成日志审计系统产品的研发,开启了东软网安数据分析元年。同期基于对国外SIEM产品的分析研究和国内行业客户安全运维的痛点,于2005年完成了第一代SOC(安全运维平台)产品的研发工作,自此东软从防火墙、入侵检测等单一产品厂商转型为了以SOC为核心的网络安全解决方案厂商。在此后的时间里,历经五代产品,30多个产品版本,跨越了18年的光阴。在2016年之前,东软SOC产品积累了大量的技术能力,包括强大的设备兼容能力,内置14大类,300余种设备的日志解析能力,并支持多种国内外的设备联动;采用成熟的安全分析大数据架构,具备独创关联分析专利算法,提高安全分析能力。
东软网络安全态势感知平台(NSSA),是面对高级威胁时代,实现的新一代安全运营智能大脑,面向政府、金融、医疗、电信、能源、工业互联网、车联网等行业、企业,满足用户等保合规、安全运营、应急响应、护网、重保等场景安全需求,平台基于网络空间探测能力,构建新型网络可管理性技术体系;平台结合新型威胁发现、分析溯源、SOAR等新型技术,并参考CARTA模型,实现完备的发现、防护、检测和响应四大能力;平台基于安全运营能力成熟度模型,构建完备的自动化、联动安全运营管理体系;平台基于行业业务特性,构建业务安全场景安全监测、管理体系。平台从宏观、微观各个视角评估网络的安全态势,实现历史态势回溯、实时态势评估、未来态势预测,为企业信息化管理部门的决策分析提供依据及技术手段,全面提升企业的安全监控能力、分析能力、应急响应能力,为企业的业务发展保驾护航。
以上介绍为东软网络安全态势感知平台的标准介绍文稿。这里要对产品版本做一下介绍,按照常规的研发版本,目前的版本应该是V33.0,所谓“道生一,一生二,二生三,三生万物“,也是一个很有寓意的版本。本次发布的东软网络安全态势感知平台产品,完全符合即将发布的国家标准要求,内部称呼为“国标版”,为了向国标致敬,版本号我们命名为1.0,产品愿景是打造共性技术底座,构建网络安全生态,形成体系化防护的能力。在产品研制过程中,我们也重点关注了国标的相关要求,具体如下:
东软作为网络安全综合能力厂商,在平台设计之初,除了标准技术能力的研发外,更加关注平台生态能力建设,在网络安全产品互联互通层面进行了深入研究和投入,并积极参与相关标准的编制。平台方案主打1个平台+N个探针一体化解决方案,其中探针支持不同品类水平扩展和不同品牌的异构部署,并支持多个类型的消息队列数据。
基于对相关标准和框架的理解,东软NetEye认为NSSA至少应该具备八大能力。
探针管理中心
探针管理中心除了要支持常规的网络安全设备类探针,比如流量探针,终端探针、扫描探针、阻断探针等,还有一类比较特殊的探针-应用探针。东软提出业务驱动安全,业务安全一体化策略。针对客户的业务系统定制探针,在基于常规网络安全数据的分析外,加上了业务数据的分析,更加精准的保护客户的业务系统。
数据分析中心
数据分析中心是基于大数据技术,集中采集、存储和分析全面的安全要素,基础是多维度的数据分析能力,核心是具备自适应的分析模型调度能力,同时需要具备丰富的API接口。
时间回到1996年,东软承接“九五”攻关项目—“具有信息分析功能的防火墙”,自此东软踏足了网络安全行业。2004年,基于等级保护1.0的相关技术要求,完成日志审计系统产品的研发,开启了东软网安数据分析元年。同期基于对国外SIEM产品的分析研究和国内行业客户安全运维的痛点,于2005年完成了第一代SOC(安全运维平台)产品的研发工作,自此东软从防火墙、入侵检测等单一产品厂商转型为了以SOC为核心的网络安全解决方案厂商。在此后的时间里,历经五代产品,30多个产品版本,跨越了18年的光阴。在2016年之前,东软SOC产品积累了大量的技术能力,包括强大的设备兼容能力,内置14大类,300余种设备的日志解析能力,并支持多种国内外的设备联动;采用成熟的安全分析大数据架构,具备独创关联分析专利算法,提高安全分析能力。
东软网络安全态势感知平台(NSSA),是面对高级威胁时代,实现的新一代安全运营智能大脑,面向政府、金融、医疗、电信、能源、工业互联网、车联网等行业、企业,满足用户等保合规、安全运营、应急响应、护网、重保等场景安全需求,平台基于网络空间探测能力,构建新型网络可管理性技术体系;平台结合新型威胁发现、分析溯源、SOAR等新型技术,并参考CARTA模型,实现完备的发现、防护、检测和响应四大能力;平台基于安全运营能力成熟度模型,构建完备的自动化、联动安全运营管理体系;平台基于行业业务特性,构建业务安全场景安全监测、管理体系。平台从宏观、微观各个视角评估网络的安全态势,实现历史态势回溯、实时态势评估、未来态势预测,为企业信息化管理部门的决策分析提供依据及技术手段,全面提升企业的安全监控能力、分析能力、应急响应能力,为企业的业务发展保驾护航。
以上介绍为东软网络安全态势感知平台的标准介绍文稿。这里要对产品版本做一下介绍,按照常规的研发版本,目前的版本应该是V33.0,所谓“道生一,一生二,二生三,三生万物“,也是一个很有寓意的版本。本次发布的东软网络安全态势感知平台产品,完全符合即将发布的国家标准要求,内部称呼为“国标版”,为了向国标致敬,版本号我们命名为1.0,产品愿景是打造共性技术底座,构建网络安全生态,形成体系化防护的能力。在产品研制过程中,我们也重点关注了国标的相关要求,具体如下:
东软作为网络安全综合能力厂商,在平台设计之初,除了标准技术能力的研发外,更加关注平台生态能力建设,在网络安全产品互联互通层面进行了深入研究和投入,并积极参与相关标准的编制。平台方案主打1个平台+N个探针一体化解决方案,其中探针支持不同品类水平扩展和不同品牌的异构部署,并支持多个类型的消息队列数据。
基于对相关标准和框架的理解,东软NetEye认为NSSA至少应该具备八大能力。
探针管理中心
探针管理中心除了要支持常规的网络安全设备类探针,比如流量探针,终端探针、扫描探针、阻断探针等,还有一类比较特殊的探针-应用探针。东软提出业务驱动安全,业务安全一体化策略。针对客户的业务系统定制探针,在基于常规网络安全数据的分析外,加上了业务数据的分析,更加精准的保护客户的业务系统。
数据分析中心
数据分析中心是基于大数据技术,集中采集、存储和分析全面的安全要素,基础是多维度的数据分析能力,核心是具备自适应的分析模型调度能力,同时需要具备丰富的API接口。
AI检测引擎采用统计分析、机器学习两种模式建立数学模型分析、检测。支持建立单体模式基线和组模式基线。支持对用户行为,包括流量、连接、应用等行为特征建模,能够分析、预测用户行为异常。进行用户、用户组的时域、空域特征比对,结合用户、资产的属性,将异常分析由单点拓展至组特征,已实现30余种典型异常行为告警。
资产管理中心
通过主动探测、流量自动发现、日志采集实现资产及资产多维安全要素自动发现、提取,包括资产系统信息、软硬件信息、组件信息、应用服务信息、用户信息、漏洞信息、威胁事件、异常行为信息等。对采集的资产可划分资产组、业务组进行组模式分析,管理。支持通过动态、静态标签进行资产各维度要素的检索、统计、分组建模分析、管理。
通过流量识别技术,统计分析全网资产应用层协议流量的使用实时、历史信息,包括时域流量曲线、频域连接谱线,地域连接信息,支持配置策略对特定域的连接状态进行告警、预警,支持基于应用层协议进行暴露面分析、管理,查看风险资产、风险事件,并进行联动处置,进行攻击面缩减。
资产管理中心
通过主动探测、流量自动发现、日志采集实现资产及资产多维安全要素自动发现、提取,包括资产系统信息、软硬件信息、组件信息、应用服务信息、用户信息、漏洞信息、威胁事件、异常行为信息等。对采集的资产可划分资产组、业务组进行组模式分析,管理。支持通过动态、静态标签进行资产各维度要素的检索、统计、分组建模分析、管理。
通过流量识别技术,统计分析全网资产应用层协议流量的使用实时、历史信息,包括时域流量曲线、频域连接谱线,地域连接信息,支持配置策略对特定域的连接状态进行告警、预警,支持基于应用层协议进行暴露面分析、管理,查看风险资产、风险事件,并进行联动处置,进行攻击面缩减。
功能演示:
行业戏说某云上遍地是矿机,短暂又辉煌,鉴于目前挖矿泛滥,分享一个平台检测挖矿的场景。