本地安全大脑

背景综述

随着数字化进程,企业面对越来越多的安全挑战,客户花钱购买各种各样的安全产品,但安全问题依然层出不穷。传统安全防护模式频遇“水土不服”,主要有三个方面原因。

  • 第一,安全的本质是对抗,大部分厂商能讲很多理论,但缺乏真正的国家级大规模对抗经验

    传统安全防护体系是对安全本质认识不足,安全并不像大部分的业务系统,只要按照规划一步步建设便高枕无忧,它要面临持续的攻击,所以安全系统的本质是提升用户对抗的能力。而现实中很多厂商能提出各种安全理论,但并没有经历过真正国家级大规模实战对抗,就像军队没有上过战场,怎么能够给出行之有效的安全体系架构。所以客户需要的是一套真正从实战中总结的,能够提升对抗能力的安全新框架。

  • 第二,对抗的关键是持续运营,大部分厂商缺乏攻防专家也缺乏运营战法。

    如何提升用户的对抗的能力,这就需要持续的运营。传统的安全运营大多数是安全运维,也就是维护安全设备的运转,以及单个设备告警的处置,这样往往一年下来用户的安全能力并没有真正得到提升。真正的安全运营一是看有没有办法评价现状和目标的差距,二是能不能持续的改变现状积累能力,最终达到目标。

  • 第三,持续运营的目的是能力积累,大部分厂商无法提供让客户积累能力的基础设施。

    持续运营过程中积累的能力存放在哪里呢?有些厂商把安全能力转化为安全设备里的一条条规则,但是一换设备很多能力就丢掉了;还有一些厂商把能力转化为运营手册,但它没有办法自动化。在360看来必须有一个集中的系统来体系化的汇聚运营知识和能力,并且把人的能力转化为系统的能力,这就是360提出的安全大脑。

产品概述

本地安全大脑是“360云端安全大脑核心体系”本地化部署的一套开放式统一安全平台,包含安全大数据平台和多种安全应用(APP),以产品套件的形态服务客户,全方位提升安全能力。

本脑为客户安全运营中心提供基于安全大数据分析的多种核心场景能力:态势感知、态势监管、多维检测和响应(XDR)、抗攻击能力评估等。

本脑通过360云端安全大脑的赋能获得超越传统态势感知的大网全局视野和高位安全能力,帮助客户应对在安全运营中“看不见的高级威胁”和“告警风暴”两大核心挑战,全面提高预警、检测、分析、研判、响应、评估的质量。

usage-scene

功能模块

usage-scene

应用场景

场景一:企业安全运营能力建设

问题:
  • 企业安全能力并未随着设备采购而线性提高,碎片化严重,却各自为战,不能有机结合;告警噪音大、自动化程度低无法迎接高级威胁日益猖獗的挑战;依赖个人能力的安全事件研判慢、决策难导致对各类安全威胁难以做出快速反应;被动防御、纵深防御等体系建设到中后期需要新的运营方法赋能。
解法:
  • 本地安全大脑协助企业逐步构建安全对抗能力:一期围绕网络安全建设构建安全大数据分析中心,实现统一数据标准、数据集中化、状态可视化、分析智能化,打通各安全产品,提高安全事件的可见性;二期围绕持续安全运营,引入360威胁情报、SOAR安全运营自动化、安全运营服务等,提升安全事件的决策响应能力;三期面向内网合规管理和运营能力跃迁,引入用户行为分析、多级部署、全局关联和各种专项服务,外网安全与内网安全、应用安全结合构建全场景安全能力。
特点:
  • 落一子,全盘活。通过本地安全大脑的落地直接激活全线产品的能力跃迁,协助构建数据标准、流程标准、事件标准,在专业运营服务护驾下通过云端+本地双向大数据技术加持下线性提升安全运营能力。

场景二:实战化安全对抗演习

问题:
  • 体系化、实战化演习的强度、深度逐年提高,对应急响应效率和速度的要求越发苛刻,以及防守报告的准确度、完整度也达到了新的高度。松散的安全防守思路已经无法有效应对安全对抗的要求,需要集中化、集约化、体系化的安全运营对抗平台来解决实战化演习挑战,进而达到以“以攻促防”的效果。
解法:
  • 本地安全大脑接入各类神经元数据构建统一的安全数据中心,解决威胁看的见的问题;本地模型与云端大数据联动分析,解决威胁研判决策问题;一体化响应处置系统和自动化编排解决威胁自动化处置问题;知识图谱牵引的抗攻击能力评估系统,解决战前准备和战后模拟总结问题,主动提升防御能力。通过协同化的监测、分析、研判、溯源流程实现告警降噪、快速决策、自动响应,以便应对演习对抗实现精准发现、快速止损、快速上报。
特点:
  • 全面的360云端知识和情报能力,体系化XDR关联和决策,完善的安全运营服务在本地安全大脑上开展高强度安全对抗和溯源猎捕,从被动防御向主动评估、主动迭代、主动检测的安全持续对抗过度。

场景三:高级威胁事件猎捕

问题:
  • 持续性高级威胁的发现通过单点设备检测误报率、漏报率比较高,需要通过大数据技术和专业安全分析进行多元化、长周期数据的检测、分析、溯源来应对。但是客户的数据量对于高级威胁来说还只是“小数据”,所以除了本地化大数据技术以外还需要真正海量数据的赋能。
解法: 本地安全大脑有专项高级威胁模块来应对挑战,通过如下思路进行化解:
  • 汇聚所有安全设备告警、网络行为、终端行为及系统日志,开展行为类威胁的关联检测和分析
  • 专项针对网内可执行、脚本化和无文件样本或行为进行鉴定和检测,开展样本类威胁检测和分析
  • 根据行为检测和样本检测的线索结合360云端大数据进行研判分析,寻找同源性、家族关系及传播范围等
  • 通过云端赋能的专项APT情报针对本地长周期数据进行回扫溯源,挖掘潜伏威胁
  • 本地安全大脑将关联所有检测结果、攻击行为和上下文进行画像,对攻击链进行综合研判,分析攻击者的企图、手段以及受害范围,调用SOAR进行响应和处置
特点:
  • 云端情报提供线索运用大数据分析技术进行本地挖掘分析,通过云端“大数据”+本地“小数据”对攻击样本、恶意行为展开多维度关联和跟踪。

场景四:知识驱动抗攻击能力度量体系

问题: 随着安全建设的深化,新的难题摆在管理者面前,如何跨过临界进入下一次跃升成为当务之急:
  • 买了很多设备,到底行不行,差距在哪里,如何度量改进?
  • 渗透测试是随机性攻击,取决于执行的当事人,对能力改善帮助不大
  • 未来的安全建设怎么规划,是否有办法依据成熟度定义
解法:
  • 构建体系化的知识图谱,沉淀攻击技术、防御手段、经典案例过程等,指导主动安全建设
  • 构建新的安全成熟度评价方法论,将知识转化为可执行的技术控制点
  • 构建自动化的能力评估系统,在知识的牵引下针对控制点形成客观的、不断迭代的高频次评估指标,进行差距分析进而持续提升安全对抗能力
特点:
  • 拥有东半球最全的安全视野,聚集十数年发现的攻击手法和过程,提炼形成独有的知识图谱;国内率先提出新的安全方法论,引领下一代安全能力建设;率先落地产品化抗攻击评估系统,无损评估安全防御能力,将对抗频次由季度提升到天。

部署方案

本地安全大脑内置多级部署架构,总部本地安全大脑可直接访问下级数据,随时获取下级分中心/分公司威胁态势,实时跨数据中心关联分析全局安全事件,全面监控各级平台上的威胁事件。

usage-scene