随着网络威胁的不断增加,企业网络需要建设稳健、可靠、可信的网络安全环境,以应对不断变化的网络安全挑战,提高企业的安全韧性。同时,企业高层和运维管理人员需要对安全态势的不断监控和评估,并采取相应的措施和策略。
网络攻防形势升级驱动态势感知变革
网络态势感知产品可通过掌握网络安全状态,发现安全风险,并进行展示、监测和预警。而面对不断变化的网络形势,网络态势感知还需要满足快速应对网络攻击、灵活适应网络环境、高效运维网络安全建设等要求。
1.网络态势感知需要快速应对网络攻击
在网络安全威胁不断演变和进化的情况下,企业需要有一套能够及时掌握网络整体安全态势的系统,建立起全面、快速、准确的安全事件响应机制。这就要求网络态势感知能够具备感知、评估、预警、响应等环节,从而不断升级和提高企业网络安全防御的能力。
2.网络态势感知需要灵活适应网络环境
网络态势感知需要灵活适应网络环境的变化,以确保安全事件能够在最短时间内得到响应和处理。网络环境是动态变化的,包括网络拓扑、入网设备、网络应用、流通数据等,网络安全态势也是时刻变化的,同时,不同的行业属性环境其网络结构也存在差异。因此网络态势感知需要根据变化的网络环境灵活采集和分析,快速适应网络环境的变化。
3.网络态势感知需要高效运维网络安全
保障企业网络的稳健、可靠、可信,安全运营人员责任重大,他们需要兼顾大量的业务系统、网络设备、安全设备的运维工作和安全告警处置工作,必须做到高效运维,高效处置事件。同时,也要应对未知威胁、潜在威胁。因此,安全运营人员需要一个准确易用的集中运营管理平台,提高业务连续性。
威努特态势分析与安全运营管理平台
智能应对多变的网络风险
威努特态势分析与安全运营管理平台(简称威努特SASOC)是威努特结合多年网络安全攻防和运维实践,推出的一款监测运维类态势感知产品。平台以风险管理为中心,通过大数据引擎关联分析资产、威胁、脆弱性三要素,为安全运维决策提供建议和帮助,实现动态灵活的安全态势,打造一站式安全运营中心,助力企业提高安全韧性和业务连续性。
威努特SASOC,是网络安全大脑,也是提供风险评估和应急响应的决策支撑的安全运维工具。威努特SASOC通过集中管控网络安全设备、网络通讯设备,收集多元异构的海量日志,利用关联分析、机器学习、威胁情报等技术,为安全运营人员提供事前风险排查、事中安全监测、事后追踪溯源的一站式安全运营服务。
威努特SASOC客户价值
威努特SASOC产品是一款运维监测态势感知,除了满足合规要求,可以真正帮助客户高效运维,提高安全防御能力,实现高效安全事件处置。
资产拓扑可控可视
通过刻画资产画像、访问关系、策略、安全状态等信息,将资产可视化表达,解决入网资产失控,边界模糊等难题。
威胁漏洞可视可溯
针对漏洞、威胁,攻击、违规行为统计、分析,通过拓扑、地图等可视化展示。同时,对攻击路径解析,对攻击链溯源,从而为处置风险提供依据,提高系统韧性。
减轻海量告警疲劳
对海量单点安全事件进行合并、去重、范化、分级、关联分析,大幅降低误告警数量,提高事件处置响应处置速度。
多维提升运维效率
提供资产统一管理、策略统一配置、日志统一收集、告警统一分析,威胁统一展示等多维度的便捷运维功能。
满足安全合规要求
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中要求对企业的区域边界、通信网络和计算环境进行统一管理,构建“一个中心、三重防护”的安防体系。
《信息安全技术 关键信息基础设施网络安全保护基本要求》中要求“采用自动化机制对关键业务所涉及的信息系统的所有监测信息进行整合分析,以便及时关联、分析关键信息基础设施的网络安全态势。”
威努特SASOC产品特色
丰富的安全知识库,夯实安全分析基础
系统内置多种安全知识库为更高阶的安全事件关联分析提供数据基础:
1.内置千种工控系统常见漏洞,通过无损扫描,在识别资产的同时,自动发现工控设备漏洞,并提供专业的漏洞修补解决方案。
2.内置威胁情报库,覆盖APT、恶意软件、恶意域名、恶意IP、钓鱼网站等多种类型的情报信息,高效识别恶意威胁。
3.内置处置建议库,根据实际场景自定义告警处置建议,方便指导管理员根据实际情况进行告警处置。
4.内置合规分析模板库,结合国家标准和行业标准,详细解释每一条的要求和检查标准,方便管理员以此为依据进行等保合规排查。
多年网络攻防经验,打造场景化安全态势
通过多年积累,场景化关联分析资产上报的漏洞、威胁、告警等,打造更贴合用户视角的安全态势。
特别是工业场景下的工控态势,工业环境在组网部署、业务模型、通信协议、安全策略等方面有别与传统网络环境,威努特在工控领域经过多年积累,能够分析工业环境的恶意软件、异常指令和失陷主机等,发现失陷业务,阻断攻击下钻、挖掘潜在的业务异常情况,形成工控态势。
智能关联分析引擎,全面告警降噪
通过智能分析引擎,实时关联分析,迅速识别安全威胁。系统内置超过100条关联分析规则,对海量告警和讯息进行去重、分组、合并、继承,降低误报数据,提高告警可用性。站在安全视角,关联分析可分为如下几类:
1.基于规则的关联分析:是将可疑的活动场景(暗示某潜在安全攻击行为的一系列安全事件序列)加以预先定义,系统能够根椐定义的关联性规则表达式,对收集到的事件进行检查,确定该事件是否和特定的规则匹配。系统应内置规则库对安全事件进行分析和监控。
2.基于统计的关联分析:参照国家相关标准,定义安全事件类别,对每个类别的事件设定一个合理的阀值,将出现的事件先归类,然后进行缓存和计数,当在某一段时间内,计数达到阀值,可以产生一个级别更高的安全事件。
3.基于资产的关联分析,安全事件能够自动根据IP地址与资产进行关联。
4.基于漏洞的关联分析,资产存在漏洞,安全事件利用漏洞,通过将两者的漏洞集合关联,可以剔除虚假告警。
多层次资产信息刻画,彻底摸清家底
采用无损探测技术,识别发现网络中的资产信息,同时,匹配内置资产指纹库,包括西门子、施耐德、罗克韦尔工控设备指纹,传统网络安全设备和通讯设备指纹,大大提高资产刻画效率和准确度。
最终形成多维度资产画像,包括:
基本信息:设备名称、IP、MAC、类型、操作系统、厂商、区域等信息。
运行状态:CPU利用率、内存利用率、硬盘利用率、网口状态和流量信息等。
告警信息:资产当前相关的告警列表。
漏洞信息:资产当前相关的漏洞列表。
配置信息:资产当前的配置信息,识别不合规不安全的配置项。
端口服务:资产当前开启的监听端口和服务信息,识别高危端口。
访问关系:资产当前和网络中其他设备的通讯关系,识别非法连接。
事件规律深入挖掘,发现隐匿威胁
系统内置事件挖掘算法,可根据事件时间、属性、趋势等发现隐匿威胁,预警网络风险。
1.关联事件挖掘
系统内置事件挖掘算法,结合安全事件的实际发生场景,去除噪音,从序列数据中找出全部频繁序列模式,从而发现安全事件之间的关联关系。
2.时间周期挖掘
系统对时间序列进行傅里叶变换,即时域频域转换,得到时间序列周期估计值。使用ACF(Auto-Correlation Function)算法计算对应周期的ACF自相关系数,取自相关系数最大且强相关的周期估计值,从而获得安全事件序列的周期特征,根据周期性进行预测和预判。
3.事件趋势预测
系统采用自回归移动平均模型ARMA(Auto Regressive Moving Average)进行趋势预测。根据特征提取后的网络流量数据进行模型建立过程,通过数据预处理、时间序列分解、模式识别、ARMA模型训练、模型评价等过程,最终输出训练好的模型,根据该模型进行时间序列的趋势预测和异常点检测。
一站式安全运维,全面提升运维效率
作为安全管理的统一入口,实现从设备状态监控、安全策略配置和下发、软件升级和授权、安全事件收集和处置,支持内网多区域管理及跨地域级联管理,解决多种安全设备带来的安全管理分散问题,显著提升日常安全运维效率。
1.设备状态监控
实时监测系统运行状态和安全状态,基于可视化拓扑实时展示设备信息、日志信息、告警信息、运行信息。
2.安全策略自学习
支持工业协议白名单策略自学习,基于网络流量自动生成白名单策略,解决白名单策略配置难题,同时支持从收集到的安全事件自动提取安全策略,解决业务系统配置变化,安全策略不能实时调整难题。
3.行业策略模板
内置电力、轨道交通、核电等行业主机安全防护策略模板,一键式批量下发主机安全防护策略。
4.设备级联管理
对于大型集团企业,往往存在多个大规模局域网,或者跨地域广域网,需要部署多台安全管理平台,由于地域分散,安全管理员不能及时了解下级节点的安全状况并调整安全策略,级联管理能够汇总同步下级节点的策略和安全数据,同时能够从上级节点实现安全策略的配置和下发。