一、需求/背景
近几年,随着云计算与大数据技术的发展,主动攻击行为与高级攻击技术(APT)的复杂性不断升级,恶意代码向智能化发展,产生多种形态变种。相应威胁和风险环境已经发生了巨大的变化,新一代的高级安全技术和防护策略也在快速发展,比如以风险和安全检测为基础的方法,大量利用了威胁情报和人工智能技术。这就要求传统的SOC来适应这些新的变化,用户需要认识到传统的以防护为核心的策略已经失效,用户资产可能已经被破坏。网络安全体系必须切换到以监控和响应为核心,通过持续监测和检测,及时响应来减轻和限制攻击造成的损失。
另外一方面,国家法律法规日益完善,随着《中华人民共和国网络安全法》施行、《信息安全技术 信息系统安全等级保护基本要求2.0》出台,对政企要求更加严格;
《中华人民共和国网络安全法》
第二十一条
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
第五十一条
国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条
负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
《“十三五”国家信息化规划》
全天候全方位感知网络安全态势。加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好感知网络安全态势,做好风险防范工作。完善网络安全检查、风险评估等制度。加快实施党政机关互联网安全接入工程,加强网站安全管理,加强涉密网络保密防护监管。
公安部《信息安全技术 信息系统安全等级保护基本要求2.0》(等保2.0)中关于集中管控的要求
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
二、产品概述
NGSOC采用大数据库和自适应安全架构,以数据库和威胁情报驱动,通过基于可信度安全检测工具、流程和策略来对抗实时威胁,进而实现情景感知、行为感知和态势感知。帮助用户建成一个新型的适应自身环境特点的网络安全免疫系统。
与传统SOC相比,NGSOC具备以下特性:
数据驱动是NGSOC 的基本属性,必须采用大数据平台架构为支撑,支持超大数据量的采集、融合、存储、检索、分析、态势感知和可视化。
安全分析依赖于安全情报。NGSOC情报来自超过60个威胁情报源,超过5个国家的威胁情报。每天收集超过10万条最新情报,可插装新的异构威胁情报学习模型。
支持多维数据源的采集,包括各类设备日志、原始流量、终端与用户行为等;覆盖预警、防护、监测、响应各个环节,能够集成资产配置库(CMDB)、漏洞管理、配置核查、身份管理等数据源,并引入外部威胁情报数据,进行积极的预警和防御。
建立起智能化的安全分析能力,实现异构模型预测质量评估、模型与数据拟合度评估、超过10种模型的交叉学习、基于可信度的网络恶意行为检测,实现人工自能对抗。
提供可视化的分析工具,安全分析人员根据收到的线索进行人机交互查询和分析,尤其是高级安全分析和威胁追捕。
支持资产的可视化、类攻击可视化、策略可视化、风险可视化、合规可视化、业务安全可视化以及可视化攻击分析等。
开放的API接口模式,支持跨组织之间的情报共享,响应协作,以及设备之间的协同响应处理。
三、核心功能
四、平台架构
五、用户收益