百卓安全态势感知解决方案发布丨百卓网络 - 守护安全 服务民生

< 返回新闻中心

百卓安全态势感知解决方案发布

9月28日,在通鼎互联主办的“沿着数据做好连接与安全”的新品发布会上,百卓网络基于多年在运营商服务经验,在大流量采集、分析、处理能力方面,结合大数据、云计算技术和公司安全团队丰富的实战经验,提出了全方位纵深防御体系----百卓安全态势感知解决方案,此方案将解决传统城墙式防御体系所面临的瓶颈。

1.jpg


什么是态势感知?

态势感知简单的概括就是一种基于环境的、动态的、整体地洞悉安全风险的能力。早在20世纪80年代,美国空军就提出了态势感知这个概念,覆盖感知、理解和预测三个层次。90年代,态势感知的概念开始被逐渐被接受,并随着网络的兴起而升级为“网络态势感知(CyberspaceSituation Awareness,CSA)”。

1995年,美国空军的工程师和前首席科学家Mica Endsley博士发表了一个态势感知状态的理论框架模型,一直被广泛使用。Endsley的模型对态势感知状态的组成描述为三个步骤或阶段:感知、理解和预测,简称Endsley模型。

2.jpg


Endsley模型

网络态势感知的现状

随着安全重要性的凸显,态势感知开始在安全领域崭露头角。2009年,美国白宫在公布的网络空间安全战略文件中明确提出要构建态势感知能力,并梳理出具备态势感知能力和职责的国家级安全中心或机构,覆盖了国家安全、情报、司法等各个领域。

2016年4月19日,习总书记在与安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知安全态势,增强安全防御能力和威慑能力。”知己知彼,才能百战不殆。没有意识到风险是最大的风险。同年12月15日,国务院发布《“十三五”国家信息化规划》提出,要全天候全方位感知安全态势。加强安全态势感知、监测预警和应急处置能力建设。

我们为什么需要态势感知

首先,目前安全形势日趋严峻,安全威胁的范围和内容不断扩大和演化,近几年网络攻击事件层出不群。今年5月发生的“勒索病毒”wannacry造成至少150个国家、30万名用户中招,造成损失达80亿美元。

其次,传统的城墙式安全防御有诸多缺陷,已经不能满足现在日益严重的安全需求。发布会上,百卓安全事业部总监杨建军指出:“传统的城墙式防御存在如下三方面主要缺陷:

一、未知攻击防御能力不足,传统的边界式防御基于特征检测,只能发现已知安全威胁,无法应对新的漏洞和攻击方法;

二、被入侵后诊断能力缺失,城墙式防护被绕过后,对于黑客在企业内网的攻击行为无法检测、追踪;

三、高误报、海量告警导致管理员维护困难,每天成百上千条告警日志,管理员无暇顾及。”

目前黑客常用的高级持续性攻击方法有发送恶意附件类型的,和基于恶意链接的跨站攻击和钓鱼网站等,都是传统城墙式防御体系所无法防御的。

百卓安全态势感知

基于安全形势日趋严峻的形势和传统城墙式防御体系存在的缺陷,百卓网络基于多年在运营商的服务经验,在大流量采集、分析、处理方面,结合大数据、云计算技术和公司安全团队丰富的实战经验,提出了百卓网络纵深防御体系态势感知方案。

发布会上,百卓安全产品部总监杨建军认为: ”百卓基于深耕多年的安全市场的理解,基于DPI骨干网安全的核心技术,我们已经建立起一套威胁发现、立体防护、安全管控、安全响应的安全解决方案体系,而态势感知就是整个体系中非常核心的一环。“

百卓网络总裁陈海滨在交流中也强调,”我们基于态势感知的安全体系不仅仅解决传统意义上的网络空间安全,我们更多的也会运用网络、运用安全技术为民生、为社会服务,反哺社会。这也是我们作为安全从业者的一个使命!”

详解——百卓安全态势感知

Endsley模型——感知,多维度流量、日志采集

3.jpg


全量采集流量日志,能够识别出3000多种常见应用,包括IM、视频、p2p等。并支持对应用的精细化识别,包括对微信的多种行为进行识别,如:微信聊天、微信语言、微信传文件等。

支持目前市场上主流的设备、系统、应用日志采集,支持不同形式的日志收集方式,通过 SNMP、Syslog、NetFlow、agent等多种方式完成数据收集功能。支持的设备日志包括主流的路由器、交换机、防火墙、操作系统日志、web服务器日志、数据库日志、应用系统日志等。

Endsley模型——理解,基于大数据的全新检测方法

4.jpg


百卓全方位纵深防御体系——安全态势感知系统设计完全基于公司丰富的安全实战经验总结,根据黑客入侵的不同阶段设计了与之相对应的安全防御体系。

Endsley模型——预测,全方位立体防御体系

5.jpg


通过流量采集器、日志采集器采集大量基础日志数据,还有在线安全检测引擎所产生告警信息统一存入安全大数据分析系统进行数据分析和攻击模型检测,同时流量采集器会保存全量的特定协议数据,以便新漏洞爆发后检测企业是否遭受过此0day攻击,也可用于攻击溯源,同时可以保存只产生过一次访问行为的攻击数据,比如钓鱼网站,跨站攻击等。