基于關(guān)鍵基礎(chǔ)設(shè)施主動安全防護的威脅情報中心建設(shè)方案

當前,隨著數(shù)字化發(fā)展的不斷深入,關(guān)鍵信息基礎(chǔ)設(shè)施作為國家的重要戰(zhàn)略資源,面臨著國內(nèi)外嚴峻的網(wǎng)絡(luò)安全風險。構(gòu)建適合自身業(yè)務(wù)場景的威脅情報體系,完善整體安全防護能力,將威脅情報應(yīng)用融入日常安全運營,不斷提升實時響應(yīng)能力,構(gòu)建點面結(jié)合的主動安全防御能力。

實施背景

為了確保國家安全,在國家發(fā)展各領(lǐng)域和全過程中,需要將安全發(fā)展貫穿始終,筑牢國家安全屏障。傳統(tǒng)局部的、各自為政的、基于特征的信息安全解決方案在當今世界信息安全爭奪戰(zhàn)中已經(jīng)暴露出極大的不足,APT正在成為當前信息安全的主要黑手,政府、軍隊、金融、能源和其他大型企業(yè)則是攻擊的首要目標。信息系統(tǒng)被入侵、主機被控制、核心機密數(shù)據(jù)失竊,這樣的惡性事件每天都在發(fā)生。主動安全防御能力成為決定關(guān)鍵基礎(chǔ)設(shè)施生存和發(fā)展的關(guān)鍵因素,而威脅情報則是主動安全防御戰(zhàn)略成敗的關(guān)鍵要素。

實施目標

通過建設(shè)本地化網(wǎng)絡(luò)威脅情報中心,借助大數(shù)據(jù)手段和威脅情報等前沿安全技術(shù),構(gòu)建一體化的智能安全服務(wù)技術(shù)體系,提供智能化的威脅監(jiān)測、各類安全數(shù)據(jù)的采集與分析、自有威脅情報的生產(chǎn)、輸出和賦能、共享等高級安全服務(wù)。

(一)提供威脅監(jiān)測與預警服務(wù),有效應(yīng)對威脅

基于安全大數(shù)據(jù)平臺,支持大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的多源安全要素,進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預測,提供決策支持與行動的服務(wù)能力。

(二)基于情報的產(chǎn)品聯(lián)動,提升傳統(tǒng)安全防控措施的效能

大數(shù)據(jù)正在改變諸如反惡意軟件、數(shù)據(jù)外泄保護、網(wǎng)絡(luò)入侵檢測、防火墻等傳統(tǒng)安全控制措施的性質(zhì)。目前,借助威脅情報等建立的安全大數(shù)據(jù)分析與共享機制,可以做到快速打通傳統(tǒng)安全措施和新興安全技術(shù)之間的信息壁壘,大幅提高安全檢測和響應(yīng)處置的速度和效率,使得傳統(tǒng)安全防控措施的效能得到全面提升,形成一個“云+地一體”的安全情報應(yīng)用服務(wù)體系,以較低的技術(shù)成本實現(xiàn)安全產(chǎn)業(yè)鏈的轉(zhuǎn)型升級,并適應(yīng)未來安全保障的實際需要。

(三)借助自身平臺的海量數(shù)據(jù)資源支撐,對所有歷史情報和安全基礎(chǔ)信息進行格式化關(guān)聯(lián),并以“1+N”模式開放相應(yīng)的威脅溯源服務(wù)。安全運營人員除通過API接口獲取單條或多條威脅的溯源結(jié)果信息外,還可通過可視化界面進行關(guān)聯(lián)數(shù)據(jù)多層鉆取,以獲取威脅線索擴展分析與溯源定位能力,輔助其開展事件分析與響應(yīng)處置工作。

建設(shè)內(nèi)容

建設(shè)本地化威脅情報管理平臺,收集并匯總多方威脅情報源數(shù)據(jù),多渠道、全方位引入內(nèi)外威脅情報資源,融入大數(shù)據(jù)中心,形成核心“威脅情報庫”,生成攻擊者畫像標簽?;诎踩髷?shù)據(jù)中臺,匯聚現(xiàn)有安全產(chǎn)品的日志和流量信息,通過網(wǎng)內(nèi)全流量采集探針和終端采集能力,結(jié)合安全編排及自動化(SOAR)和擴展式檢測響應(yīng)技術(shù)(XDR)相關(guān)理念和技術(shù),自動化關(guān)聯(lián)系統(tǒng)資產(chǎn)、安全漏洞、全網(wǎng)流量、終端行為、威脅情報等上下文信息,對網(wǎng)絡(luò)空間威脅進行監(jiān)測,對網(wǎng)絡(luò)安全威脅情報進行偵察,失陷對網(wǎng)絡(luò)攻擊活動的追蹤溯源,將“事前主動預警、事中應(yīng)急響應(yīng)、事后多維追蹤”落到可操作層面。通過交互式取證功能和威脅評分等方式輔助人工分析研判工作,提高了安全監(jiān)測、事件分析和告警研判工作的自動化比例,節(jié)省了安全人工成本,并提高了安全運營的整體效率。

解決方案部署圖.png

實施效果

通過搭建基于關(guān)鍵基礎(chǔ)設(shè)施安全防護的威脅情報中心,實現(xiàn)網(wǎng)絡(luò)安全防護從縱深防御向主動防御的轉(zhuǎn)變,全面提升現(xiàn)有安全防護體系中的安全產(chǎn)品檢測、防御、研判能力。多節(jié)點級聯(lián)部署模式,實時共享最新威脅情報信息,快速傳遞高危攻擊源信息,避免攻擊者的橫向蔓延,從點到面形成整體網(wǎng)絡(luò)安全防御體系,有效抵御安全攻擊。

THEEND

本月熱門