在信息化�����、互聯(lián)網迅猛發(fā)展并被廣泛應用的同時����,數(shù)據(jù)泄露事件也愈演愈烈。近年來����,在大數(shù)據(jù)及大數(shù)據(jù)系統(tǒng)下,由數(shù)據(jù)傳遞��、共享所形成的數(shù)據(jù)鏈條更是起到了推波助瀾的作用——如果數(shù)據(jù)鏈條的某個環(huán)節(jié)出現(xiàn)問題��,很可能導致整個鏈條數(shù)據(jù)安全形勢的急轉直下甚至徹底崩潰����。
今時不同往日
如今,有越來越多企業(yè)的管理者開始意識到安全問題的重要性�,其中業(yè)務的不安全性在很大程度上源自數(shù)據(jù)的不安全性��,如果想從多維度���、多方面提升系統(tǒng)安全和服務品質,應在增強系統(tǒng)和網絡等安全能力的同時�,通過對數(shù)據(jù)使用進行專業(yè)的安全狀況分析,了解用戶的使用習慣����,發(fā)現(xiàn)深藏的安全隱患,從而多角度提升安全決策的準確性以及客戶訪問的感觀��。
《SecurityInformation and Event Management Futures and Big Data Analytics for Security》一文中特別強調了與“分析的意識和探索數(shù)據(jù)的欲望”相關的內容��,認為這才是數(shù)據(jù)安全中最關鍵的成功標準���。數(shù)據(jù)是可視化的基礎��,數(shù)據(jù)在使用過程中具有數(shù)據(jù)量大�����、多樣性,實時性等特點�,將不同來源的數(shù)據(jù)整合到一起����,結合業(yè)務需求����,確定相關數(shù)據(jù)之間的關系,對異常行為進行分析和監(jiān)測����,這種方式充分結合了計算機和人腦在圖像處理方面的能力優(yōu)勢,提高了對數(shù)據(jù)的綜合分析能力���,從而有效降低了誤報率和漏報率�����,提高了系統(tǒng)檢測的效率�,并減少了反應所需的時間���。目前���,市場上已有一些比較成熟的安全分析系統(tǒng),但是大部分都是基于某一方面的需求����,而不具有完備的分析模型����。
因此�����,在數(shù)據(jù)驅動安全概念流行的今天��,如何從海量數(shù)據(jù)信息中提取出有價值的信息來幫助安全人員更好的進行分析����、決策是數(shù)據(jù)安全可視化研究的重要課題之一。
讓數(shù)據(jù)安全可視化
隨著互聯(lián)網應用越來越廣泛��,其規(guī)模越來越龐大���,多層面的威脅和風險在不斷增加���,所帶來的損失也越來越大;如今���,風險行為正向著分布化����、規(guī)?��;?����、復雜化等方向發(fā)展���,僅僅依靠防火墻、入侵檢測�����、訪問控制等單一的傳統(tǒng)安全防護技術�����,已不能滿足信息安全的整體需求�,因而迫切需要應用新的技術以及時發(fā)現(xiàn)數(shù)據(jù)使用中的異常行為,實時掌握數(shù)據(jù)安全狀況���,將之前很多只能亡羊補牢的事中�、事后處理,轉向事前自動評估預測�,從而降低數(shù)據(jù)安全風險,提高數(shù)據(jù)安全防護能力��。
在此背景下�����,安華金和數(shù)據(jù)安全可視化系統(tǒng)應運而生��,面對傳統(tǒng)安全防御體系失效的風險��,數(shù)據(jù)安全可視化系統(tǒng)能夠全面感知安全威脅態(tài)勢����,洞悉應用運行健康狀態(tài),并通過全流量分析技術實現(xiàn)完整的外部攻擊溯源取證�,幫助安全人員采取具有針對性的響應處置措施。
安華金和數(shù)據(jù)安全可視化系統(tǒng)(DSVS)以“資產”為核心���,通過可視化技術對資產分布��、使用情況及已知風險����、未知威脅信息等進行可視化呈現(xiàn),為安全管理者提供可靠的數(shù)據(jù)信息�。DSVS以海量日志為核心,采用模塊化的工作組件設計和大數(shù)據(jù)分布式系統(tǒng)架構��,基于異構數(shù)據(jù)源整合����,可以輕松接入企業(yè)各個業(yè)務系統(tǒng)�,徹底打破數(shù)據(jù)孤島局面;同時�����,通過實時的數(shù)據(jù)展現(xiàn)��,幫助企業(yè)第一時間了解業(yè)務情況并及時做出決策��。DSVS系統(tǒng)通過采集數(shù)據(jù)中心的數(shù)據(jù)����,利用機器學習、數(shù)據(jù)建模�����、行為識別、關聯(lián)分析等方法對數(shù)據(jù)資產的使用情況進行統(tǒng)一分析�����,實現(xiàn)對攻擊行為��、安全事件�����、未知威脅的發(fā)現(xiàn)和告警�����,并提供對日志信息數(shù)據(jù)的存儲�����、全文檢索��、關聯(lián)分析����、可視化展現(xiàn)等功能��。
目前��,數(shù)據(jù)安全可視化系統(tǒng)已廣泛應用于政府�、金融��、電信運營商�、能源、互聯(lián)網公司等場景�����,實現(xiàn)了數(shù)據(jù)安全信息的集中存儲��、可視化展示�����、全文檢索分析��、異常行為檢測��,并滿足國家��、行業(yè)對安全合規(guī)性的相關要求��。
亟待解決的問題
1��、安全數(shù)據(jù)分散��,資產安全狀況難以統(tǒng)一監(jiān)測
由于企業(yè)資產量級龐大��、業(yè)務系統(tǒng)繁多�、關聯(lián)關系錯綜復雜等原因,造就了數(shù)據(jù)格式不統(tǒng)一�、數(shù)據(jù)管理混亂的內部現(xiàn)狀。大量的監(jiān)測結果只是單一反映某個系統(tǒng)存在的問題��,呈現(xiàn)方式也多種多樣����,對很多安全防護設備的告警及海量安全數(shù)據(jù)無法進行統(tǒng)一展示、關聯(lián)分析����、數(shù)據(jù)挖掘與攻擊溯源,而僅憑人工操作難以識別出眾多安全事件的內在聯(lián)系���,很可能會忽略一些惡意用戶的蓄意攻擊行為���,從而耽擱對安全事件的及時發(fā)現(xiàn)與有效處置����。如何將分散各處的數(shù)據(jù)(甚至孤島數(shù)據(jù))有效搜集和匯總起來進行綜合分析���,是數(shù)據(jù)安全治理的重要一步��。
2����、數(shù)據(jù)處理難�,數(shù)據(jù)應用也得不到創(chuàng)新
由于對不同部門、不同業(yè)務以及涉及的不同數(shù)據(jù)����,缺乏統(tǒng)一���、實時的數(shù)據(jù)分析展示平臺�����,即便是將流量信息�����、漏洞信息�����、日志信息��、資產信息����、業(yè)務信息等海量數(shù)據(jù)都收集起來,這些數(shù)據(jù)也無法發(fā)揮其真正的價值�。此外,如何將海量數(shù)據(jù)進行綜合處理分析���,最終將資產安全狀況��、數(shù)據(jù)與業(yè)務之間的流轉關系�、未知威脅情況完整的呈現(xiàn)給安全管理者����,同樣是數(shù)據(jù)安全治理的關鍵環(huán)節(jié)。推動創(chuàng)新型企業(yè)���、提高行政效率��,離不開強大的數(shù)據(jù)處理分析技術支撐����。只有讓數(shù)據(jù)成為決策的依據(jù),才能真正發(fā)揮其價值����。
3、傳統(tǒng)手段和技術無法應對高級威脅
當前���,傳統(tǒng)基于規(guī)則和黑白名單的檢測手段不具備體系化的防御能力�����,已無法應對快速變化發(fā)展的威脅�。傳統(tǒng)方式和技術手段“不懂”新出現(xiàn)的違規(guī)�、異常行為的意義和邏輯��,單純依賴特征庫匹配進行機械式的審計��、攔截�����、阻斷、放行等判斷��,已無法有效判斷風險源��,防護也就無從說起��,問題主要體現(xiàn)在:
(1)面對復雜攻擊���,僅憑簡單疊加構成的安全防線很容易被繞過和規(guī)避��;
(2)不能對整體資產分布及數(shù)據(jù)使用情況做到全面掌控����,安全運維管理便無從下手�;
(3)邊界安全防護對未知威脅只能在事后階段檢測到,而不能在事前或事中及時發(fā)現(xiàn)�����,用戶最多只能止損�,卻無法預防;
(4)缺少能對信息系統(tǒng)內部海量數(shù)據(jù)進行快速分析的工具�,無法有效利用數(shù)據(jù);
(5)無法將風險源與目標庫信息進行對稱��,缺少本地原始數(shù)據(jù),難以溯源分析��。
4��、現(xiàn)有安全運營響應處置困難
產生告警很容易�����,但是多數(shù)客戶的情況是告警數(shù)量太多���,缺乏有效的歸納和梳理�����。簡單粗暴的方式已不能真實呈現(xiàn)一個完整的威脅��,而處置響應又極度依賴于威脅的準確性���。很多客戶在安全運營方面一般是一人多責,對于威脅的監(jiān)控和處置不夠及時�����。同時���,由于缺乏對風險事件的統(tǒng)一監(jiān)測與一鍵處置能力��,非安全專業(yè)的維護與監(jiān)控人員識別�、分析風險事件的能力有限��,應急響應速度很慢�����,且主要通過電話等方式逐級傳報�����,傳報流程與耗時過長�。此外��,現(xiàn)有安全運營平臺缺乏對海量大數(shù)據(jù)進行存儲分析與處理的能力���,無法對信息進行有效挖掘分析�����,從而導致對異常行為的發(fā)現(xiàn)能力不足��,對已知風險和未知威脅的響應不及時�。
可視化系統(tǒng)的創(chuàng)新
DSVS要做看得見的安全。對于安全運維人員�,以資產和人為視角出發(fā)的DSVS系統(tǒng),能夠實現(xiàn)對整個業(yè)務系統(tǒng)安全運行情況的全面監(jiān)控�,并從全局角度提升業(yè)務系統(tǒng)對安全威脅的發(fā)現(xiàn)識別、理解分析��、響應處置等能力��。同時��,提供豐富的安全運維及服務工具���,幫助安全運維人員提升日常安全管理與運維效率�����。
DSVS系統(tǒng)要以最佳的可視化效果向用戶進行呈現(xiàn)��。使用者所關心的重要數(shù)據(jù)資產是什么樣的——在哪里�、流向何處��、狀態(tài)如何、何人使用����、效果如何���,有沒有風險和異常行為����,是否存在安全隱患等等�。將以上用戶關心的信息用簡單清晰的可視化方式呈現(xiàn)出來,形成用戶對數(shù)據(jù)安全分析的基礎���。與此同時�����,對數(shù)據(jù)使用情況進行二維�、三維可視化呈現(xiàn)�,基于圖論模型最大程度的展示數(shù)據(jù)使用的聯(lián)系及數(shù)據(jù)流向,輔助決策者分析業(yè)務行為����,快速發(fā)現(xiàn)問題���。通過系統(tǒng)主動識別發(fā)現(xiàn)、手動導入或創(chuàng)建的方式來梳理目標網絡中需要被防護的重要資產及業(yè)務對象���,對海量日志進行集中分析和挖掘���,實現(xiàn)了對企業(yè)整體資產分布、使用情況����、安全事件分析、數(shù)據(jù)安全態(tài)勢等的呈現(xiàn)���,真正做到數(shù)據(jù)的可視與安全可見����。
1�、多源數(shù)據(jù)采集,統(tǒng)一平臺監(jiān)控
數(shù)據(jù)安全可視化系統(tǒng)能夠收集多類信息��,包括但不限于:流量信息�、漏洞信息、日志信息���、資產信息���、業(yè)務信息等�����,并將這些類別的基礎信息匯入到系統(tǒng)中,以幫助用戶實現(xiàn)全流量���、全要素以及安全威脅信息的實時捕獲和監(jiān)測��。在項目實踐中���,數(shù)據(jù)安全可視化系統(tǒng)具備對所采集的信息通過數(shù)據(jù)分析處理,形成元數(shù)據(jù)管理���、資產數(shù)據(jù)分析�����、運行狀態(tài)分析��、數(shù)據(jù)使用分析�����、安全事件管理�、審計日志分析、未知威脅分析等全要素信息統(tǒng)籌分析的能力����。可以看到�,全要素、全流量�、全信息的采集能力可以在后續(xù)對數(shù)據(jù)資產整體安全狀況進行風險識別與未知威脅分析時,提供強大的數(shù)據(jù)支撐����。
2、海量數(shù)據(jù)處理���,數(shù)據(jù)應用創(chuàng)新
數(shù)據(jù)安全可視化系統(tǒng)收集流量信息�、漏洞信息��、日志信息�����、資產信息、業(yè)務信息等多類信息�����,在信息匯聚過程中可完成對原始數(shù)據(jù)的接收��、過濾�,提取、轉換等一系列數(shù)據(jù)處理行為��?�;谶@些數(shù)據(jù)處理行為����,系統(tǒng)會根據(jù)數(shù)據(jù)的類別將其劃分為業(yè)務數(shù)據(jù)��、資產數(shù)據(jù)�����、規(guī)則庫等等���,此類數(shù)據(jù)將會為后續(xù)統(tǒng)計分析提供有效的數(shù)據(jù)支撐�����。安華金和將關聯(lián)分析�����、數(shù)據(jù)統(tǒng)計��、場景分析和策略四大引擎融入系統(tǒng)之中���,通過這些高度抽象��、高度專業(yè)化的引擎支撐�,讓對各個基礎組件的數(shù)據(jù)梳理�、分析、呈現(xiàn)變得更簡單�。
通過以上對數(shù)據(jù)的處理分析,最后呈現(xiàn)給用戶的大屏可視化就是對數(shù)據(jù)的應用創(chuàng)新��,也是對用戶來說最直觀的產品功能與價值呈現(xiàn)���??梢暬尸F(xiàn)包括五個維度的內容:整體資產分布與存儲狀況、資產使用狀況分析�、數(shù)據(jù)與業(yè)務流轉關系分析、已知違規(guī)風險分析�����、未知異常威脅分析�����。
3��、場景分析建模���,高級威脅應對
傳統(tǒng)基于規(guī)則建立安全基線的風險發(fā)現(xiàn)方式�����,無法應對快速變化的、新出現(xiàn)的高級威脅����。除了建立安全基線外,還需對特定場景進行分析����,形成對異常未知威脅行為的發(fā)現(xiàn)模型����,即“UEBA模型”����。值得一提的是,具備豐富的場景分析模型的前提�����,就是要有完善的數(shù)據(jù)安全治理經驗以及多方需求的積累才能總結出來的���。安華金和具備非常成熟的數(shù)據(jù)安全治理能力�,在此基礎上圍繞資產的行為分析建模就具備很強的實戰(zhàn)性�����。通過大數(shù)據(jù)技術和多種建模公式��,系統(tǒng)能從多個維度對指定資產的事件行為特征(如訪問源��、訪問量��、會話量、訪問行為等)進行周期性建模��,然后將機器學習的實測值與建模值進行比較��,以判定是否存在異常行為�����;系統(tǒng)也能根據(jù)指定IP的事件行為特征(如失敗登錄比例��、登錄時間���、頻度���、次數(shù)、行為等)的歷史值�,通過預測算法得出未來時間的取值區(qū)間,然后將實測值與預測值進行比較����,以判定異常等�。
數(shù)據(jù)安全可視化系統(tǒng)可從多個維度進行全資產一體化數(shù)據(jù)展示,從定性分析到定量分析����,通過指標化的數(shù)值為資產面臨的風險評估等級�����,幫助用戶識別業(yè)務健康程度��,乃至業(yè)務的性能����、可用性����、敏感性以及潛在威脅。
4�、風險“追得到”,提高處置效率
數(shù)據(jù)安全可視化系統(tǒng)能夠以資產為原點����,從資產類型角度、安全域角度和業(yè)務系統(tǒng)角度來審視資產的整體安全狀態(tài)���,從每個視角維度都可以提供資產受危害概覽�、資產弱點情況�����、資產受攻擊情況以及資產風險的相關態(tài)勢信息,這無疑將對用戶快速定位威脅與安全態(tài)勢提供助力����。
基于風險行為的分析,不再只針對一次單獨的行為����,而是對多個可疑行為的串聯(lián)分析。通過數(shù)據(jù)安全可視化系統(tǒng)獨有的異常風險分析引擎����,將異常事件基于異常模型進行分析,還原出未知威脅風險的過程�����,從而真正實現(xiàn)對風險事件的預警���、檢測����、響應和取證�。
數(shù)據(jù)安全可視化系統(tǒng)支持多種可視化圖表的告警模式,能夠第一時間呈現(xiàn)告警源��、告警發(fā)生原因以及告警的危害程度�����。同時�,系統(tǒng)支持自定義告警閾值、范圍等信息���,輔助安全運營人員及時對分類的異常信息作出反饋與決策����。此外��,通過標準告警接口����,系統(tǒng)可支持將未知威脅分析得到的告警信息推送至第三方告警統(tǒng)一管理平臺的功能;支持將告警信息通過手機短信�、郵件、消息中心等方式及時反饋給安全管理人員����,以指派相關責任人第一時間進行處理���,并對處置狀態(tài)進行跟蹤。
數(shù)據(jù)安全可視化系統(tǒng)具備對數(shù)據(jù)安全的持續(xù)監(jiān)控能力���,能夠及時發(fā)現(xiàn)各種已知風險與異常狀況�����;具備威脅調查分析及可視化能力��,可對威脅相關的影響范圍�����、攻擊路徑�、目的�、手段進行快速判別,從而支撐有效的安全決策與響應��;能夠建立安全預警機制����,來完善風險控制、應急響應和整體安全防護水平�。安華金和數(shù)據(jù)安全可視化系統(tǒng)(DSVS)如同一面能夠洞察各類風險全過程的“顯‘?�!R”�,幫助數(shù)據(jù)安全管理者搭建起現(xiàn)代化的數(shù)據(jù)安全防御指揮作戰(zhàn)平臺�����。
產品咨詢:4000 258 365 
