來源:www.zbtjad.cn    |   發(fā)布時間:2020年10月13日
業(yè)務挑戰(zhàn)
安全防護設備之前缺乏聯動
安全投入無法體現業(yè)務價值
忽略安全分析人員使用效率
企業(yè)大數據未能有效應用
檢測與發(fā)現手段依然單一
3)基于黑域名或黑IP的檢測
第三方情報數據嚴重不足
解決方案
云端威脅情報
1)生成威脅情報
奇安信無線安全研究院、奇安信網絡安全研究院、奇安信網絡攻防實驗室、奇安信漏洞研究實驗室等以研究資源為基礎的多個國內高水平安全研究實驗室為未知威脅的最終確認提供專業(yè)高水平的技術支撐,所有大數據分析出的未知威脅都會通過專業(yè)的人員進行人工干預,做到精細分析,確認攻擊手段攻擊對象以及攻擊的目的。
2)威脅情報內容
威脅情報(Threat Intelligence)是一種基于證據的描述威脅的一組關聯的信息,包括威脅相關的環(huán)境信息、采用的手法機制、指標、影響,以及行動建議等,如攻擊團體,惡意域名(遠控C&C),惡意文件MD5、URL等相關信息以及威脅指標之間的關聯性和隨時間維度攻擊手法的變化的威脅全貌匯總形成的高級威脅情報。此外奇安信情報還包括高級威脅種類的擴充(APT、木馬遠控、僵尸網絡、間諜軟件、Web后門等)。
本地分析與協(xié)同
奇安信態(tài)勢感知與安全運營平臺是基于奇安信威脅情報和本地大數據技術,對用戶本地的安全大數據進行快速、自動化數據分析,監(jiān)測、發(fā)現威脅和異常、快速處置與響應,并針對安全事件進行深入調查的平臺。同時,通過可視化技術將企業(yè)總體安全態(tài)勢呈現給用戶。并且能在日常的安全管理工作中提供各類工具,幫助提升安全運維效率。
在平臺架構上,奇安信態(tài)勢感知與安全運營平臺分為數據采集,大數據存儲與檢索、數據分析引擎工具、安全應用、態(tài)勢感知多個層面,再結合奇安信多年積累的云端威脅情報,提升本地的檢測能力。
本地平臺可以與終端響應與檢測(EDR)、網絡響應與檢測(NDR)配合,拓展網絡與終端的傳感器,將網絡流量與終端文件級、進程級數據進行匯總分析與協(xié)同響應。將威脅情報與數據的能力貫穿監(jiān)測與防御體系,達到智慧協(xié)同。
方案優(yōu)勢
奇安信大數據安全解決方案為依托奇安信威脅情報技術、本地大數據存儲技術、快速搜索技術、流式引擎關聯技術和可視化分析回溯技術對用戶本地的安全數據進行快速、自動化的關聯分析,及時發(fā)現本地的威脅和異常,同時通過圖形化、可視化的技術將這些威脅和異常的總體安全態(tài)勢展現給用戶,并結合EDR、EDR技術形成本地的檢測發(fā)現、應急處置、調查分析的閉環(huán)安全防護系統(tǒng),形成本地安全管理運營的“大腦”與智慧協(xié)同平臺。
適用場景
分析平臺、規(guī)則引擎、流量傳感器、日志采集器,支撐所有應用;流量傳感器、日志采集器與分析平臺支持多對一模式,可支持多級部署;分析平臺預置私有云存儲模式,可輕松實現水平擴展;旁路部署,實施簡單,對客戶網絡環(huán)境無影響。
本方案適用于政府、金融、能源、運營商、央企、其他大型企業(yè)等單位。
下一條: 企業(yè)用戶虛擬化安全解決方案