伴随大資料和雲計算時代的到來,安全問題也正在變成一個大資料問題。要應對安全大資料帶來的新挑戰,還需要用大資料的技術來解決,隻有将大資料分析技術充分融合到現有安管平台技術架構中才能使傳統的安管平台煥發新生。據此,啟明星辰提出了SOC3.0的理念。12月25日,啟明星辰集團在京釋出新一代安全管理平台系列産品,邀請了賽迪分析師韓宇及業内衆多媒體到場。
SOC3.0以大資料分析架構為支撐,以業務安全為導向,建構起以資料為核心的安全管理體系,強調更加主動、智能地對企業群組織的網絡安全進行管理和營運。
在DT時代, SOC3.0的核心要素是:業務、主動、智能、大資料。
業務:使用者的業務系統是安全的終極保障對象,以業務為核心的安全就是要從業務四要素(支撐環境、流程、資料和人)出發去保障業務安全,并通過建立名額體系來度量安全效果。
主動:強調建構主動的安全機制,進行前攝性的安全防禦,包括內建漏洞管理、配置核查,并引入外部威脅情報,進行積極的安全預警和主動運維。
智能:強調建立起智能化的安全分析能力,既要保留現有基于規則的關聯分析,也要利用更加豐富的情境資料(漏洞、情報、身份、資産等資訊)進行情境關聯,更要借助諸如行為分析、機器學習、資料挖據等技術來做到知所未知。
大資料:大資料時代的安全管理必然是資料驅動的,必須以大資料架構為支撐,基于大資料技術重新建構資訊采集、資料融合、事件存儲、進階安全分析、态勢感覺和可視化等安全管理能力。
泰合新一代安管平台緊扣SOC3.0理念,基于全新的大資料架構,繼續緊密圍繞業務安全,采用了大量真正具有安全智能和主動管理的技術,既能夠滿足安全合規和監管需求,又能夠成為安全分析人員的安全分析和威脅檢測工具,為企業群組織的安全營運管理提供決策支撐,真正成為資訊安全保障體系的核心和工作中樞。
泰合新一代安管平台具有6大特點:
采用大資料安全分析架構:系統綜合運用Hadoop、Spark等大資料底層貨架技術,結合自主知識産權的CupidMQ消息總線和CupidDB非關系資料庫技術,并在之上建構了流式分析引擎、持續聚合引擎、互動分析引擎、全文檢索引擎、回放引擎和批處理引擎,為平台實作多種分析能力奠定了基礎。
支援混合式資料檢索與勘探:系統一方面對日志進行範式化存儲以實作基于事件屬性的類SQL查詢,另一方面對原始日志進行全文索引以實作對事件的任意關鍵詞和表達式即時搜尋。借助系統的互動式檢索功能進行資料勘探,逐漸收斂分析範圍,對攻擊和違規進行持續追蹤。
引入進階安全分析技術:系統一方面繼承了傳統的規則關聯引擎和情境關聯引擎,以實作知所已知;另一方面,借助機器學習和進階統計技術建構了一個行為分析引擎,通過對事件行為輪廓的刻畫來識别異常,實作知所未知,為安全分析師提供高價值線索。
內建威脅情報:系統能夠自動同步/導入/抓取來自内外部的威脅情報和漏洞情報,分别形成動态威脅庫和彙入統一漏洞庫,一方面進行威脅和漏洞的預警通報與處置,另一方面還能将這些威脅情報用于事件關聯分析和實時監測。此外,系統内部的分析結果也可以産生内部威脅并納入動态威脅庫統一管理。
整合高性能流行為分析:系統不僅能夠被動采集日志,還能主動地采集網絡流(Flow)資訊,并基于流資訊進行異常行為分析和基于秩序的宏觀态勢感覺。借助大資料技術,系統能夠處理高達100萬FPS(每秒流記錄數)的流資料,并能進行高速模組化與分析。
重構安全态勢感覺:借助大資料分析算法,系統重構了安全态勢功能,計算的事件粒度更小、頻度更密,分析的時間和空間尺度更大,展現的效果更佳。
啟明星辰集團此次一口氣釋出了四款泰合新一代安管平台型号,包括了面向超大型企業和機構的旗艦版、面向大中型企業群組織的專業版、聚焦在日志分析領域的日志審計版和一款硬體形态的大資料安全管理平台一體機。每款軟體型号都有多個軟體元件構成,包括管理中心、分布式存儲分析節點和多種專用的采集器,能夠進行大規模叢集分布式部署,也支援雲部署。目前,泰合新一代安管平台已經在國内數個頂尖企業得到了應用,并初步取得效果,尤其是性能和處理能力獲得了極大提升。相信,随着産品的正式釋出,将有更多的國内領先客戶關注并使用啟明星辰的融合大資料技術的新一代安管平台。
原文釋出時間為:2015-12-29
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。