产品简介:
随着新技术应用和新基建发展,网络安全威胁层出不穷。同时由于组织现有安全建设缺乏有效及长远的安全运营规划,导致安全建设效果不理想、安全运维效率低、安全工作价值难体现等问题。随着内控与合规的深入,相关政策和标准在安全运营和管理方面都提出了明确的要求。因此,亟需建立一套横向贯穿孤立设备,打破数据孤岛的整体安全运营中心。
在此背景下,聚铭网络自主研发了“聚铭下一代智慧安全运营中心”,它是提升用户网络安全建设管理工作的智能化指挥作战中心。平台以“人机共生,智慧运营”为核心理念,依靠大数据挖掘、AI算法、智能降噪等关键技术,构筑全流程自动化的安全动态防御体系。结合用户实际安全场景和业务需求提供专业报告和安全指导,动态优化安全工作流程、组织架构和配套制度,做到弱人工化、重智能化的安全运营,最终实现安全设备、安全数据、安全管理“效能最大化”的目标。
产品体系架构:
1、数据中心安全集中建设:通过下一代智慧安全运营中心的建设,对网络安全状态、数据资产、API数据风险、数据流转、数据安全风险等实时监控分析,同时通过可视化大屏呈现数据资产风险、敏感数据、资产失陷、网络攻击威胁、脆弱性等安全概况,提供一个全面的可视化安全运维平台,方便及时了解整体的网络状况以及安全风险等级。
2、安全联防联控:以资产为核心,为现有安全基础设备产生的告警事件提供充足的研判数据,通过自动编排处置,及时做出处置措施,避免人工参与造成的威胁处置滞后问题;支持自动通知资产所属管理员,让不在信息中心管辖内的资产在出现安全事件时能及时通知到资产所属部门/单位;支持联动边界设备、数通设备,对威胁进行封堵。
3、三化六防安全运营建设:通过对组织、制度、流程的不断建设及优化,建立符合自身情况的常态化运维、应急响应、应急演练等流程或机制,当出现网络安全事件后第一时间响应,保证业务不中断。建设“一个安全管理中心”管理下的“三重防护体系”,逐步建立“实战化、体系化、常态化”的安全防护体系,打造“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护能力。
产品核心功能:
1.安全运营体系化
以资产为核心,在加强安全防御能力的基础上,提升安全设备检测的精准性,强化事件分析、自动响应及处置能力。通过整合安全事件深度分析及海量情报检测能力,建立预测预警机制,并针对性改善安全防御体系,最终达到高效检测、防御新型攻击威胁、直观呈现安全态势与安全建设成果的目标。
通过网络安全制度、策略、流程的梳理,形成安全运营中心的工作机制,实现安全运营的自动化。
2.资产为中心的安全治理
资产识别:系统提供数据目录自动发现识别管理功能。网络资产、数据资产识别可以帮助用户更轻松的发现和理解数据源,使资产以资产目录及资产索引方式直观展示。
敏感数据发现,数据分类分级:系统内置敏感数据特征库,通过关键字、正则表达式、算法等构建丰富的特征项,用于定义敏感数据识别的匹配策略配置,同时特征项支持自定义敏感数据类型和特征,比如个人敏感数据、商业敏感数据、政务敏感数据等。数据分类分级主要用于维护数据类别标签及数据风险等级。平台内置丰富的数据分类分级模型,并支持自定义数据类别标签及数据风险等级,可通过敏感数据发现任务自动打标或手动打标。
资产全生命周期管控:平台采用主被动结合方式,探测网络内存活的设备、系统、组件、数据库、数据仓储等,形成网络资产、数据资产台账,并采集资产通用属性及安全属性信息,识别影子资产、无效资产等问题资产。对资产威胁问题处置流程进行闭环,集问题发现、通知、整改、验证、归档五位于一体。结合漏洞与基线数据对资产进行全方位分析,管理资产的合规情况。
3.数据安全风险评估
动态数据安全风险监测通过对协议及流量实时分析,关注访问源、访问对象、访问方式,梳理数据资产使用状态,数据全链路流动,对数据使用行为和数据接口进行安全审计和风险评估。
静态数据安全风险评估,结合漏洞探测、文件扫描、访问控制检测等技术。对静态数据存储和访问系统的漏洞、访问控制机制、加密措施、安全审计和监控机制、备份和恢复策略等进行检测。从而对数据风险全面、准确的检测。
4.网络安全风险评估
遵循ISO/IE27001:2013信息安全管理标准,通过识别和评估电子信息和系统的保密性、完整性和可用性的风险,全面评估企业的网络安全风险。
识别资产:采集及识别网络环境中的各类资产,包含了对业务运营至关重要的所有设备、数据和应用程序;
评估漏洞:评估资产的风险漏洞,包括识别网络攻击者可能利用的各类脆弱性,例如漏洞、违规基线、弱口令等。
网络安全风险管理:在汇总网络环境内所有风险漏洞后,在GB/T 20984-2022标准的指导下,综合评估资产受攻击情况的严重程度、频次以及脆弱性情况,给每一受影响资产进行风险赋值,为资产风险处理优先级提供决策依据。
5.API数据安全检测
API应用程序接口是一组定义、程序及协议的集合,通过 API 接口实现计算机软件之间的相互通信。API 同时也是一种中间件,为各种不同平台提供数据共享。
通过对API的全面安全监测分析,评估整体数据接口的安全能力。包括识别API滥用、API自身脆弱性、影子API、私有API等API隐患。
通过流量中的数据采集、访问、导入、导出等行为,分析内部数据行为的安全状态。
通过对流量数据的加密状态,敏感数据的保护效果,评估数据传输安全性。
通过对流量中网络参数指标的分析,评估网络环境的稳定性和安全性。
6.API网关控制
客户需要向外部提供 API 接口进行功能访问与数据处理,API 网关成为外界与内部系统之间的入口,处理API 请求,提供统一的API 接入同时提供基础的安全防护能力, API 网关安全管控措施包括:
· 访问控制,多维度的 API 访问控制策略,提取 API 访问主体、客体进行访问控制策略碰撞,自动触发相关访问控制机制。
· 请求转发,结合认证、权限管理、环境、业务安全策略控制服务,实现应用前、后置 API 级的访问请求转发。
· 安全通道,对所代理的 API 调用进行全流量加密从而保证 API 访问通道安全
· 服务路由,将被代理 API 资源服务化,并根据服务类型做合理的服务路由编排,提高用户访问效率。
7.数据流转可视
构建企事业单位全网数据动态监测视图,流量设备合理采集数据活动记录,对关键数据资产的访问情况进行主动梳理,基于数据血缘分析技术,以数据资产承载对象、访问主体、存储位置、接口流向、数据标签等视角进行多维度统计分析,实现数据流转可视化。
8.数据包归类智能研判
平台可以快速接入各类告警信息,基于人工智能算法结合内置检测规则、专家经验对海量告警风暴自动去重降噪,减少冗余告警,聚焦处理核心安全事件。此外,通过自动化识别技术,对分类标记的噪音数据进行过滤,实现安全事件分类自动研判,加速威胁分类判定及处置效率,降低日常运维过程中安全运营人员处置海量告警数据的工作量。
除了本地平台助力安全威胁事件高速研判,平台还支持“云地协同,专家赋能”模式,本地运营人员可以将告警事件相关数据上送云端,云端安全专家在对攻击事件进行二次研判后下发检测规则至本地平台,本地安全运营中心在深度融合人工智能算法及专家级定制规则后对类似告警信息进行自动研判。
通过以上流程及能力,平台助力用户形成标准的告警事件研判处理流程,提升团队安全事件管理能力,让业务运行更可靠。
9.自动化编排响应处置
所有的攻击威胁发现,没有及时的闭环响应处置都是无济于事的,处置响应能力为安全运维人员提供便捷的处置方法和相关的处置建议,运营中心具备自动化编排响应能力和安全检测加固能力。
基于SOAR技术的自动化应急响应,将原本需要人员参与的安全事件处置流程转变为安全剧本。将事件处置过程中人、安全工具及能力、流程等参与元素和环节进行可视化组装编排,降低对人工参与的过度依赖。有别于单独的SOAR产品,聚铭安全运营中心通过能力接入将剧本编排能力与平台进行轻量化集成,编排能力与平台进行深度耦合,通过编排与运营两大体系协同作战增强安全运营合力。
平台独有的启发式联动响应能力,在不依赖三方安全设备开放接口对接的前提下,自动化执行响应剧本,进一步降低安全运营人员的工作负担,提升工作效率。
平台提供移动端接入能力,通过平台及移动端协同作战,能让安全运维人员不受时间及地点影响参与及响应安全事件处置流程,确保每一个漏洞能得到及时修复、每一个黑IP能得到快速封禁、每一个安全告警能得到有效处理。