伴随大数据和云计算时代的到来,安全问题也正在变成一个大数据问题。要应对安全大数据带来的新挑战,还需要用大数据的技术来解决,只有将大数据分析技术充分融合到现有安管平台技术架构中才能使传统的安管平台焕发新生。据此,启明星辰提出了SOC3.0的理念。12月25日,启明星辰集团在京发布新一代安全管理平台系列产品,邀请了赛迪分析师韩宇及业内众多媒体到场。
SOC3.0以大数据分析架构为支撑,以业务安全为导向,构建起以数据为核心的安全管理体系,强调更加主动、智能地对企业和组织的网络安全进行管理和运营。
在DT时代, SOC3.0的核心要素是:业务、主动、智能、大数据。
业务:用户的业务系统是安全的终极保障对象,以业务为核心的安全就是要从业务四要素(支撑环境、流程、数据和人)出发去保障业务安全,并通过建立指标体系来度量安全效果。
主动:强调构建主动的安全机制,进行前摄性的安全防御,包括集成漏洞管理、配置核查,并引入外部威胁情报,进行积极的安全预警和主动运维。
智能:强调建立起智能化的安全分析能力,既要保留现有基于规则的关联分析,也要利用更加丰富的情境数据(漏洞、情报、身份、资产等信息)进行情境关联,更要借助诸如行为分析、机器学习、数据挖据等技术来做到知所未知。
大数据:大数据时代的安全管理必然是数据驱动的,必须以大数据架构为支撑,基于大数据技术重新构建信息采集、数据融合、事件存储、高级安全分析、态势感知和可视化等安全管理能力。
泰合新一代安管平台紧扣SOC3.0理念,基于全新的大数据架构,继续紧密围绕业务安全,采用了大量真正具有安全智能和主动管理的技术,既能够满足安全合规和监管需求,又能够成为安全分析人员的安全分析和威胁检测工具,为企业和组织的安全运营管理提供决策支撑,真正成为信息安全保障体系的核心和工作中枢。
泰合新一代安管平台具有6大特点:
- 采用大数据安全分析架构:系统综合运用Hadoop、Spark等大数据底层货架技术,结合自主知识产权的CupidMQ消息总线和CupidDB非关系数据库技术,并在之上构建了流式分析引擎、持续聚合引擎、交互分析引擎、全文检索引擎、回放引擎和批处理引擎,为平台实现多种分析能力奠定了基础。
- 支持混合式数据检索与勘探:系统一方面对日志进行范式化存储以实现基于事件属性的类SQL查询,另一方面对原始日志进行全文索引以实现对事件的任意关键词和表达式即时搜索。借助系统的交互式检索功能进行数据勘探,逐步收敛分析范围,对攻击和违规进行持续追踪。
- 引入高级安全分析技术:系统一方面继承了传统的规则关联引擎和情境关联引擎,以实现知所已知;另一方面,借助机器学习和高级统计技术构建了一个行为分析引擎,通过对事件行为轮廓的刻画来识别异常,实现知所未知,为安全分析师提供高价值线索。
- 集成威胁情报:系统能够自动同步/导入/抓取来自内外部的威胁情报和漏洞情报,分别形成动态威胁库和汇入统一漏洞库,一方面进行威胁和漏洞的预警通报与处置,另一方面还能将这些威胁情报用于事件关联分析和实时监测。此外,系统内部的分析结果也可以产生内部威胁并纳入动态威胁库统一管理。
- 整合高性能流行为分析:系统不仅能够被动采集日志,还能主动地采集网络流(Flow)信息,并基于流信息进行异常行为分析和基于秩序的宏观态势感知。借助大数据技术,系统能够处理高达100万FPS(每秒流记录数)的流数据,并能进行高速建模与分析。
- 重构安全态势感知:借助大数据分析算法,系统重构了安全态势功能,计算的事件粒度更小、频度更密,分析的时间和空间尺度更大,展现的效果更佳。
启明星辰集团此次一口气发布了四款泰合新一代安管平台型号,包括了面向超大型企业和机构的旗舰版、面向大中型企业和组织的专业版、聚焦在日志分析领域的日志审计版和一款硬件形态的大数据安全管理平台一体机。每款软件型号都有多个软件组件构成,包括管理中心、分布式存储分析节点和多种专用的采集器,能够进行大规模集群分布式部署,也支持云部署。目前,泰合新一代安管平台已经在国内数个顶尖企业得到了应用,并初步取得效果,尤其是性能和处理能力获得了极大提升。相信,随着产品的正式发布,将有更多的国内领先客户关注并使用启明星辰的融合大数据技术的新一代安管平台。
原文发布时间为:2015-12-29