万象(COSMOS)安全分析与管理平台

基于多年安全实战经验,长亭科技发布万象(COSMOS)安全分析与管理平台【下文简称万象(COSMOS)】,汇聚多源数据驱动安全建设,提升企业安全水平。

万象(COSMOS)安全分析与管理平台
  • 系统简介
  • 产品功能介绍

问题与挑战

随着网络安全环境日益复杂,攻击手段不断演化,企业面临的安全威胁正在发生巨大变化,切实维护网络安全时面临诸多问题与挑战:

▪  海量事件数据,处理效率低
各类安全设备输出大量、异构、不确定的安全事件,有用的告警往往淹没在大量安全数据中,风险筛选及处理效率低。
▪  孤岛明显,运营成本高

安全系统/设备独立建设管理,安全人员需要学习多个系统,数据各自独立,呈现碎片化和分散化特点,安全运营成本高。

▪  缺乏自动化处置手段
企业虽然具备部分安全能力,但主要依赖人工运营,缺少自动化手段,不能联动管理。
现阶段,安全数据集中管理、数据精准挖掘与分析以及安全自动响应逐步成为了各企业的安全建设目标。与此同时,2016年,习总书记在网络安全和信息化工作座谈会上指出需要全天候全方位感知网络安全态势”“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓聪者听于无声,明者见于未形”。

然而,安全风险实时感知和安全运营集中管理实现难度大,如何从大量异构的安全数据流中获取有用可信的风险告警,并实现高效的运营处置,对企业来说是个要求极高且需耗费巨大人力成本的过程。对此,长亭科技提出【数据驱动安全】和【人+平台】的整体解决方案。

平台概述

产品架构

基于多年安全实战经验,长亭科技发布万象(COSMOS)安全分析与管理平台【下文简称万象(COSMOS)】,汇聚多源数据驱动安全建设,提升企业安全水平。
▪  站在更宏观的视角,汇聚海量安全事件、日志、IT基础信息等数据

▪  通过各种数据处理手段和分析能力,分析出更精准的风险,降低告警量提升可信度

▪  提供多种告警处理动作,构建风险研判流程和串联风险处置闭环

▪  输出各类分析场景、大屏展示等可视化展示能力,让风险更直观

▪  基于可视化入口串联后续多种协同响应能力,支撑安全运营流程


另外,结合【人+平台整体解决方案,万象(COSMOS)基于更专业的安全人员来启动、调优和护航,建立更贴近于企业安全场景的风险分析业务能力,逐步建设信息安全大数据态势感知

下图为产品功能架构图:


万象(COSMOS)共有5层功能架构,包括:探针采集层、数据中心层、风险分析层、6个应用中心以及威胁展示层,提供安全数据细分管理、安全风险场景分析、安全自动化编排、风险告警/可视化态势展示以及威胁情报分析等能力。

定位和价值

万象(COSMOS)的定位如下:

▪  应对层出不穷的新型威胁,提供更专业的攻防经验支撑、威胁情报数据支撑及安服人员团队支撑的整体感知与运营方案

▪  汇聚多源异构的安全类数据(安全设备日志、安全合规、操作日志、安全运行)、基础IT类数据(用户数据、资产数据)、威胁情报数据、流量数据等数据的安全数据中心

▪  基于长亭安全攻防实战及风险分析经验,针对丰富融合的各类多层次安全数据,提供多种角度深度分析的安全风险数据分析平台

▪  贴合不同企业业务,提供灵活可配置的安全数据处理及可视化分析的安全策略分析工具

▪  贯穿企业安全运营体系建设,逐步建立数据分析、风险发现、风险处置、处置反馈/复查的安全风险闭环流程,串联实际安全工作,形成企业安全运营管理机制

▪  企业综合安全风险态势可视,配备精美的大屏,分析典型安全场景的可视化展示平台

▪  良好的云化兼容性,支持主流云服务商提供的云主机部署,支持多种云架构,如公有云、私有云、混合云、超融合架构等。兼容主流云系统所提供的虚拟机和操作系统

核心能力

全面汇聚各类安全数据

覆盖企业安全数据

基于数据驱动安全理念,万象(COSMOS)能够融合多源异构数据,建立更贴合业务需求的安全数据中心。平台支持接入4大维度企业网络安全数据,包括安全类数据、基础IT类数据、全流量数据、系统配置和用户管理数据,共8大类90小类包括WAF、IPS/IDS、漏扫、DDoS、APT、应用系统等。同时,万象(COSMOS)数据中心支持多种存储数据结构的维护管理、扩展编辑,可持续扩展接入数据的管理结构。

数据接入和范化

▪  兼容主动、被动的主流数据获取方式,包括:Syslog、文件FTP/SFTP、数据库、全流量镜像等,支持接入监控并管理设备,及时发现设备数据是否接入、是否成功范化

▪  内置50+主流安全系统自动化解析能力,可直接接入标准化日志,同时支持零基础数据范化,可快速接入json、xml、键值对,并提供正则模式


自主数据全系列探针

万象(COSMOS)配套全系列探针,能够发现多种自主数据,主要包括:全流量风险监测事件数据、资产发现及脆弱性监测事件数据、网站风险监测事件数据等。下面为全系列探针:

▪  数据采集探针:默认搭载探针,灵活部署,支撑第三方数据采集

▪  资产监测探针:可选探针,支持主动资产探测及资产脆弱性监测

▪  全流量探针:可选探针,旁路镜像部署,支持全镜像流量,检测及发现多层次流量威胁

▪  网站监测探针:可选探针,支持网站监测及风险检测

多源风险场景智能分析

万象(COSMOS)内置实时流式分析、离线周期分析和离线手动分析三大分析引擎,帮助用户在理解数据的基础上快速获取风险分析能力,高效应对不断迭代的风险问题,输出高可信告警。


多源关联分析工具

在实际业务中,由于安全建设背景、运维思路以及网络环境等都不尽相同,安全人员很难利用内置的安全规则直接输出贴合业务需求的告警,需要根据不同风险需求、告警数据量、数据内容、业务情况等调整阈值,修正分析数据。

万象(COSMOS)针对多源数据提供交互式功能,可以灵活配置统计、筛选、关联、基线等分析策略,学习成本更低,并支持通过SQL补充多种复杂分析要求,同时,可循环引用分析结果数据,输出态势风险告警。

分析引擎和基线学习

万象(COSMOS)能够增加引擎快速响应应急场景,包括:

▪  语义分析引擎:针对Web流量对目标字符串依次进行词法分析、语法分析、语义分析,结合安全威胁模型打分,实现Web攻击精准监测

▪  基线分析引擎:基于数值建立基线区间,串联关联分析工具,快速应用到关联分析规则配置中,发现异常数据从而实现异常基线分析

▪  内置多个监测模型引擎,包括:DGA域名检测引擎、DNS 隐匿信道引擎等,实现提取DGA发送载体行为特征进行恶意DGA域名定位,以及DNS隧道检测

高效安全运营管控

万象(COSMOS)提供多种自动化运营手段,结合实际安全运营需求,串联多种安全分析及处置手段,构建涵盖重大活动保障和日常安全管控工作场景,降低成本。

安全编排、自动化响应

平台支持灵活可配置的安全编排及自动化响应功能,按照定义的标准工作流程自动执行安全风险协同响应工作,串联规范化和流程化的安全管控,降低安全运营成本。

风险研判&处置流程

平台内置风险告警研判中心,面向多个安全运营角色,包括告警监控角色、研判分析角色及风险处置角色,能够串联安全运维及处置流程,并支持按需扩展和建设。

最佳实践场景

自动封禁IP,高效应对攻击

场景描述

在日常运维、重大活动保障和攻防演练等场景中,企业要能快速“发现、研判、处置”风险,但在实际工作中往往面临着问题:

▪  投入大量人力才有可能做到高效、快速响应,成本高

▪  人工流程无法保障实时性,到发现时攻击者可能已深入内网

解决目标及思路

针对不同的告警,平台能够自动化拦截攻击者IP,并截断攻击过程,解放人工处置成本同时更高效应对攻击。平台在各个边界入口建立封禁点,快速发现风险IP,针对攻击源IP实时联动封禁,为后续精准溯源反制提供更多时间。

核心实现

针对不同运营流程,平台支持自动化和人工双模式,配合风险研判、确认和处置流程,串联实际业务。

聚合风险IP,降低人工成本

场景描述

企业为了保障安全,往往会部署多种安全设备,即使同一个厂商的设备也会在多个节点部署,由此造成的问题:

▪  用户需要登录多个安全设备,单独监控

▪  重复性处理同类问题,浪费大量成本

解决目标及思路

万象(COSMOS)根据各类分析规则和风险场景分析告警可信度,进一步聚合2层维度的攻击者IP、资产IP、攻击类型、风险等级等属性,帮助用户汇聚数据,减少待处理风险量,从而提高安全运营效率。

核心实现

举例来说,若某资产IP出现大量相同类型告警,常规告警粒度列表需要逐个分析研判,而聚合视图则不会出现重复告警,能够统一汇聚处理,降低人工成本。

资产集中管理,摸清家底

场景描述

企业资产数据是态势风险分析的基础和前提,所有安全风险、攻击威胁都是围绕在资产上。企业在管理资产时面临的问题:

▪  缺少主动的自动化发现手段,资产来源多但不完整

▪  无自动化资产管理手段,日常运营成本较高

解决目标及思路

万象利用汇聚企业数据的优势,通过资产“主动+被动“无损伤发现手段,结合资产研判流程,站在安全视角支撑资产安全分析、脆弱性可视化,面向企业用户建立安全资产数据中心。

核心实现

▪  资产接入阶段:在初始资产数据输入基础上,利用多种资产采集手段快速构建资产IP数据中心,发现未知资产,补充已知资产属性

▪  资产日常运维阶段:周期性创建扫描任务、记录变更详情、僵尸资产提醒等,保障资产数据的可用性从而支撑上层应用


▪  扩展应用:基于资产IP数据,关联多维度分析场景,分析资产业务属性、安全域属性、组织机构属性等;同时基于资产扫描能力,分析资产脆弱性

多源威胁情报,提高风险可信度

场景描述

随着以APT为代表的新型威胁不断增长,企业越发需要充分有效的安全威胁情报来有效防范外部攻击。

解决目标及思路

基于阿里云海量威胁情报来源支持,万象提供更丰富高效的威胁情报数据,有力支撑风险分析从而持续提升安全风险感知能力。

核心实现

▪  提高可信度:针对平台接入的各类安全数据和基础资产数据,联动情报数据关联分析,建立威胁情报命中分析场景

▪  支持情报数据检索,串联告警研判上下文;并支持联动处置快速阻断风险,高效应对新型威胁

▪  多源情报生产输入:支持多源情报数据输入和管理,快速丰富运营数据源

丰富安全态势可视化

万象(COSMOS)内置种类丰富的大屏展现风险分析场景,全面感知企业整体安全态势并直观呈现建设价值,用户可根据需求自定义展现界面,灵活调整可视化场景。





优势亮点

实力强劲安服团队支撑,快速形成综合分析能力

态势感知平台建设想快速产生效果,具备贴合企业的风险分析能力,需要人+平台紧密配合。万象(COSMOS)基于长亭科技实力强劲的安服团队和丰富的攻防经验,能够帮助企业应对高级威胁,支撑风险分析和研判,串联运营流程从而建立体系化风险感知能力。

全流程可配置,更贴近实际安全业务

从数据汇聚(数据接入、多源数据范化配置)、风险分析(交互式分析工具、分析过程可视化配置)、威胁可视(可视化仪表盘、拖拽式图表配置),到安全运营(SOAR、流程可视化编排),万象(COSMOS)全流程可配置,风险分析过程更贴近企业实际安全业务。

高可信风险告警,精准分析风险

平台具备包含智能分析引擎在内的多种分析模式,融合多源风险数据,输出高可信更精准的风险结果,并在通用性可视化的基础上支持定制贴合业务的深度风险分析。

产品形态

单机部署

单机部署可快速推进SOC建设工作,部署位置灵活,运维工作更快速。

集群部署


集群部署支持多节点横向扩展数据存储和数据计算,具备热拓展能力,能够采集、存储、处理及分析计算海量数据。任何一个节点发生故障均可正常提供服务。

模块化部署

万象(COSMOS)由多个子系统集成,产品各个系统模块(如威胁情报、大数据平台)可独立拆解,交付。