AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢(shì)感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場(chǎng)
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運(yùn)營(yíng)管理服務(wù)
知名車企如何應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)?安恒信息AiLPHA來(lái)助力
安恒信息通過(guò)部署5節(jié)點(diǎn)的AiLPHA安全分析與管理平臺(tái)集群,實(shí)現(xiàn)集團(tuán)互聯(lián)網(wǎng)出口、數(shù)據(jù)中心、核心工廠的全流量監(jiān)測(cè),及關(guān)鍵安全設(shè)備日志對(duì)接;通過(guò)部署AiLPHA 安全編排與協(xié)同響應(yīng)管理平臺(tái)實(shí)現(xiàn)流程自動(dòng)化/半自動(dòng)化,提升運(yùn)營(yíng)效率。
本次項(xiàng)目實(shí)施,用戶關(guān)注的技術(shù)實(shí)現(xiàn)主要有以下亮點(diǎn):
技術(shù)難點(diǎn)一
如何將運(yùn)營(yíng)人員從海量告警中解救出來(lái)
本次項(xiàng)目監(jiān)測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)十余個(gè)、web業(yè)務(wù)系統(tǒng)千余個(gè)、主機(jī)資產(chǎn)數(shù)十萬(wàn)臺(tái);實(shí)時(shí)處理日志量超40000EPS,平均每天接入近10億條日志記錄。面對(duì)海量告警,安恒信息提出了云地協(xié)同-告警清零的閉環(huán)方案,該方案囊括了告警優(yōu)化以及協(xié)同處置兩個(gè)維度:
首先,通過(guò)安全運(yùn)營(yíng)助手小工具,對(duì)用戶的告警質(zhì)量進(jìn)行分析,梳理出觸發(fā)最多告警模型以及現(xiàn)有最多的告警類型;
針對(duì)觸發(fā)最多的告警模型,進(jìn)行模型本身的調(diào)優(yōu),如開(kāi)啟告警抑制、優(yōu)化攻擊鏈、優(yōu)化ATT&CK等,降低模型產(chǎn)生的告警數(shù)量的同時(shí),提升告警質(zhì)量;
針對(duì)現(xiàn)有最多的告警類型,抽樣觀察告警詳情及日志信息,確認(rèn)是否由因業(yè)務(wù)引起的誤報(bào),結(jié)合白名單,降低告警數(shù)量;
其次,針對(duì)多源接入的數(shù)據(jù),進(jìn)行歸并場(chǎng)景的設(shè)定,根據(jù)五元組信息、XFF頭、設(shè)備名稱、告警類型等各維度字段進(jìn)行聚合,將同一類攻擊事件的告警數(shù)量壓縮,最大化降低告警數(shù)量;
然后,將用戶所關(guān)心的告警以場(chǎng)景化的方式聚合,通過(guò)事件名稱、攻擊者、受害者、目的端口等字段,將告警聚合成安全事件,從而完成原始日志-原始告警-安全告警-安全事件的三層降噪邏輯,大幅度縮減了現(xiàn)網(wǎng)的告警數(shù)量。
通過(guò)告警優(yōu)化方案,用戶現(xiàn)網(wǎng)數(shù)據(jù)從近10億條日志提取出成20萬(wàn)條安全告警,聚合、歸并后告警為1W條,最終形成12類用戶關(guān)心的安全事件。
在告警優(yōu)化完成后,針對(duì)用戶關(guān)注事件,安恒信息進(jìn)行了深度分析,以處置方式維度進(jìn)行分類,即:攻擊事件告警、感染事件告警、風(fēng)險(xiǎn)預(yù)警告警和誤報(bào)或忽略告警,針?lè)诸惖牟煌覀儾扇×可矶ㄖ频奶幹梅绞剑缱詣?dòng)封禁、半自動(dòng)封禁、報(bào)表統(tǒng)計(jì)、狀態(tài)修改等;通過(guò)現(xiàn)場(chǎng)配置的19例劇本,最終達(dá)成了告警清零的目標(biāo)。
技術(shù)難點(diǎn)二
如何在眾多數(shù)據(jù)中發(fā)現(xiàn)高價(jià)值事件
高價(jià)值事件往往無(wú)法通過(guò)普通的規(guī)則匹配甚至模型匹配的方式發(fā)現(xiàn),需要在大量的原始日志中提煉觀測(cè),這對(duì)運(yùn)營(yíng)人員來(lái)說(shuō)無(wú)異于大海撈針。針對(duì)于此,安恒信息利用AI算法為用戶提供智慧運(yùn)營(yíng)的解決方案:
利用Weekly Gaussian Estimation算法歷史比對(duì)提取周期波動(dòng),長(zhǎng)期監(jiān)控企業(yè)官網(wǎng)、供應(yīng)商合作系統(tǒng)等業(yè)務(wù)系統(tǒng)的訪問(wèn)請(qǐng)求趨勢(shì)建立訪問(wèn)行為動(dòng)態(tài)基線,實(shí)時(shí)發(fā)現(xiàn)請(qǐng)求中的異常流量,標(biāo)注異常點(diǎn),提取相關(guān)日志及訪問(wèn)關(guān)系,為運(yùn)營(yíng)人員提供一步到位的溯源取證能力。
利用RPCA-SST算法矩陣重構(gòu)剔除大幅值噪聲,通過(guò)重點(diǎn)監(jiān)控服務(wù)器和終端的DNS請(qǐng)求行為、性能和外傳流量,檢測(cè)木馬持續(xù)性回連遠(yuǎn)控地址和數(shù)據(jù)泄露的機(jī)器行為,標(biāo)注異常點(diǎn),提取相關(guān)日志及訪問(wèn)關(guān)系,為運(yùn)營(yíng)人員提供一步到位的溯源取證能力。
方案價(jià)值:
由先前的信息安全孤島進(jìn)階為統(tǒng)一運(yùn)營(yíng)管理模式:
1、由安恒信息駐場(chǎng)工程師配合集團(tuán)運(yùn)營(yíng)團(tuán)隊(duì)在態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)全集團(tuán)安全狀態(tài)統(tǒng)一監(jiān)控
2、通過(guò)平臺(tái)接口聯(lián)動(dòng)安全設(shè)備實(shí)現(xiàn)安全策略統(tǒng)一下發(fā)
3、通過(guò)AI算法發(fā)現(xiàn)高價(jià)值事件
4、通過(guò)平臺(tái)工單流程實(shí)現(xiàn)安全風(fēng)險(xiǎn)的統(tǒng)一跟蹤閉環(huán)處理
5、通過(guò)平臺(tái)SOAR劇本流程實(shí)現(xiàn)高危攻擊的自動(dòng)攔截處置;
方案收益:
大大提高了集團(tuán)安全運(yùn)營(yíng)能力,實(shí)現(xiàn)全局安全態(tài)勢(shì)感知,有效遏制了安全事件的發(fā)生,控制了安全風(fēng)險(xiǎn)的擴(kuò)散,目前已成為該知名車企信息安全建設(shè)的核心支撐平臺(tái)。
