在信息化、互聯網迅猛發(fā)展并被廣泛應用的同時����,數據泄露事件也愈演愈烈��。近年來����,在大數據及大數據系統(tǒng)下����,由數據傳遞、共享所形成的數據鏈條更是起到了推波助瀾的作用——如果數據鏈條的某個環(huán)節(jié)出現問題����,很可能導致整個鏈條數據安全形勢的急轉直下甚至徹底崩潰��。
今時不同往日
如今���,有越來越多企業(yè)的管理者開始意識到安全問題的重要性�,其中業(yè)務的不安全性在很大程度上源自數據的不安全性�,如果想從多維度��、多方面提升系統(tǒng)安全和服務品質�,應在增強系統(tǒng)和網絡等安全能力的同時���,通過對數據使用進行專業(yè)的安全狀況分析,了解用戶的使用習慣��,發(fā)現深藏的安全隱患�����,從而多角度提升安全決策的準確性以及客戶訪問的感觀����。
《SecurityInformation and Event Management Futures and Big Data Analytics for Security》一文中特別強調了與“分析的意識和探索數據的欲望”相關的內容��,認為這才是數據安全中最關鍵的成功標準���。數據是可視化的基礎�����,數據在使用過程中具有數據量大、多樣性�����,實時性等特點���,將不同來源的數據整合到一起�����,結合業(yè)務需求�,確定相關數據之間的關系����,對異常行為進行分析和監(jiān)測,這種方式充分結合了計算機和人腦在圖像處理方面的能力優(yōu)勢�,提高了對數據的綜合分析能力,從而有效降低了誤報率和漏報率����,提高了系統(tǒng)檢測的效率,并減少了反應所需的時間����。目前�����,市場上已有一些比較成熟的安全分析系統(tǒng)����,但是大部分都是基于某一方面的需求�,而不具有完備的分析模型。
因此��,在數據驅動安全概念流行的今天��,如何從海量數據信息中提取出有價值的信息來幫助安全人員更好的進行分析�、決策是數據安全可視化研究的重要課題之一。
讓數據安全可視化
隨著互聯網應用越來越廣泛�,其規(guī)模越來越龐大,多層面的威脅和風險在不斷增加,所帶來的損失也越來越大����;如今�����,風險行為正向著分布化����、規(guī)模化���、復雜化等方向發(fā)展�����,僅僅依靠防火墻�、入侵檢測�����、訪問控制等單一的傳統(tǒng)安全防護技術�,已不能滿足信息安全的整體需求�����,因而迫切需要應用新的技術以及時發(fā)現數據使用中的異常行為�,實時掌握數據安全狀況�,將之前很多只能亡羊補牢的事中、事后處理����,轉向事前自動評估預測,從而降低數據安全風險�,提高數據安全防護能力。
在此背景下�����,918搏天堂數據安全可視化系統(tǒng)應運而生���,面對傳統(tǒng)安全防御體系失效的風險,數據安全可視化系統(tǒng)能夠全面感知安全威脅態(tài)勢���,洞悉應用運行健康狀態(tài)��,并通過全流量分析技術實現完整的外部攻擊溯源取證����,幫助安全人員采取具有針對性的響應處置措施。
918搏天堂數據安全可視化系統(tǒng)(DSVS)以“資產”為核心����,通過可視化技術對資產分布、使用情況及已知風險�����、未知威脅信息等進行可視化呈現�����,為安全管理者提供可靠的數據信息�����。DSVS以海量日志為核心����,采用模塊化的工作組件設計和大數據分布式系統(tǒng)架構����,基于異構數據源整合��,可以輕松接入企業(yè)各個業(yè)務系統(tǒng)���,徹底打破數據孤島局面;同時�����,通過實時的數據展現�,幫助企業(yè)第一時間了解業(yè)務情況并及時做出決策��。DSVS系統(tǒng)通過采集數據中心的數據�����,利用機器學習�����、數據建模���、行為識別、關聯分析等方法對數據資產的使用情況進行統(tǒng)一分析�,實現對攻擊行為�����、安全事件���、未知威脅的發(fā)現和告警,并提供對日志信息數據的存儲����、全文檢索、關聯分析�、可視化展現等功能。
目前���,數據安全可視化系統(tǒng)已廣泛應用于政府����、金融���、電信運營商�、能源�����、互聯網公司等場景,實現了數據安全信息的集中存儲�����、可視化展示�����、全文檢索分析����、異常行為檢測,并滿足國家��、行業(yè)對安全合規(guī)性的相關要求�。
亟待解決的問題
1����、安全數據分散,資產安全狀況難以統(tǒng)一監(jiān)測
由于企業(yè)資產量級龐大�����、業(yè)務系統(tǒng)繁多�����、關聯關系錯綜復雜等原因�,造就了數據格式不統(tǒng)一、數據管理混亂的內部現狀��。大量的監(jiān)測結果只是單一反映某個系統(tǒng)存在的問題��,呈現方式也多種多樣�,對很多安全防護設備的告警及海量安全數據無法進行統(tǒng)一展示����、關聯分析、數據挖掘與攻擊溯源�����,而僅憑人工操作難以識別出眾多安全事件的內在聯系���,很可能會忽略一些惡意用戶的蓄意攻擊行為�,從而耽擱對安全事件的及時發(fā)現與有效處置��。如何將分散各處的數據(甚至孤島數據)有效搜集和匯總起來進行綜合分析����,是數據安全治理的重要一步。
2���、數據處理難���,數據應用也得不到創(chuàng)新
由于對不同部門、不同業(yè)務以及涉及的不同數據�,缺乏統(tǒng)一、實時的數據分析展示平臺���,即便是將流量信息、漏洞信息����、日志信息、資產信息�����、業(yè)務信息等海量數據都收集起來����,這些數據也無法發(fā)揮其真正的價值。此外��,如何將海量數據進行綜合處理分析��,最終將資產安全狀況���、數據與業(yè)務之間的流轉關系��、未知威脅情況完整的呈現給安全管理者�����,同樣是數據安全治理的關鍵環(huán)節(jié)���。推動創(chuàng)新型企業(yè)、提高行政效率��,離不開強大的數據處理分析技術支撐��。只有讓數據成為決策的依據�����,才能真正發(fā)揮其價值。
3�、傳統(tǒng)手段和技術無法應對高級威脅
當前,傳統(tǒng)基于規(guī)則和黑白名單的檢測手段不具備體系化的防御能力�,已無法應對快速變化發(fā)展的威脅。傳統(tǒng)方式和技術手段“不懂”新出現的違規(guī)����、異常行為的意義和邏輯,單純依賴特征庫匹配進行機械式的審計��、攔截��、阻斷�、放行等判斷,已無法有效判斷風險源��,防護也就無從說起��,問題主要體現在:
(1)面對復雜攻擊���,僅憑簡單疊加構成的安全防線很容易被繞過和規(guī)避;
(2)不能對整體資產分布及數據使用情況做到全面掌控����,安全運維管理便無從下手�����;
(3)邊界安全防護對未知威脅只能在事后階段檢測到��,而不能在事前或事中及時發(fā)現���,用戶最多只能止損,卻無法預防��;
(4)缺少能對信息系統(tǒng)內部海量數據進行快速分析的工具,無法有效利用數據��;
(5)無法將風險源與目標庫信息進行對稱,缺少本地原始數據�,難以溯源分析���。
4、現有安全運營響應處置困難
產生告警很容易�����,但是多數客戶的情況是告警數量太多����,缺乏有效的歸納和梳理�����。簡單粗暴的方式已不能真實呈現一個完整的威脅�����,而處置響應又極度依賴于威脅的準確性�。很多客戶在安全運營方面一般是一人多責���,對于威脅的監(jiān)控和處置不夠及時��。同時����,由于缺乏對風險事件的統(tǒng)一監(jiān)測與一鍵處置能力�����,非安全專業(yè)的維護與監(jiān)控人員識別��、分析風險事件的能力有限,應急響應速度很慢��,且主要通過電話等方式逐級傳報����,傳報流程與耗時過長。此外���,現有安全運營平臺缺乏對海量大數據進行存儲分析與處理的能力�����,無法對信息進行有效挖掘分析�,從而導致對異常行為的發(fā)現能力不足,對已知風險和未知威脅的響應不及時�。
可視化系統(tǒng)的創(chuàng)新
DSVS要做看得見的安全。對于安全運維人員����,以資產和人為視角出發(fā)的DSVS系統(tǒng),能夠實現對整個業(yè)務系統(tǒng)安全運行情況的全面監(jiān)控�,并從全局角度提升業(yè)務系統(tǒng)對安全威脅的發(fā)現識別、理解分析���、響應處置等能力���。同時,提供豐富的安全運維及服務工具���,幫助安全運維人員提升日常安全管理與運維效率。
DSVS系統(tǒng)要以最佳的可視化效果向用戶進行呈現。使用者所關心的重要數據資產是什么樣的——在哪里���、流向何處��、狀態(tài)如何�����、何人使用、效果如何�,有沒有風險和異常行為�,是否存在安全隱患等等��。將以上用戶關心的信息用簡單清晰的可視化方式呈現出來,形成用戶對數據安全分析的基礎���。與此同時��,對數據使用情況進行二維、三維可視化呈現,基于圖論模型最大程度的展示數據使用的聯系及數據流向�,輔助決策者分析業(yè)務行為,快速發(fā)現問題��。通過系統(tǒng)主動識別發(fā)現�、手動導入或創(chuàng)建的方式來梳理目標網絡中需要被防護的重要資產及業(yè)務對象����,對海量日志進行集中分析和挖掘,實現了對企業(yè)整體資產分布����、使用情況、安全事件分析����、數據安全態(tài)勢等的呈現,真正做到數據的可視與安全可見��。
1��、多源數據采集���,統(tǒng)一平臺監(jiān)控
數據安全可視化系統(tǒng)能夠收集多類信息����,包括但不限于:流量信息、漏洞信息、日志信息����、資產信息���、業(yè)務信息等���,并將這些類別的基礎信息匯入到系統(tǒng)中,以幫助用戶實現全流量�����、全要素以及安全威脅信息的實時捕獲和監(jiān)測����。在項目實踐中���,數據安全可視化系統(tǒng)具備對所采集的信息通過數據分析處理,形成元數據管理、資產數據分析����、運行狀態(tài)分析、數據使用分析����、安全事件管理���、審計日志分析��、未知威脅分析等全要素信息統(tǒng)籌分析的能力��。可以看到,全要素��、全流量、全信息的采集能力可以在后續(xù)對數據資產整體安全狀況進行風險識別與未知威脅分析時�����,提供強大的數據支撐�。
2、海量數據處理�,數據應用創(chuàng)新
數據安全可視化系統(tǒng)收集流量信息、漏洞信息���、日志信息����、資產信息、業(yè)務信息等多類信息�,在信息匯聚過程中可完成對原始數據的接收、過濾���,提取����、轉換等一系列數據處理行為�������;谶@些數據處理行為���,系統(tǒng)會根據數據的類別將其劃分為業(yè)務數據�、資產數據、規(guī)則庫等等����,此類數據將會為后續(xù)統(tǒng)計分析提供有效的數據支撐。918搏天堂將關聯分析���、數據統(tǒng)計�����、場景分析和策略四大引擎融入系統(tǒng)之中��,通過這些高度抽象���、高度專業(yè)化的引擎支撐�����,讓對各個基礎組件的數據梳理�����、分析、呈現變得更簡單。
通過以上對數據的處理分析,最后呈現給用戶的大屏可視化就是對數據的應用創(chuàng)新���,也是對用戶來說最直觀的產品功能與價值呈現����?梢暬尸F包括五個維度的內容:整體資產分布與存儲狀況、資產使用狀況分析��、數據與業(yè)務流轉關系分析、已知違規(guī)風險分析�����、未知異常威脅分析。
3、場景分析建模,高級威脅應對
傳統(tǒng)基于規(guī)則建立安全基線的風險發(fā)現方式,無法應對快速變化的�、新出現的高級威脅���。除了建立安全基線外����,還需對特定場景進行分析,形成對異常未知威脅行為的發(fā)現模型���,即“UEBA模型”����。值得一提的是,具備豐富的場景分析模型的前提��,就是要有完善的數據安全治理經驗以及多方需求的積累才能總結出來的�。918搏天堂具備非常成熟的數據安全治理能力,在此基礎上圍繞資產的行為分析建模就具備很強的實戰(zhàn)性。通過大數據技術和多種建模公式����,系統(tǒng)能從多個維度對指定資產的事件行為特征(如訪問源��、訪問量�����、會話量、訪問行為等)進行周期性建模,然后將機器學習的實測值與建模值進行比較�,以判定是否存在異常行為����;系統(tǒng)也能根據指定IP的事件行為特征(如失敗登錄比例、登錄時間�、頻度、次數���、行為等)的歷史值�����,通過預測算法得出未來時間的取值區(qū)間�����,然后將實測值與預測值進行比較����,以判定異常等��。
數據安全可視化系統(tǒng)可從多個維度進行全資產一體化數據展示,從定性分析到定量分析�,通過指標化的數值為資產面臨的風險評估等級,幫助用戶識別業(yè)務健康程度����,乃至業(yè)務的性能、可用性�����、敏感性以及潛在威脅�����。
4����、風險“追得到”�,提高處置效率
數據安全可視化系統(tǒng)能夠以資產為原點,從資產類型角度�、安全域角度和業(yè)務系統(tǒng)角度來審視資產的整體安全狀態(tài)���,從每個視角維度都可以提供資產受危害概覽���、資產弱點情況、資產受攻擊情況以及資產風險的相關態(tài)勢信息���,這無疑將對用戶快速定位威脅與安全態(tài)勢提供助力����。
基于風險行為的分析�,不再只針對一次單獨的行為��,而是對多個可疑行為的串聯分析��。通過數據安全可視化系統(tǒng)獨有的異常風險分析引擎���,將異常事件基于異常模型進行分析�����,還原出未知威脅風險的過程,從而真正實現對風險事件的預警�����、檢測���、響應和取證。
數據安全可視化系統(tǒng)支持多種可視化圖表的告警模式�����,能夠第一時間呈現告警源�����、告警發(fā)生原因以及告警的危害程度����。同時,系統(tǒng)支持自定義告警閾值���、范圍等信息,輔助安全運營人員及時對分類的異常信息作出反饋與決策�����。此外����,通過標準告警接口,系統(tǒng)可支持將未知威脅分析得到的告警信息推送至第三方告警統(tǒng)一管理平臺的功能��;支持將告警信息通過手機短信���、郵件、消息中心等方式及時反饋給安全管理人員�,以指派相關責任人第一時間進行處理,并對處置狀態(tài)進行跟蹤�����。
數據安全可視化系統(tǒng)具備對數據安全的持續(xù)監(jiān)控能力�����,能夠及時發(fā)現各種已知風險與異常狀況��;具備威脅調查分析及可視化能力����,可對威脅相關的影響范圍��、攻擊路徑�、目的、手段進行快速判別���,從而支撐有效的安全決策與響應;能夠建立安全預警機制��,來完善風險控制�����、應急響應和整體安全防護水平����。918搏天堂數據安全可視化系統(tǒng)(DSVS)如同一面能夠洞察各類風險全過程的“顯‘�����!R”��,幫助數據安全管理者搭建起現代化的數據安全防御指揮作戰(zhàn)平臺�����。
產品咨詢:4000 258 365 
