11月18日,“探知全流量威胁检测,以实战化护航安全攻防——360 AISA 2.0产品发布会”重磅来袭,震撼亮剑ISC平台。360政企安全集团全力打造了一款具有里程碑意义、支撑常态化、实战化安全攻防的NDR产品:360 AISA 2.0全流量威胁分析系统,直击实战中安全运营的痛点,高能护航大安全时代安全运营新模式。360政企安全集团网络威胁感知部产品总监杨志泉作为产品“代言人”出席发布会并详细讲解了此次发布的新产品。
实战化安全运营备受掣肘
2020年,一场黑天鹅疫情振翅羽翼后的余波,催化了“新基建”的热议,加速了我国数字化转型的步伐。云计算、大数据、物联网、5G等新技术的进一步发展,更是让各行业的核心业务已实现高度信息化。而随着高度的数字化,网络世界的边界也愈发呈现出“无界化”,网络攻击所带来的安全风险也将难以预估。
不难发现,当前的网络攻击实施方已经由个人的炫耀技术、普通的网络罪犯,演变为专业组织或机构,网络攻击的目标也从普通民用设施,演变为关键信息基础设施。“网络攻击从最初自发式、分散式攻击转向专业化的有组织行为,呈现出攻击工具专业化,目的商业化、政治化,行为组织化、国家化的特点。网络安全防御也从最初的合规建设、被动防御转向以实战化为主的能力建设和主动防御。” 杨志泉在发布会上说。
在纷繁复杂的网络世界中,有人认为现在的攻防力量是失衡的,攻的力量远大于防。那么,网络攻防的本质到底是什么呢?杨志泉表示,在实战化的网络攻防对抗中,攻防对抗的本质是攻击者和安全运营之间的对抗。实战中的安全运营存在着不可忽视的安全痛点。据《2020年首席信息安全官基准研究》报告的数据显示,超96%的企业正在被“运营疲劳”折磨。
杨志泉在发布会指出,在攻击者发起攻击之前,安全运营人员往往不清楚企业有多少资产会暴漏在攻击者面前,有没有黑客知道而自己不知道的漏洞。在攻击者发起针对性的攻击时,一方面传统的安全设备无法识别0day漏洞,利用已知漏洞进行变形攻击同样可以绕过防守方特征检测设备;另一方面真实的攻击往往被海量的告警日志所淹没,无法快速发现正在攻击的行为或已发生的攻击。
“而在费尽周折发现攻击入侵之后,又会面临攻击链不清,从而不能有效切断攻击入口和攻击路径,不能有效发挥全网协同联动的处置能力,使得入侵行为极有可能长期潜伏下来。”杨志泉说。
也正是基于对实战中安全运营充分的认知,360把过去15年服务企业、服务社会和服务国家形成的独有的安全能力,以“实战有效、运营高效”为理念,重磅推出了本次发布会的C位产品——360 AISA 2.0。
下好安全运营“先手棋”构筑神经元系统
聚焦全流量威胁分析大展拳脚
同时,将360 AISA 2.0本地化部署到城市、行业和企业后,360 AISA 2.0又成为360云端安全大脑的神经元系统,并接受云端安全大脑的赋能,将360云端安全大脑的全景安全知识进行融合、全栈核心技术进行融合、全视大数据进行融合,成为一款开放式安全智能分析、研判、预警、响应的一套系统,形同网络空间安全的雷达和预警机。
杨志泉表示,一个体系即NDR技术体系,两个应用场景主要是面向常态化的日常安全监测场景和实战化攻防演习场景。三大卖点主要是精准告警、实锤事件和风险可运营。全方位帮助企业提升面向实战的安全防御能力。
此外,360 AISA 2.0产品的五大功能主要为资产全景的检测告警、攻击链图谱分析、全流量威胁溯源、可视化风险面评估和全生命周期响应闭环。具体而言:
资产全景的检测告警
360 AISA 2.0产品充分利用可视化技术,向用户展示基于资产的安全威胁,最大程度来支撑安全监测人员对威胁的动态感知。
攻击链图谱分析
为构建新常态下的监测感知,结合海量数据的分析,360 AISA 2.0形成以新规则为主导,以新分类为依据,以攻击链为引领的新型告警日志分析结果,以客观的多元化的攻击链形态为基础,根据攻击成功事件关联上下文历史数据构造完整的攻击链,最终实现新常态下的安全监测感知。
全流量威胁溯源
360 AISA 2.0产品在捕获流量的同时进行数据包深度解析,将解析后的结果与告警、原始流量数据关联存储,为后续的攻击链溯源、上下文检索分析、入侵取证等业务提供强有力的数据支撑。
可视化风险面评估
在实战攻防过程中,面对网络中发生的安全威胁,360 AISA 2.0产品可帮助安全运营人员通过产品提供的风险资产画像信息,直观的看见风险资产的风险等级和重要级别、在线状态、流量大小、漏洞情况、相关告警、攻击事件的统计等信息,增强对企业内部的威胁洞察能力,为安全决策提供信息支撑。
打通安全运营最后一公里 实现全生命周期响应闭环
360 AISA 2.0产品通过与蜜罐、FW、WAF、EDR等产品形成生态联动,让安全风险能够被及时处置,使安全运营工作形成闭环,最终实现安全运营工作的全生命周期管理。
俗话说实践是检验真理的唯一标准,产品好不好还是要看落地场景的适配。目前,360 AISA 2.0产品具备多场景部署能力,不仅能够部署在企业的内网,同时支持内外网的混合部署,还能够旁路部署在互联网侧的数据中心节点,帮助用户发现互联网上的恶意流量。在某些云环境的云节点侧,也可以通过旁路镜像方式,对出入云平台的南北向流量进行威胁分析。