数据驱动安全安全态势感知大数据分析系统安全的挑战在于“看见”我们需要什么?•全面、快速、准确的感知过去、现在、未来的安全威胁。!•帮助自己第一次「看清楚」自己PaulCannon通过海量数据的收集、分析与展现,帮助企业获得更好的全局可见性和安全智能,从而抵御新型安全威胁和内部人员监守自盗。数据驱动安全信息安全为什么需要大数据?—:你不能保护你不知道的(传统依靠特征码匹配的方式已经不足以应对未知威胁)。二:通过异常行为分析来侦测未知威胁已经是业界共识。三:“异常行为”蕴藏在各种数据源的海量数据之中,大数据技术是必要的支撑手段。2012年3月,Gartner发表了一份题为《InformationSecurityIsBecomingaBigDataAnalyticsProblem》的报告,表示信息安全问题正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘。从安全运维中心到安全智能中心–从少量单一数据向海量丰富大数据的转变;–从基于规则匹配向数据建模,机器学习智能化的转变;–从短时间状态监控向长周期趋势变化及动态基线转变;–从单一安全事件监控向整体安全态势感知的转变;–从依靠自身安全能力为向威胁情报共享,风险预测的转变;洛克希德・马丁公司,2015.9亚信安全安全态势感知大数据分析系统亚信安全安全态势感知大数据分析系统大数据分析平台数据中心安全云计算安全服务器安全边界安全下一代安全网关DeepEdge威胁情报共享平台高级威胁监控平台高级威胁发现系统TDA终端安全下一代终端安全防护下一代智能终端安全防护安全服务安全态势感知大数据分析系统需要哪些能力?洞察未知追本溯源还原真相洞察未知通过机器学习发现异常行为异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户或应用行为中的异常模式,以发现异常行为。异常可以与同类对象做比较而得出,也可以与历史数据做比较而得出。自动关联异常行为上下文自动关联分析可提供异常行为事件关联、上下文关联、攻击场景关联、位置关联、身份关联、角色关联等等。关联分析还有脆弱性信息关联、因果关联、推理关联等等。追本溯源•支持非结构化,半结构化,结构化数据;•大于50000EPS处理能力;•大于500TB历史日志全量存储分析能力;•可灵活线性扩展,保护现有投资;高性能,大容量,多数据源实时日志分析告警•采用SparkStreaming流式处理,日志实时采集、入库、分析、告警;•从日志采集到分析取证和告警在1分钟内完成;还原真实全局关联分析可视化安全攻击可视化病毒呈现可视化根据可视化的全局安全状态统一显示可视化呈现风险可视化全局可视化态势感知威胁动态攻击图SOC向SIC的转变人读机读简单丰富非实时实时孤立共享安全预警态势感知调查取证合规报表安全态势感知大数据分析系统的优势与价值数据中心海量数据(100TB+)集中管理和实时运维分析;实时安全及异常行为检测(安全建模);配合人员和流程构建安全智能中心;业务风险反欺诈分析能力;亚信安全态势感知大数据分析系统亚信安全威胁情报中心成功案例:天津滨海公安安全态势感知系统•安全架构日趋复杂、新型技术不断涌现:不但有传统物理服务器、网络设备和安全设备,也有虚拟机和虚拟设备;不仅有C/S,B/S架构传统应用,也有IaaS,SaaS等新型服务。•安全数据快速增长,数据快速处理能力不足:每台物理设备每天生成5万至50万条安全事件,全网带宽也从百兆提升至千兆,每年需处理的安全数据在10TB数量级,而现有安防系统的处理能力仍停留在1TB数量级,快速提取有价值的数据进行分析。•安全处理能力分散,未能形成整合优势:现有安全处理方式仍然按照防火墙、病毒防范、行为审计等独立事件进行处理,未能整合安全事件之间的相互关系、行为关联来产生总体安全态势,缺乏科学决策提供依据。解决方案•整合传统安全、云安全和大数据安全,构建新型安防管控综合平台基础架构。•实现全网安全基础信息采集子系统和存储子系统。•完成现有安全监控体系进行云化改造。•实现安全事件追踪溯源和风险预警等分析功能。云终端设备移动、终端设备数据大集中云数据云...
