11月5日上午,中測安華網(wǎng)絡(luò)流量追溯系統(tǒng)(數(shù)湖)發(fā)布會(huì)舉行,中測安華研發(fā)總監(jiān)田斌現(xiàn)場發(fā)布了“數(shù)湖”產(chǎn)品��,該產(chǎn)品是國內(nèi)首款針對(duì)大容量�����、長周期的原始流量回溯平臺(tái)����。發(fā)布會(huì)現(xiàn)場行業(yè)相關(guān)領(lǐng)導(dǎo)、專家和媒體悉數(shù)到場��,數(shù)湖產(chǎn)品驚艷亮相�。
專注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、成都做網(wǎng)站服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)瀘州免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)�。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才���,有力地推動(dòng)了上千企業(yè)的穩(wěn)健成長�,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變���。
中測安華研發(fā)總監(jiān)田斌
中測安華的愿景是用系統(tǒng)方法讓網(wǎng)絡(luò)世界更安全�!當(dāng)我們用系統(tǒng)方法做一些大型項(xiàng)目時(shí)����,客戶經(jīng)常會(huì)問:系統(tǒng)建好后����,能不能讓我們自己也能發(fā)現(xiàn)APT攻擊����? 很顯然,客戶的期望不僅僅是一套系統(tǒng)的交付���,更希望是一種能力的轉(zhuǎn)移����?����;诖顺跣?���,中測安華推出了網(wǎng)絡(luò)流量追溯系統(tǒng)(數(shù)湖)產(chǎn)品。
一�、預(yù)防APT攻擊需要高維度的“上帝視角”
高級(jí)威脅攻擊的本質(zhì)特征是降維打擊與對(duì)抗升級(jí)。APT攻擊者在技術(shù)和思維上都處于較高的維度,導(dǎo)致受害者無法全面了解攻擊過程及攻擊手法��,同時(shí)攻擊者不斷保持自己高維的優(yōu)勢��,使得對(duì)抗過程將不斷升級(jí)��。
為有效預(yù)防APT攻擊�����,防御系統(tǒng)需要具備高維度���、上帝視角和正反饋的特征。所謂高維度就是爭取和攻擊者站在一個(gè)維度�,并且要擁有上帝的視角來剖析整個(gè)攻擊過程,發(fā)現(xiàn)攻擊組織的特征及防御系統(tǒng)的弱點(diǎn)����,彌補(bǔ)缺陷,提升自身的對(duì)抗能力����。
1、高維度
APT攻擊好比是一個(gè)迷宮(圖1)����,攻擊的手段及過程非常復(fù)雜���,如果以二維的角度去看這個(gè)迷宮,攻擊的線路是無法得知的�����。目前的防御系統(tǒng)試圖站在三維的角度去觀察迷宮(圖2)����,但是由于高度有限(基礎(chǔ)數(shù)據(jù)不足),只能觀察到迷宮中的零星線索�,無法了解整個(gè)迷宮線路。只有站的高才能看得遠(yuǎn)��,如果可以以上帝的視角去觀察迷宮(圖3)���,整個(gè)攻擊線路便一清二楚����。
2�、正反饋
能夠從失敗中吸取經(jīng)驗(yàn),是學(xué)習(xí)的捷徑�����。只有從被攻擊的過程發(fā)現(xiàn)攻擊方法、彌補(bǔ)防御弱點(diǎn)��,通過不斷的學(xué)習(xí)彌補(bǔ)�,才能提升APT的對(duì)抗能力。這就要求防御系統(tǒng)具備強(qiáng)大的事后溯源能力����,使分析人員具備穿越的能力��,可以隨時(shí)復(fù)現(xiàn)整個(gè)攻擊過程��。
二���、常見安全產(chǎn)品難以應(yīng)對(duì)APT攻擊
縱觀安全產(chǎn)品的整個(gè)演化過程�,可以發(fā)現(xiàn)大多是在功能和算力上進(jìn)行提升���,并沒有在高維度和正反饋方面做出本質(zhì)上的變化���。這些安全產(chǎn)品在數(shù)據(jù)層面基本上屬于上層數(shù)據(jù),存在大量數(shù)據(jù)的損耗����。大部分產(chǎn)品更多的是解決大概率的威脅事件�,針對(duì)APT攻擊這種小概率的威脅事件�����,只有擁有大量的基礎(chǔ)流量數(shù)據(jù)���,才能站在更高的維度�,以上帝視角觀察整個(gè)攻擊過程���。
三���、數(shù)湖——國內(nèi)首款針對(duì)大容量、長周期的原始流量回溯平臺(tái)
針對(duì)上述問題���,中測安華提出了“流量+”的概念�,針對(duì)海量的原始流量回溯進(jìn)行重點(diǎn)技術(shù)攻關(guān)��,解決當(dāng)前方案中留存的基礎(chǔ)性的“大流量”問題��,并可以無縫嵌入到已有的監(jiān)測/防御體系中��,擴(kuò)展原有系統(tǒng)的功能、提升原有系統(tǒng)的能力�����。
1��、產(chǎn)品介紹
網(wǎng)絡(luò)流量追溯系統(tǒng)(數(shù)湖)是中測安華自主研發(fā)的一款軟硬件一體化的創(chuàng)新性產(chǎn)品�����,該產(chǎn)品是國內(nèi)首款針對(duì)大容量���、長周期的原始流量回溯平臺(tái),已在多個(gè)政府級(jí)����、防務(wù)級(jí)的大型項(xiàng)目中經(jīng)過實(shí)施驗(yàn)證。
數(shù)湖 Logo
該產(chǎn)品定位是安全的“神經(jīng)中樞”�����,可以連接不同的安全產(chǎn)品����,共筑安全生態(tài)圈����。
2���、產(chǎn)品性能
數(shù)湖產(chǎn)品可以實(shí)時(shí)抓取100Gbps原始流量數(shù)據(jù)���;數(shù)據(jù)存儲(chǔ)時(shí)長長達(dá)180天,存儲(chǔ)量可達(dá)100PB���,由于分布式的部署方式�,數(shù)據(jù)存儲(chǔ)量可以橫向擴(kuò)展���;在大規(guī)模的數(shù)據(jù)量下�,可以完成目標(biāo)數(shù)據(jù)的秒級(jí)查詢����。
3、市場定位
目標(biāo)客戶:關(guān)注APT攻擊的目標(biāo)群體:國家級(jí)�����、政府級(jí)及企業(yè)級(jí)的客戶���。
目標(biāo)用戶:分析人員����、運(yùn)維人員和取證人員。
用戶需求:
l 在高級(jí)威脅事件發(fā)生后���,能夠協(xié)助分析人員還原事件的整個(gè)過程���,從中獲得證據(jù)與線索;
l 了解攻擊者�、攻擊途徑及攻擊技術(shù),有助于組織針對(duì)薄弱點(diǎn)作出有針對(duì)性的安全防護(hù)��;
l 同時(shí)可以評(píng)估攻擊的受害程度及范圍���,及時(shí)作出應(yīng)對(duì)措施。
4���、產(chǎn)品優(yōu)勢
l PB級(jí)數(shù)據(jù)秒級(jí)檢索
l 分布式靈活部署
l 豐富的圖表統(tǒng)計(jì)
l 友好的交互設(shè)計(jì)
5����、用戶價(jià)值
l 數(shù)據(jù)取證與責(zé)任判定:大規(guī)模的原始流量資源池為安全事件的分析及回查提供依據(jù)��,有助于整個(gè)網(wǎng)絡(luò)攻擊過程“像素級(jí)”還原,供分析人員分析及研判��。
l 積累流量數(shù)據(jù)資產(chǎn):接收多渠道���、多類型的全流量數(shù)據(jù)�,進(jìn)行統(tǒng)一管理及歸檔��。長時(shí)間存儲(chǔ)原始流量數(shù)據(jù)以備日后進(jìn)行事件追溯及分析����,或采用更新技術(shù)進(jìn)行深度分析。
l 感知流量全局態(tài)勢:對(duì)全流量及過濾流量數(shù)據(jù)進(jìn)行多維度聚合統(tǒng)計(jì)分析�����,通過圖形化直觀展現(xiàn)流量整體態(tài)勢����,快速評(píng)估威脅的危害程度及范圍。
l 提升數(shù)據(jù)利用價(jià)值:提供開放的數(shù)據(jù)共享接口��,與受信任的第三方系統(tǒng)友好對(duì)接�,各系統(tǒng)發(fā)揮自身優(yōu)勢,共同賦能業(yè)務(wù)數(shù)據(jù)分析及線索挖掘����,使數(shù)據(jù)價(jià)值最大化��。
中測安華高級(jí)安全專家李季現(xiàn)場演示數(shù)湖系統(tǒng)
發(fā)布會(huì)上�,中測安華總經(jīng)理姚軼嶄全面介紹了中測安華的發(fā)展歷程����、現(xiàn)狀及未來的布局方向。
中測安華總經(jīng)理姚軼嶄
技術(shù)總監(jiān)姚原崗詳細(xì)講解了中測安華首創(chuàng)的持續(xù)風(fēng)險(xiǎn)監(jiān)測技術(shù)體系���。數(shù)湖產(chǎn)品是持續(xù)風(fēng)險(xiǎn)監(jiān)測體系中協(xié)同聯(lián)動(dòng)的關(guān)鍵環(huán)節(jié)���。
中測安華技術(shù)總監(jiān)姚原崗
“數(shù)湖”發(fā)布后,現(xiàn)場專家和記者對(duì)“數(shù)湖”產(chǎn)品及中測安華的定位方向等進(jìn)行了提問���,內(nèi)容摘錄如下:
1. IT168:數(shù)湖是一款軟硬化一體的產(chǎn)品��,這款產(chǎn)品能否在云端部署�?
答:這款產(chǎn)品主要針對(duì)防務(wù)級(jí)的客戶���,所以設(shè)計(jì)為軟硬件一體。我們?cè)谘邪l(fā)時(shí)也能夠適配多種類型的硬件服務(wù)器����。整個(gè)系統(tǒng)是分布式部署��,其系統(tǒng)架構(gòu)能夠適配云上部署����。同時(shí)能夠支撐原生態(tài)的對(duì)象存儲(chǔ)�,如果用戶有大規(guī)模的對(duì)象存儲(chǔ),我們能夠直接使用用戶提供的存儲(chǔ)空間�,能夠?yàn)橛脩艄?jié)省成本,做到資源共享�,真正實(shí)現(xiàn)“云”的概念。
2. 中國信息安全:產(chǎn)品愿景提到了產(chǎn)品和第三方系統(tǒng)的響應(yīng)聯(lián)動(dòng)�,可以具體說明一下嗎?
答:目前產(chǎn)品是基于API接口�,現(xiàn)在安全人員基本是基于SOC進(jìn)行分析。數(shù)湖可以根據(jù)安全事件的一些通聯(lián)信息直接調(diào)用系統(tǒng)����,查詢相關(guān)的流量并進(jìn)行下載。我們產(chǎn)品的愿景是希望能將流量進(jìn)行高速的回放�����,這樣市面上所有的安全檢測類產(chǎn)品都可以作為數(shù)湖產(chǎn)品的功能擴(kuò)展,從而推進(jìn)安全生態(tài)的提升�����。
3. 嘶吼:數(shù)湖產(chǎn)品是自己的威脅情報(bào)庫��,還是與第三方聯(lián)合����?新的威脅變種能否及時(shí)更新到自己的庫里方便進(jìn)行檢測?網(wǎng)絡(luò)安全資產(chǎn)的盤點(diǎn)�,如設(shè)備云辦公等場景變化,數(shù)湖能否監(jiān)測到�����?
答:我們希望能夠共同把安全生態(tài)建設(shè)好����,發(fā)揮各家的優(yōu)勢,數(shù)湖則發(fā)揮安全中樞的功能��,比較開放的第三方平臺(tái)��,我們可以支持聯(lián)合����;針對(duì)遠(yuǎn)程辦公的場景,“南北向”流量及加密的“東西向”流量���,數(shù)湖都可以實(shí)現(xiàn)監(jiān)測����。
4. 安全牛:該款產(chǎn)品叫網(wǎng)絡(luò)流量追溯系統(tǒng)�����,那么面對(duì)正在發(fā)生的APT攻擊是怎樣應(yīng)對(duì)的����?
答:針對(duì)有線索的APT攻擊,我們能夠?qū)ο到y(tǒng)進(jìn)行全面的回溯�����,了解受害的范圍和受損的程度�,實(shí)現(xiàn)“秒”級(jí)查詢,并讓我們的安全運(yùn)營人員進(jìn)行迅速的響應(yīng)和處置�����。
5. 數(shù)說安全:流量追溯系統(tǒng)更側(cè)重事后追查,監(jiān)測系統(tǒng)更側(cè)重事前事中的篩查���,這兩套系統(tǒng)如何配合����?
答:我們公司有專業(yè)的團(tuán)隊(duì)專注研發(fā)安全監(jiān)測系統(tǒng)���。我們基于主動(dòng)防御的手段在事前進(jìn)行威脅的防御��,如針對(duì)暴露面Web及郵件的主動(dòng)防御��,相當(dāng)于給系統(tǒng)打了疫苗����,可以免疫一些類型的攻擊����;數(shù)湖系統(tǒng)會(huì)將已經(jīng)發(fā)生的攻擊事件形成日志,用戶可以通過日志查詢我們的流量系統(tǒng)����,做到聯(lián)動(dòng)分析。
6. 中國信息安全:防務(wù)級(jí)裝備及持續(xù)風(fēng)險(xiǎn)監(jiān)測的概念我是第一次聽說���。中測安華來為什么提出持續(xù)風(fēng)險(xiǎn)監(jiān)測的概念�����?剛才產(chǎn)品發(fā)布中提到���,中測安華的產(chǎn)品想做“安全中樞”,能否做成����?
答:“持續(xù)風(fēng)險(xiǎn)監(jiān)測”是一個(gè)學(xué)術(shù)化的詞,如何將其商業(yè)化需要我們的實(shí)踐和探索�。第一,“持續(xù)”是時(shí)間概念的持續(xù)����,威脅長期潛伏且不易被察覺,我們需要體系與體系間的對(duì)抗�����,用持續(xù)的風(fēng)險(xiǎn)監(jiān)測來對(duì)抗和抵御威脅�;第二,“監(jiān)測”是空間上的概念����,需要全面感知同時(shí)協(xié)同防御�����;第三��,時(shí)間與空間共同組成的風(fēng)險(xiǎn)�����,考驗(yàn)的是對(duì)系統(tǒng)復(fù)雜性的把控��。
中測安華提出“持續(xù)風(fēng)險(xiǎn)監(jiān)測”是由我們所處的位置和我們所具備的實(shí)力決定的����。我們以國家使命為主導(dǎo)�����,構(gòu)建安全的生態(tài)網(wǎng)絡(luò)為國家利益服務(wù)——這是我們所處的位置�;我們多年的技術(shù)儲(chǔ)備、大型工程實(shí)踐和商業(yè)模式的探索——這是我們所具備的實(shí)力�。我們?yōu)榱顺蔀椤鞍踩珮屑~”進(jìn)行了多年的努力,一系列的實(shí)踐驗(yàn)證了我們的方向����,我們必將繼續(xù)努力開拓前行�����。
當(dāng)前標(biāo)題:中測安華網(wǎng)絡(luò)流量追溯系統(tǒng)(數(shù)湖)全新發(fā)布
文章位置:
http://uogjgqi.cn/article/cdishdj.html
