DT時代:安全的協同化

文 | 本刊記者 姜紅德

DT時代:安全的協同化

文 | 本刊記者 姜紅德

企業IT運維人員經常會遇到這樣一些熟悉的場景，傳統的SOC（安全管理中心）不明原由的告警，讓人疲于奔命。本來應該發揮協調指揮作用的中心樞紐，因為沒有實現智能化，與其他系統難以協同而導致了頻繁誤報，讓很多IT部門無所適從，安全產品的協同化呼聲由此在業內越來越高。

9月14日，360企業安全集團的態勢感知與安全運營平臺（NGSOC）在多家銀行、政府、企業客戶的見證下發布。360網神董事長兼CEO齊向東介紹，NGSOC是一款以大數據安全分析能力為基礎、以威脅情報為驅動的新一代產品。它將會成為新的安全智慧的核心，給企業與機構的安全管理運營提供了新的“大腦”與智慧協同的平臺。

大數據加速安全產品協同化

現代戰爭需要協同陸、海、空各個兵種聯合的力量才能有機會取得勝利，我們已經看不到依靠單一兵種能夠取得戰爭勝利的例子。網絡攻擊如今就像置身于現代戰爭一樣，不能只依靠終端或者防火墻等單一產品來防范和發現各類威脅和攻擊了。

齊向東表示，傳統網絡安全防護模式已經無法應對日益頻繁的，新的和更高級的網絡攻擊。在提出了數據驅動安全理念后，360在今年互聯網安全大會上又提出了協同聯動的安全理念。希望能夠實現不同的安全設備之間的協同聯動，來提升應對網絡威脅的防護能力。

為了構建這樣一個協同安全產品，360在2016年先后發布了新一代的威脅感知系統（360天眼）、新一代的終端安全系統（360天擎）、新一代智慧防火墻（360天堤）?，F在只缺一個情報樞紐，將數據進行匯總分析協同響應，貫穿監測與防護整個體系，來達到智慧安全的協同，這就是今天發布的360態勢感知與安全運營平臺，也叫NGSOC。

根據Gartner發布的2016年安全信息與事件管理(SIEM)市場分析報告顯示，在產品功能方面，國際SIEM廠商都在加入威脅情報、異常檢測、行為監測、用戶行為分析功能。領先的SIEM廠商則在將其產品與大數據平臺進行整合。這說明結合大數據分析平臺和威脅情報支持將是SOC產品的未來方向。

齊向東介紹， NGSOC自身具有很多的優勢。首先，360創新性地將互聯網大數據分析平臺用在NGSOC中，能夠實現海量數據的存儲、實時挖掘和分析。對海量日志進行數據分析，是確保360態勢感知和安全運營平臺有異常行為發現的能力，使得平臺可以更加準確及時地發現各種潛在威脅和攻擊，并及時響應和處置。這也是國內第一個把實時的挖掘分析、告警、響應和處置聯動起來的一套系統。

其次，態勢感知和安全運營可視化分析技術，可以將企業內外部安全態勢進行直觀的呈現。在一個平臺上既可以感知到企業外網即外部世界的安全態勢，同時又能夠可視化直觀地展示企業內部即現在所面臨的安全態勢，NGSOC都能快速定位和處置并拓展分析，從而可以保障企業業務系統的順利進行。

同時，360態勢感知與安全運營平臺對傳統SOC的革新與豐富，基本上是符合、甚至是引領業界方向的。

智能、可視化的平臺

作為一家從互聯網起家的安全公司，360一直具有濃厚的互聯網基因。360態勢感知與安全運營平臺也是360核心優勢技術集中的一個產品，除了大數據分析等技術之外，另外一個就是可視化技術。據了解，360在三年之前就開始接觸可視化技術，并參加了當時全球最大的一個競賽項目，競賽的目的就是將真實的數據拿過來進行可視化分析，看看它到底能給安全帶來哪些幫助和作用。

360企業安全集團總裁吳云坤表示，“可視化分析的作用是這樣，數據評比有時候是雜亂無章的，通過不同的眼睛和視覺，呈現出來的所謂的異常，包括一些規律性的東西，通過可視化可以讓人通過肉眼的方式找到?！?可視化分析技術將企業內外部安全態勢進行直觀的呈現，使得企業的管理者能夠實時掌握企業內的安全狀況，甚至對行業、地域的安全態勢進行對比;而對于安全運維人員，以資產和人為視角出發的安全管理，豐富的安全運維與服務工具，也會幫助提升日常的安全管理運維效率。

目前可視化技術已經在國內很多行業進行了應用，一些高校和競賽中也開始對此進行研究和實踐。通過可視化技術（不僅僅是數據，還有圖片等等信息），還可以實現溯源分析，甚至在一些特殊機構中可以進行間諜行為分析。

“可視化技術和大數據分析是緊密關聯的，也是研究數據的一種方法”。360企業安全集團副總裁韓永剛表示，“通過數據加圖片的方式，可以了解更多的信息。比如一個人在酒吧晚上12點沒有動，早上6點出去了，這個人估計是喝醉了。當用圖像表現的時候可以顯示出其中意義，如果只有表格的話你可能根本不知道是什么意思。只有通過可視化的方式描述出來，才能知道背后發生的事情?！?/p>

據介紹，360態勢感知與安全運營平臺基于很多類型調查對象，不管是人、設備，還是郵箱、文件、域名，可以提供更多便利調查工具，例如搜索引擎、可視化關聯分析的引擎、統計分析引擎，圖計算引擎等，給安全服務和安全運維人員提供更多的工具。無論是對于安全事件的定位、處置和分析，還是對日常安全運維管理效率提升，或對于管理層安全管理和決策，可以實現更高效率的運轉過程。

總體來看，360 NGSOC基于大數據安全分析、威脅情報驅動，并達到智慧協同的方式，最終基于數據驅動，實現對安全事件的及時發現、快速響應、調查分析，形成新的發現、響應和防御的體系。安全+大數據方式的NGSOC利用互聯網安全改造傳統安全產業，就像是給傳統安全增加了眼睛和大腦。