2020年2月,水利部办公厅印发《2020年水利网信工作要点》,积极践行“水利工程补短板、水利行业强监管”水利改革发展总基调和“安全、实用”水利网信发展总要求,加快补齐水利网信短板,全力支撑强监管。要求实施网络安全能力提升工程,建成基于大数据的水利部机关网络安全威胁感知和决策指挥平台,提升网络安全监测预警和应急响应能力;推进实施七个流域管理机构网络安全能力提升工程;推动地方开展水利网络安全威胁感知能力建设。
绿盟科技深入研究水利行业网络安全及监管需求,为水利行业用户业务的持续健康开展提供强有力的安全支撑和保障,南水北调中线建管局(以下简称“南水北调”)智能安全运营解决方案项目为其中的代表性项目。
一、业务挑战
- 传统的安全产品以被动防御为主,主动发现网络威胁的能力差,对于新兴威胁、0day漏洞无法做到实时检测、防御。
- 网络安全设备各自为战,缺乏针对大型网络的精细化分析管理平台,无法针对真实网络环境进行场景化分析。
- 面对海量告警信息,重点告警被湮没,无法满足网络监测预警和快速响应需求。
- 亟需对网络安全能力进行提升,落实构建纵深防御的网络安全威胁监测能力,并通过持续不断的安全运营提升全网安全威胁感知能力 。
二、解决方案
绿盟智能安全运营解决方案基于水利部相关文件要求,依据等保2.0和《水利网络安全管理办法》等标准和文件要求,通过在南水北调行政主管部门部署绿盟智能安全运营平台,为水利行业提供内网环境整体安全检测能力和网络安全态势全面可视能力。
绿盟智能安全运营解决方案针对原始流量进行采集和监控,对流量信息进行深度还原、存储、查询和分析,通过对攻防场景的机器学习、威胁建模、场景关联分析、异常行为分析、安全编排自动化以及可视化呈现等技术,帮助客户建立和完善了安全态势全面监控,可及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞利用、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,帮助安全管理者快速检测失陷主机。此项目中绿盟智能安全运营解决方案包含以下四部分:
- 统一威胁探针(UTS)
实现流量数据的采集和解析工作,对流量数据进行逐层解码、上传和原始流量pcap数据留存,并支持入侵检测、病毒检测及吸星引擎等,提供统一威胁检测能力。
- 威胁情报中心(NTI)
提供威胁情报功能,通过与情报的有效结合,可以实时获取全球最新的热点事件和信息,大幅提升安全威胁事件检测能力。
- 绿盟智能安全运营平台(ISOP)
绿盟智能安全运营解决方案的核心,通过独有的自适应的体系架构,为安全运营提供了可靠的信息数据支撑,协助客户快速发现和分析安全问题。利用其强大的大数据分析能力及各类机器学习算法,快速检测各类重点事件,如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。将“ATT&CK+SOAR”进行有效结合,快速评估攻击危害及防御能力,且能够有效地进行自动化响应。
- 绿盟一体化安全运营服务
绿盟智能安全运营解决方案的有效组成部分,云端远程安全分析专家共同为中线建管局提供各类安全的威胁检测与响应服务,完成热点事件预警与防护、攻陷主机与事件的防护和高危访问源的监测与封禁。
三、方案价值
- 安全合规
方案符合《水利网信水平提升三年行动方案(2019-2021年》要求,“网络安全防护提升行动”中的水利网络安全态势感知任务要求,满足水利部办公厅印发《2020年水利网信工作要点》关于实施网络安全能力提升工程的描述,并且帮助水利行业用户达到《水利网络安全管理办法》及等保2.0中对水利行业关键基础设施保护的合规要求。
- 构建安全运营体系
专业技术能力成熟的绿盟科技安全人员驻场服务,进行数据汇总分析,协助中线建管局建立有效的安全运营体系应对日益严重的网络安全威胁。
- 提升威胁分析能力
绿盟智能安全运营平台在客户受到网络攻击时,提供快速感知攻击事件的影响范围,并及时提供有效的应对处置建议;当0day事件发生后,提供了溯源历史流量数据和pcap文件(原始数据报文)的能力,从而分析还原黑客攻击的具体行为及过程;针对安全热点事件,快速感应到现网系统中存在的安全问题,并提供预防手段。
- 全局可视
全局安全态势可视化,帮助高层管理者掌握企业全网安全状况,随时了解最新的安全趋势和风险状态,辅助决策安全建设方向和投资。威胁、资产集中闭环管理,帮助中层管理者落地安全管理和技术体系,威胁事件预警和追溯,漏洞监控并闭环处置,动态发现资产变化,做到心中有数。帮助运维人员精准攻击发现,及时事件预警,日志审计回溯,协同应急处置,减轻运维工作量,提高工作效率。
为践行绿盟科技P2SO战略,支撑因客户数字化变革带来的网络安全挑战,以及体系化的安全运营服务需求,绿盟科技还将继续在自动化、智能化之路前行,担当AISecOps的前锋。