实施背景
为了确保国家安全,在国家发展各领域和全过程中,需要将安全发展贯穿始终,筑牢国家安全屏障。传统局部的、各自为政的、基于特征的信息安全解决方案在当今世界信息安全争夺战中已经暴露出极大的不足,APT正在成为当前信息安全的主要黑手,政府、军队、金融、能源和其他大型企业则是攻击的首要目标。信息系统被入侵、主机被控制、核心机密数据失窃,这样的恶性事件每天都在发生。主动安全防御能力成为决定关键基础设施生存和发展的关键因素,而威胁情报则是主动安全防御战略成败的关键要素。
实施目标
通过建设本地化网络威胁情报中心,借助大数据手段和威胁情报等前沿安全技术,构建一体化的智能安全服务技术体系,提供智能化的威胁监测、各类安全数据的采集与分析、自有威胁情报的生产、输出和赋能、共享等高级安全服务。
(一)提供威胁监测与预警服务,有效应对威胁
基于安全大数据平台,支持大规模网络环境中,对能够引起网络态势发生变化的多源安全要素,进行获取、理解、显示以及最近发展趋势的顺延性预测,提供决策支持与行动的服务能力。
(二)基于情报的产品联动,提升传统安全防控措施的效能
大数据正在改变诸如反恶意软件、数据外泄保护、网络入侵检测、防火墙等传统安全控制措施的性质。目前,借助威胁情报等建立的安全大数据分析与共享机制,可以做到快速打通传统安全措施和新兴安全技术之间的信息壁垒,大幅提高安全检测和响应处置的速度和效率,使得传统安全防控措施的效能得到全面提升,形成一个“云+地一体”的安全情报应用服务体系,以较低的技术成本实现安全产业链的转型升级,并适应未来安全保障的实际需要。
(三)借助自身平台的海量数据资源支撑,对所有历史情报和安全基础信息进行格式化关联,并以“1+N”模式开放相应的威胁溯源服务。安全运营人员除通过API接口获取单条或多条威胁的溯源结果信息外,还可通过可视化界面进行关联数据多层钻取,以获取威胁线索扩展分析与溯源定位能力,辅助其开展事件分析与响应处置工作。
建设内容
建设本地化威胁情报管理平台,收集并汇总多方威胁情报源数据,多渠道、全方位引入内外威胁情报资源,融入大数据中心,形成核心“威胁情报库”,生成攻击者画像标签。基于安全大数据中台,汇聚现有安全产品的日志和流量信息,通过网内全流量采集探针和终端采集能力,结合安全编排及自动化(SOAR)和扩展式检测响应技术(XDR)相关理念和技术,自动化关联系统资产、安全漏洞、全网流量、终端行为、威胁情报等上下文信息,对网络空间威胁进行监测,对网络安全威胁情报进行侦察,失陷对网络攻击活动的追踪溯源,将“事前主动预警、事中应急响应、事后多维追踪”落到可操作层面。通过交互式取证功能和威胁评分等方式辅助人工分析研判工作,提高了安全监测、事件分析和告警研判工作的自动化比例,节省了安全人工成本,并提高了安全运营的整体效率。
实施效果
通过搭建基于关键基础设施安全防护的威胁情报中心,实现网络安全防护从纵深防御向主动防御的转变,全面提升现有安全防护体系中的安全产品检测、防御、研判能力。多节点级联部署模式,实时共享最新威胁情报信息,快速传递高危攻击源信息,避免攻击者的横向蔓延,从点到面形成整体网络安全防御体系,有效抵御安全攻击。
