2020年2月,水利部辦公廳印發《2020年水利網信工作要點》,積極踐行“水利工程補短板、水利行業強監管”水利改革發展總基調和“安全、實用”水利網信發展總要求,加快補齊水利網信短板,全力支撐強監管。要求實施網路安全能力提升工程,建成基於大資料的水利部機關網路安全威脅感知和決策指揮平臺,提升網路安全監測預警和應急響應能力;推進實施七個流域管理機構網路安全能力提升工程;推動地方開展水利網路安全威脅感知能力建設。
綠盟科技深入研究水利行業網路安全及監管需求,為水利行業使用者業務的持續健康開展提供強有力的安全支撐和保障,南水北調中線建管局(以下簡稱“南水北調”)智慧安全運營解決方案專案為其中的代表性專案。
業務挑戰
1. 傳統的安全產品以被動防禦為主,主動發現網路威脅的能力差,對於新興威脅、0day漏洞無法做到實時檢測、防禦。
2.網路安全裝置各自為戰,缺乏針對大型網路的精細化分析管理平臺,無法針對真實網路環境進行場景化分析。
3.面對海量告警資訊,重點告警被湮沒,無法滿足網路監測預警和快速響應需求。
4.亟需對網路安全能力進行提升,落實構建縱深防禦的網路安全威脅監測能力,並透過持續不斷的安全運營提升全網安全威脅感知能力 。
解決方案
綠盟智慧安全運營解決方案基於水利部相關檔案要求,依據等保2.0和《水利網路安全管理辦法》等標準和檔案要求,透過在南水北調行政主管部門部署綠盟智慧安全運營平臺,為水利行業提供內網環境整體安全檢測能力和網路安全態勢全面可視能力。
綠盟智慧安全運營解決方案針對原始流量進行採集和監控,對流量資訊進行深度還原、儲存、查詢和分析,透過對攻防場景的機器學習、威脅建模、場景關聯分析、異常行為分析、安全編排自動化以及視覺化呈現等技術,幫助客戶建立和完善了安全態勢全面監控,可及時掌握重要資訊系統相關網路安全威脅風險,及時檢測漏洞利用、病毒木馬、網路攻擊情況,及時發現網路安全事件線索,及時通報預警重大網路安全威脅,調查、防範和打擊網路攻擊等惡意行為,幫助安全管理者快速檢測失陷主機。此專案中綠盟智慧安全運營解決方案包含以下四部分:
統一威脅探針(UTS)
實現流量資料的採集和解析工作,對流量資料進行逐層解碼、上傳和原始流量pcap資料留存,並支援入侵檢測、病毒檢測及吸星引擎等,提供統一威脅檢測能力。
威脅情報中心(NTI)
提供威脅情報功能,透過與情報的有效結合,可以實時獲取全球最新的熱點事件和資訊,大幅提升安全威脅事件檢測能力。
綠盟智慧安全運營平臺(ISOP)
綠盟智慧安全運營解決方案的核心,透過獨有的自適應的體系架構,為安全運營提供了可靠的資訊資料支撐,協助客戶快速發現和分析安全問題。利用其強大的大資料分析能力及各類機器學習演算法,快速檢測各類重點事件,如APT攻擊事件、Botnet事件、惡意樣本傳播、WebShell、隱蔽隧道等高危安全事件。將“ATT&CK+SOAR”進行有效結合,快速評估攻擊危害及防禦能力,且能夠有效地進行自動化響應。
綠盟一體化安全運營服務
綠盟智慧安全運營解決方案的有效組成部分,雲端遠端安全分析專家共同為中線建管局提供各類安全的威脅檢測與響應服務,完成熱點事件預警與防護、攻陷主機與事件的防護和高危訪問源的監測與封禁。
方案價值
安全合規
方案符合《水利網信水平提升三年行動方案(2019-2021年》要求,“網路安全防護提升行動”中的水利網路安全態勢感知任務要求,滿足水利部辦公廳印發《2020年水利網信工作要點》關於實施網路安全能力提升工程的描述,並且幫助水利行業使用者達到《水利網路安全管理辦法》及等保2.0中對水利行業關鍵基礎設施保護的合規要求。
構建安全運營體系
專業技術能力成熟的綠盟科技安全人員駐場服務,進行資料彙總分析,協助中線建管局建立有效的安全運營體系應對日益嚴重的網路安全威脅。
提升威脅分析能力
綠盟智慧安全運營平臺在客戶受到網路攻擊時,提供快速感知攻擊事件的影響範圍,並及時提供有效的應對處置建議;當0day事件發生後,提供了溯源歷史流量資料和pcap檔案(原始資料包文)的能力,從而分析還原駭客攻擊的具體行為及過程;針對安全熱點事件,快速感應到現網系統中存在的安全問題,並提供預防手段。
全域性可視
全域性安全態勢視覺化,幫助高層管理者掌握企業全網安全狀況,隨時瞭解最新的安全趨勢和風險狀態,輔助決策安全建設方向和投資。威脅、資產集中閉環管理,幫助中層管理者落地安全管理和技術體系,威脅事件預警和追溯,漏洞監控並閉環處置,動態發現資產變化,做到心中有數。幫助運維人員精準攻擊發現,及時事件預警,日誌審計回溯,協同應急處置,減輕運維工作量,提高工作效率。
為踐行綠盟科技P2SO戰略,支撐因客戶數字化變革帶來的網路安全挑戰,以及體系化的安全運營服務需求,綠盟科技還將繼續在自動化、智慧化之路前行,擔當AISecOps的前鋒。