中測安華網絡流量追溯系統(數湖)全新發布
11月5日上午,中測安華網絡流量追溯系統(數湖)發布會舉行,中測安華研發總監田斌現場發布了“數湖”產品,該產品是國內首款針對大容量、長周期的原始流量回溯平臺。發布會現場行業相關領導、專家和媒體悉數到場,數湖產品驚艷亮相。
中測安華研發總監田斌
一、預防APT攻擊需要高維度的“上帝視角”
高級威脅攻擊的本質特征是降維打擊與對抗升級。APT攻擊者在技術和思維上都處于較高的維度,導致受害者無法全面了解攻擊過程及攻擊手法,同時攻擊者不斷保持自己高維的優勢,使得對抗過程將不斷升級。
為有效預防APT攻擊,防御系統需要具備高維度、上帝視角和正反饋的特征。所謂高維度就是爭取和攻擊者站在一個維度,并且要擁有上帝的視角來剖析整個攻擊過程,發現攻擊組織的特征及防御系統的弱點,彌補缺陷,提升自身的對抗能力。
1、高維度
APT攻擊好比是一個迷宮(圖1),攻擊的手段及過程非常復雜,如果以二維的角度去看這個迷宮,攻擊的線路是無法得知的。目前的防御系統試圖站在三維的角度去觀察迷宮(圖2),但是由于高度有限(基礎數據不足),只能觀察到迷宮中的零星線索,無法了解整個迷宮線路。只有站的高才能看得遠,如果可以以上帝的視角去觀察迷宮(圖3),整個攻擊線路便一清二楚。
2、正反饋
能夠從失敗中吸取經驗,是學習的捷徑。只有從被攻擊的過程發現攻擊方法、彌補防御弱點,通過不斷的學習彌補,才能提升APT的對抗能力。這就要求防御系統具備強大的事后溯源能力,使分析人員具備穿越的能力,可以隨時復現整個攻擊過程。
三、數湖——國內首款針對大容量、長周期的原始流量回溯平臺
針對上述問題,中測安華提出了“流量+”的概念,針對海量的原始流量回溯進行重點技術攻關,解決當前方案中留存的基礎性的“大流量”問題,并可以無縫嵌入到已有的監測/防御體系中,擴展原有系統的功能、提升原有系統的能力。
1、產品介紹
網絡流量追溯系統(數湖)是中測安華自主研發的一款軟硬件一體化的創新性產品,該產品是國內首款針對大容量、長周期的原始流量回溯平臺,已在多個政府級、防務級的大型項目中經過實施驗證。
數湖 Logo
該產品定位是安全的“神經中樞”,可以連接不同的安全產品,共筑安全生態圈。
數湖產品可以實時抓取100Gbps原始流量數據;數據存儲時長長達180天,存儲量可達100PB,由于分布式的部署方式,數據存儲量可以橫向擴展;在大規模的數據量下,可以完成目標數據的秒級查詢。
3、市場定位
目標客戶:關注APT攻擊的目標群體:國家級、政府級及企業級的客戶。
目標用戶:分析人員、運維人員和取證人員。
用戶需求:
l 在高級威脅事件發生后,能夠協助分析人員還原事件的整個過程,從中獲得證據與線索;
l 了解攻擊者、攻擊途徑及攻擊技術,有助于組織針對薄弱點作出有針對性的安全防護;
l 同時可以評估攻擊的受害程度及范圍,及時作出應對措施。
4、產品優勢
l PB級數據秒級檢索
l 分布式靈活部署
l 豐富的圖表統計
l 友好的交互設計
5、用戶價值
l 數據取證與責任判定:大規模的原始流量資源池為安全事件的分析及回查提供依據,有助于整個網絡攻擊過程“像素級”還原,供分析人員分析及研判。
l 積累流量數據資產:接收多渠道、多類型的全流量數據,進行統一管理及歸檔。長時間存儲原始流量數據以備日后進行事件追溯及分析,或采用更新技術進行深度分析。
l 感知流量全局態勢:對全流量及過濾流量數據進行多維度聚合統計分析,通過圖形化直觀展現流量整體態勢,快速評估威脅的危害程度及范圍。
l 提升數據利用價值:提供開放的數據共享接口,與受信任的第三方系統友好對接,各系統發揮自身優勢,共同賦能業務數據分析及線索挖掘,使數據價值最大化。
中測安華高級安全專家李季現場演示數湖系統
發布會上,中測安華總經理姚軼嶄全面介紹了中測安華的發展歷程、現狀及未來的布局方向。
中測安華總經理姚軼嶄
技術總監姚原崗詳細講解了中測安華首創的持續風險監測技術體系。數湖產品是持續風險監測體系中協同聯動的關鍵環節。
中測安華技術總監姚原崗
1. IT168:數湖是一款軟硬化一體的產品,這款產品能否在云端部署?
答:這款產品主要針對防務級的客戶,所以設計為軟硬件一體。我們在研發時也能夠適配多種類型的硬件服務器。整個系統是分布式部署,其系統架構能夠適配云上部署。同時能夠支撐原生態的對象存儲,如果用戶有大規模的對象存儲,我們能夠直接使用用戶提供的存儲空間,能夠為用戶節省成本,做到資源共享,真正實現“云”的概念。
2. 中國信息安全:產品愿景提到了產品和第三方系統的響應聯動,可以具體說明一下嗎?
答:目前產品是基于API接口,現在安全人員基本是基于SOC進行分析。數湖可以根據安全事件的一些通聯信息直接調用系統,查詢相關的流量并進行下載。我們產品的愿景是希望能將流量進行高速的回放,這樣市面上所有的安全檢測類產品都可以作為數湖產品的功能擴展,從而推進安全生態的提升。
3. 嘶吼:數湖產品是自己的威脅情報庫,還是與第三方聯合?新的威脅變種能否及時更新到自己的庫里方便進行檢測?網絡安全資產的盤點,如設備云辦公等場景變化,數湖能否監測到?
答:我們希望能夠共同把安全生態建設好,發揮各家的優勢,數湖則發揮安全中樞的功能,比較開放的第三方平臺,我們可以支持聯合;針對遠程辦公的場景,“南北向”流量及加密的“東西向”流量,數湖都可以實現監測。
4. 安全牛:該款產品叫網絡流量追溯系統,那么面對正在發生的APT攻擊是怎樣應對的?
答:針對有線索的APT攻擊,我們能夠對系統進行全面的回溯,了解受害的范圍和受損的程度,實現“秒”級查詢,并讓我們的安全運營人員進行迅速的響應和處置。
5. 數說安全:流量追溯系統更側重事后追查,監測系統更側重事前事中的篩查,這兩套系統如何配合?
答:我們公司有專業的團隊專注研發安全監測系統。我們基于主動防御的手段在事前進行威脅的防御,如針對暴露面Web及郵件的主動防御,相當于給系統打了疫苗,可以免疫一些類型的攻擊;數湖系統會將已經發生的攻擊事件形成日志,用戶可以通過日志查詢我們的流量系統,做到聯動分析。
6. 中國信息安全:防務級裝備及持續風險監測的概念我是第一次聽說。中測安華來為什么提出持續風險監測的概念?剛才產品發布中提到,中測安華的產品想做“安全中樞”,能否做成?
答:“持續風險監測”是一個學術化的詞,如何將其商業化需要我們的實踐和探索。第一,“持續”是時間概念的持續,威脅長期潛伏且不易被察覺,我們需要體系與體系間的對抗,用持續的風險監測來對抗和抵御威脅;第二,“監測”是空間上的概念,需要全面感知同時協同防御;第三,時間與空間共同組成的風險,考驗的是對系統復雜性的把控。
中測安華提出“持續風險監測”是由我們所處的位置和我們所具備的實力決定的。我們以國家使命為主導,構建安全的生態網絡為國家利益服務——這是我們所處的位置;我們多年的技術儲備、大型工程實踐和商業模式的探索——這是我們所具備的實力。我們為了成為“安全樞紐”進行了多年的努力,一系列的實踐驗證了我們的方向,我們必將繼續努力開拓前行。
