中文
历经2年打磨,由深信服参编的首份网络安全态势感知国家标准终于出炉。
近日,gb/t 42453-2023《信息安全技术 网络安全态势感知通用技术要求》正式发布,并将于2023年10月1日起实施。该标准由全国信息安全标准化技术委员会归口管理,由公安部第三研究所牵头起草。
过去由于缺乏统一的技术标准,态势感知的演进存在种种障碍:
-
关于用户落地
组织单位对态势感知的认识不到位,系统架构设计不合理,在后期无法对系统能力进行扩展。
-
关于产品能力
态势感知功能模糊不清、能力参差不齐,无法真正感知网络安全风险。
-
关于生态开放
前端采集源与平台、平台内部高度融合,无法与其他优秀的前端采集源、分析模型进行异构兼容。
此项标准规定了态势感知技术框架中核心组件的通用技术要求,包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等,为当前各大组织单位建设态势感知带来重要指导意义。
以「超越标准」态度 技术硬实力「摊牌了」
深信服深度参与此项标准的制定,不断探索引领行业的技术发展方向和产业提升路径,更以超越标准的态度,深耕产品技术。
6年来,深信服在态势感知技术上不断精进,以切实行动,致力于用户「安全领先一步」。
这一次,深信服安全感知管理平台sip技术硬实力不再低调,摊牌了!
深信服大量应用ai作为创新发展引擎,提升安全检测效果。以加密挖矿检测技术为例,深信服首创加密挖矿检测ai模型,解决以往基于流量特征检出率极低的问题,通过提取挖矿流量的时空特征建立预测模型,利用深度学习模型pointnet,提升检测准确率。目前该ai模型已经在超过500 客户端有效检出加密挖矿,且综合误报率低于2%。
深信服sip还集成xdr创新检测引擎。通过融合网端遥测数据聚合分析能力,秒级定位威胁根因,还原攻击画像和攻击入口,深信服sip检测准确率达95%以上,安全事件不再反复出现或难以处置,运营工作更加省心。
去年8月,某科技公司在原有部署sip的基础上,上线xdr创新检测引擎,从8183条告警中,精准还原1个感染 coinminer 挖矿病毒事件故事线,以更高效、高性价比的方式有效根除威胁,安全体验和效果提升不止“亿点点”。
何为「真」联动?态势感知产品通过联动端点安全产品,定位攻击根因,回溯网端两侧完整攻击行为,先拦截恶意程序网络通信或恶意操作行为实现遏制,再一一对应清除恶意程序的实体文件、驻留项。这,才是以联动方式实现事件的有效响应。
以失陷主机处置为例,常见联动机制为态势感知联动edr对失陷主机ip发起全盘扫描,不但速度慢、耗资源,往往由于网络和终端检测原理的差异,导致威胁实体“查不出来”“杀不干净”。
而深信服sip会向edr同时下发失陷主机的ip、端口、c&c域名等丰富信息,可直接联动edr切断c&c远程控制通道;edr结合sip下发的c&c域名、ip、端口信息,直接定位到失陷主机的原始恶意payload,并阻断执行和横向传播,彻底根除威胁实体。
此外,深信服sip还可联动全网行为管理ac,同步用户认证信息,解决dhcp环境下定位不到真实ip的难题。
目前,深信服sip已支持30 家主流品牌的60 安全设备,实现230 种联动操作,帮助用户充分复用现有设备。
一个完整的事件闭环分为缓解、遏制、根除、加固等几个阶段,这高度依赖人员的能力和经验,对精力和专业度都是巨大的挑战。
基于“人机共智”理念,深信服sip通过数据服务接口,可扩展接入安全托管服务mss/托管检测与响应服务mdr,7*24小时持续在线守护,通过安全专家分析研判与主动响应,释放用户安全运营的精力和专业度投入,响应时间缩短至小时级,安全事件轻松协同闭环。
由“建”向“用”,构建轻量级安全运营
集“高级威胁检测”和“安全运营”能力二合一,通过集成xdr创新检测引擎,大幅提升高级威胁检测精准度,同时广泛联动自有及第三方安全设备自动化处置,可接入云端安全托管服务mss,安全建设由工具使用转化为体系化运营,帮助用户看懂、看清全网安全态势。
8000 用户选择 大量“双一流高校”“医疗百强”都在使用
截至目前,深信服sip已在全国落地8000 用户,覆盖700 政府单位,400 大型三甲医院,60 985/211高校,200 央企/国企单位。