大数据安全运维一体化的概念
大数据安全运维一体化,包含了以下四个方面的概念:
数据架构:以大数据架构搭建基础支撑平台,运用大数据技术对海量数据进行采集、存储、清洗、分析、挖掘、可视化和安全保护等各方面的处理和应用
大数据安全:依靠数据基础支撑平台,对基础设施、应用系统、业务系统进行安全分析和安全防护,以数据驱动安全
大数据运维:依靠大数据基础支撑平台,对复杂的网络、众多的设备、海量的数据进行监控和管理,保证系统运行的持续、稳定、高效和安全
解决方案
- 按照P2DR模型,构建新型安全运维平台
- 核心思想从“纵深防御”向“实时检测和响应”转变
- 以数据驱动安全
系统框架
大数据安全运维一体化系统,包括一个平台、三个系统:
- 基础支撑平台
- 安全分析系统
- 运维分析系统
- 应用分析系统
主要应用场景
- 金融反欺诈
- 误报事件纠正
- 发现信息泄露
- WEB异常访问
- 长周期安全事件发掘
基础支撑平台
基础支撑平台可以采集日志类数据(支持结构化、半结构化和非结构化数据),以及网络流量数据,包括:
- 网络/安全设备日志
- 操作系统日志
- 应用、中间件日志
- 数据库日志
- 交换机NetFlow信息
旁路连接,通过网络镜像采集:
- 源IP,目标IP
- 协议类型、端口号
- TCP会话状态信息(建链、拆链、重传等)
- 报文尺寸与数量
- 组包和解包
安全分析系统
传统的安全设备,都是基于特征码和简单规则进行安全防御的,无法识别未知的威胁,或者新的攻击模式。同时由于设备基本上都是独立运行,产生的很多有价值的数据,分散在网络之中,因为存储和计算能力的限制,不能加以最大限度的保存和利用,无法通过分析发现其中可能的关联。在设备管理上,无法对设备进行统一的检测和可视化展现,也无法从整体上判断每台设备配置的合理性,发现其中的薄弱环节。而这些都是可以通过安全分析系统进行补强的
运维分析系统
锐炬解决方案助力提升运维工作:
- 大数据安全运维一体化平台,实现网络环境中的资产统一管理、知识管理
- 实时监控、采集数据,快速关联各种信息,生成告警,变被动响应为主动预警
- 发生安全事件后,快速获取系统内所有数据,进行跟踪。取证调查的时间短至分钟级,极大降低应急响应成本
- 运用机器学习、基线分析、模式识别、关联分析等技术的多种分析工具,准确发现未知威胁和账号异常,大量减少误报和漏报,提高了运维工作的效率和价值
- 多维度可视化展现,极大简化了运维工作
- 安全分析与运维分析交叉融合,共用技术平台和技术手段
应用分析系统
- 日志数据分析
- 网络解包分析
- 结合业务数据进行分析,可用于银行业务反欺诈、反洗钱、信贷风控、精准营销等
- 或需客户开放业务系统相关数据接口,或直接提供业务数据
- 需了解特定的业务逻辑
- 可根据客户需求进行定制