11月5日上午,中测安化网络流量追溯系统(书湖)发布会召开。中测安华研发总监田斌发布了“数虎”产品,该产品是国内首个大容量、长周期的原创流量回溯平台。相关行业领导、专家、媒体悉数到场,舒虎产品惊艳亮相。中策安化研发总监田斌中策安化的愿景是用系统化的方法让网络世界更安全!我们在使用系统方法做一些大型项目的时候,经常会有客户问:系统搭建好后,是不是也可以自己检测APT攻击?显然,客户的期望不仅仅是一套系统的交付,更重要的是能力的传递。基于这样的初衷,中测安华推出了网络流量溯源系统(数狐)产品。1、防范APT攻击需要高维“上帝视角”高??级威胁攻击的本质特征是降维打击和对抗升级。APT攻击者在技术和思维上处于更高维度,这使得受害者无法完全理解攻击过程和攻击方式。同时,进攻方继续保持高维优势,将使对抗进程不断升级。为了有效防范APT攻击,防御系统需要具备高维、上帝视角和正反馈的特点。所谓高维度,就是力求与攻击者站在同一个维度,以上帝的视角分析整个攻击过程,发现攻击组织的特点和防御体系的薄弱环节,弥补针对不足,提高自身的对抗能力。1.高维APT攻击就像一个迷宫(图1)。攻击的手段和过程非常复杂。如果从二维的角度来看迷宫,就无法知道攻击的路线。目前的防御系统试图从三维视角观察迷宫(图2),但由于高度有限(基础数据不足),只能观察到迷宫中的零星线索,无法了解整个迷宫路线。站得高才能看得远。如果能以上帝视角观察迷宫(图3),整条攻击线就会一目了然。2、正反馈可以从失败中学习,是学习的捷径。只有从被攻击的过程中发现攻击方法,弥补防御的弱点,通过不断的学习来弥补,才能提高对抗APT的能力。这就要求防御系统具有很强的事后溯源能力,让分析人员具备遍历能力,可以随时重现整个攻击过程。2、普通安全产品难以应对APT攻击。纵观安全产品的整个演进过程,可以发现大部分在功能和计算能力上有所提升,在高维度和正反馈方面并没有发生本质的变化。这些安全产品在数据层面基本属于上层数据,存在大量数据丢失。大多数产品更多的是解决高概率的威胁事件。对于APT攻击等低概率威胁事件,只有拥有大量的基础流量数据,才能站在更高的维度,以上帝视角观察整个攻击过程。3、蜀湖——国内首个大容量、长周期的原始流量回溯平台。解决方案中遗留的基础“大流量”问题,可以无缝嵌入到现有的监控/防御系统中,扩展原有系统的功能,提升原有系统的能力。一、产品介绍网络流量追溯系统(数护)是中测安华自主研发的软硬件一体化创新产品。已在多项政府级、国防级大型工程中得到验证。ShuhuLogo本产品定位为安全的“神经中枢”,可以连接不同的安全产品,构建安全生态圈。2、产品性能数据湖产品可实时抓取100Gbps的原始流量数据;数据存储时间长达180天,存储容量可达100PB。由于采用分布式部署方式,可横向扩展数据存储容量;在大数据量下,可以完成目标数据的秒级查询。3、市场定位目标客户:关注APT攻击的目标人群:国家、政府、企业客户。目标用户:分析师、运维人员、取证人员。用户需求:l高级威胁事件发生后,可协助分析人员还原事件的全过程,并从中获取证据和线索;l了解攻击者、攻击路径和攻击技术,有助于组织针对薄弱环节做出有针对性的安全防护措施;l同时可以评估攻击的破坏程度和范围,及时采取应对措施。4.产品优势lPB级数据秒级检索l分布式灵活部署l丰富的图表统计l友好的交互设计5.用户价值l数据取证与责任认定:大规模原始流量资源池,用于安全事件的分析与反馈。调查提供证据,有助于在“像素级”还原整个网络攻击过程,供分析师分析判断。l流量数据资产积累:接收多渠道、多类型的全流量数据,统一管理归档。长期存储原始流量数据以供日后事件追踪分析,或使用更新技术进行深入分析。l感知全局流量态势:对全流量和过滤后的流量数据进行多维度聚合统计分析,图形化直观展示整体流量态势,快速评估威胁程度和范围。l提高数据利用价值:提供开放的数据共享接口,与可信赖的第三方系统友好对接。各系统将发挥自身优势,共同赋能业务数据分析和线索挖掘,实现数据价值最大化。中测安华资深安全专家李骥现场演示了书虎系统。中测安华总经理姚益新全面介绍了中测安华的发展历史、现状及未来布局方向。中测安华总经理姚益斌、技术总监姚远刚详细讲解了中测安华首创的持续风险监控技术体系。数护产品是持续风险监控体系中的关键环节。中测安化技术总监姚远刚发布“书虎”后,现场专家、记者就“书虎”产品及中测安化的定位方向进行了提问。摘录如下:1.IT168:书狐是一款软硬件一体的产品,这个产品可以部署在云端吗?答:本产品主要针对国防级客户,所以设计为软硬件一体化。我们在研发的时候也可以适配各种类型的硬件服务器。整个系统是分布式部署,其系统架构可以适配部署在云端。同时可以支持原生态的对象存储。如果用户有大规模的对象存储,我们可以直接使用用户提供的存储空间,可以为用户节省成本,实现资源共享,真正实现“云”的概念。2、中国信息安全:产品愿景中提到了产品与第三方系统的响应联动,能否详细解释一下?答:现在的产品都是基于API接口,现在安全人员基本都是基于SOC来分析的。书虎可以根据安全事件的一些通信信息直接调用系统,查询相关流量并下载。我们产品的愿景是高速回放流量,让市面上所有的安全检测产品都可以作??为数狐产品的功能扩展,从而促进安全生态的完善。3、咆哮:蜀湖产品是自己的威胁情报库,还是和第三方合资的?新的威胁变种能否及时更新到我们的库中以便于检测?盘点网络安全资产,比如设备云办公等场景的变化,蜀湖能监控吗?答:我们希望共同构建一个安全生态系统,充分发挥每个公司的优势。蜀湖将起到安全中心的作用。我们可以支持联合一些相对开放的第三方平台;对于远程办公场景,“南北”流量和加密后的“东西”流量可以通过几个湖泊进行监控。4、安全牛:这个产品叫做网络流量溯源系统,那么如何应对持续不断的APT攻击呢?答:对于有线索的APT攻击,我们可以对系统进行全面回溯,了解破坏范围和破坏程度,实现“秒”级查询,让我们的安全运维人员能够快速响应和处理。5、数字说安全:交通追溯系统更侧重事后追溯,监控系统更侧重事前筛查。这两个系统如何协同工作?答:我司拥有专业的团队致力于安全监控系统的研发。我们采用主动防御手段,提前防御威胁,比如主动防御暴露的网页和邮件,相当于给系统打了疫苗,让系统免疫某些类型的攻击;数护系统会将发生过的攻击形成日志,用户可以通过日志查询我们的流量系统,实现联动分析。6、中国的信息安全:国防级设备和持续风险监控的概念,我还是第一次听说。为什么中测安华莱会提出持续风险监控的概念?刚才在产品发布会上提到,中策安华的产品要做“安全中心”,能做成吗?A:“持续风险监控”是一个学术名词,如何商业化需要我们的实践和探索。首先,“延续”是指时间概念的延续。威胁潜伏时间长,不易被发现。我们需要系统之间的对抗,通过持续的风险监控来对抗和抵御威胁。二是“监控”是空间概念,需要全面感知、协同防御;第三,时间和空间组成的风险考验着系统复杂性的控制。中策安华提出,“持续的风险监控”是由我们的定位和实力决定的。我们以国家使命为引领,建设安全生态网络,为国家利益服务——这就是我们所在;我们多年的技术储备、大规模的工程实践和商业模式的探索——这就是我们的实力。多年来,我们为成为“安全枢纽”而努力奋斗,一系列实践验证了我们的方向,我们将继续努力,砥砺前行。
