背景综述

随着数字化进程,企业面对越来越多的安全挑战,客户花钱购买各种各样的安全产品,但安全问题依然层出不穷。传统安全防护模式频遇“水土不服”,主要有三个方面原因。

  • 第一,安全的本质是对抗,大部分厂商能讲很多理论,但缺乏真正的国家级大规模对抗经验

    传统安全防护体系是对安全本质认识不足,安全并不像大部分的业务系统,只要按照规划一步步建设便高枕无忧,它要面临持续的攻击,所以安全系统的本质是提升用户对抗的能力。而现实中很多厂商能提出各种安全理论,但并没有经历过真正国家级大规模实战对抗,就像军队没有上过战场,怎么能够给出行之有效的安全体系架构。所以客户需要的是一套真正从实战中总结的,能够提升对抗能力的安全新框架。

  • 第二,对抗的关键是持续运营,大部分厂商缺乏攻防专家也缺乏运营战法。

    如何提升用户的对抗的能力,这就需要持续的运营。传统的安全运营大多数是安全运维,也就是维护安全设备的运转,以及单个设备告警的处置,这样往往一年下来用户的安全能力并没有真正得到提升。真正的安全运营一是看有没有办法评价现状和目标的差距,二是能不能持续的改变现状积累能力,最终达到目标。

  • 第三,持续运营的目的是能力积累,大部分厂商无法提供让客户积累能力的基础设施。

    持续运营过程中积累的能力存放在哪里呢?有些厂商把安全能力转化为安全设备里的一条条规则,但是一换设备很多能力就丢掉了;还有一些厂商把能力转化为运营手册,但它没有办法自动化。在360看来必须有一个集中的系统来体系化的汇聚运营知识和能力,并且把人的能力转化为系统的能力,这就是360提出的安全大脑。

产品概述

本地安全大脑是“360云端安全大脑核心体系”本地化部署的一套开放式统一安全平台,包含安全大数据平台和多种安全应用(APP),以产品套件的形态服务客户,全方位提升安全能力。

本脑为客户安全运营中心提供基于安全大数据分析的多种核心场景能力:态势感知、态势监管、多维检测和响应(XDR)、抗攻击能力评估等。

本脑通过360云端安全大脑的赋能获得超越传统态势感知的大网全局视野和高位安全能力,帮助客户应对在安全运营中“看不见的高级威胁”和“告警风暴”两大核心挑战,全面提高预警、检测、分析、研判、响应、评估的质量。

usage-scene
功能模块
usage-scene
核心优势
安全大脑赋能

360安全大数据汇集了290亿恶意样本、22万亿安全日志、90亿域名信息、2EB以上的安全大数据,依靠于安全专家的分析研究,大数据产出的安全知识和威胁图谱从云端安全大脑赋能本地安全大脑,结合本地安全大脑多种威胁分析引擎,可以发现很多传统手段无法发现的安全问题。

多维神经元、全视角分析

多维神经元矩阵是360在长期的攻防演练中训练出一整套专业的感知器网络,包括终端、网络、云端、移动端等多维检测和响应产品,能够将威胁攻击方方面面的蛛丝马迹都汇聚到本地安全大脑平台上,使得安全人员可以全方位、全视角分析和处置恶意攻击。

多阶段降噪、精准化告警

本地安全大脑分析模块多阶段把控告警生成的全过程,通过自循环、自学习逐步提高告警精准度。通过数据清洗聚合去除无效告警和归并同类告警,降低告警数量和噪声。分析阶段通过360全技术栈智能检测分析引擎从海量告警中鉴别出高风险威胁攻击事件,并通过交叉验证去除误报。在安全运营的过程中,不断优化改进数据处置流程、事件分析规则和聚合模型,利用正向循环反馈持续提升告警精准度。

专家经验指导自动化响应

360安全专家根据多年实战化攻防经验总结出各类型安全运营战法,预置在SOAR系统中,固化为可执行的响应预案。客户也可根据实际情况对SOAR中预案进行调整配置,进行快速的威胁检测、安全分析、事件处置等安全运营流程的自动化执行,让安全人员从日常重复繁重的劳动中释放出来,缩短响应时间MTTR,提升安全运营效率和效果。

自动化模拟、实战化评估

讲百遍不如打一遍,安全建设没有真实攻击的磨炼,等同于纸上谈兵,难以形成实战化的应对能力。AES是入侵者模拟攻击技术,基于实战攻防全景知识库,以ATT&CK攻击技术框架系统化评估安全防御能力,以实战化模拟攻击手段促进系统防护和安全建设。AES提供了边界、内网、邮件、终端、数据防护等多方位评估方案,用户可根据需求自由选择。在设置好攻击代理和靶标后,AES可定期自动执行,结合云端同步,以最新攻击手段自动化评估检验客户的实际防护水平,最后生成分析报告和加固建议,供安全团队改进系统。

整体协防、全局联动

360通过覆盖全球的网络神经元实时监控全网攻击,安全专家持续跟踪分析攻击团队和新型攻击事件,产出威胁情报和检测规则,并下发到本地安全大脑,一旦发现有新型恶意攻击,可瞬时部署到各个端点,实现全局联运整体防御。

超级分布引擎、100万EPS超大数据量分析

本地安全大脑数据分析采用先进的数据分析引擎,不但可以支持多数据源、多维度关联分析,还可采用多层级分布式计算方式以支持超大数据量的分析计算,计算规模可达到100万EPS,即每秒可处理100万笔日志的分析。

多级部署、全局分析

本地安全大脑基于大数据技术实现对海量数据的分析和处置,可根据客户的需求实现总部对下属分部的多级部署,总部可以监控查看各个分部的安全态势、安全告警,也可以直接检索查询或溯源分析各个分部的原始日志信息,并可利用全局规则实现总部及各下属分部之间的统一关联分析,真正实现分级部署、数据同步、全局统一分析。

专家服务、协同防御

安全运营除了数据、工具、流程,还离不开专业的安全人员,360拥有超3800人的安全专家团队,14支攻防专家团队,10个安全研究中心,积累了丰富的攻防实战经验。360依托于安全专家,可协助客户进行安全事件的分析、研判、处置等工作,降低客户安全团队在技术、经验上的风险,提升安全运营的效率和效果。

应用场景
usage-scene usage-scene usage-scene usage-scene
部署方案

本地安全大脑内置多级部署架构,总部本地安全大脑可直接访问下级数据,随时获取下级分中心/分公司威胁态势,实时跨数据中心关联分析全局安全事件,全面监控各级平台上的威胁事件。

usage-scene
资料下载
本地安全大脑彩页
58.7 M