城市轨道交通现状
随着轨交组织机构网络信息技术与应用的快速发展,小到具体生产系统,大到整个城市的轨道交通系统,IT架构规模都在不断增大、趋于复杂;单条线路生产系统复杂,且每个系统都要安装部署的各类安全产品/设备数量繁多。同时,大量线路和班组缺乏较专职的IT安全人员。面对轨道交通行业快速发展日趋复杂的IT环境,日常的运行维护压力不断增加,加上安全运行维护因素,往往使得本就严重缺乏专业人员的IT部门力不从心,网络安全运行维护面临着巨大挑战和风向。
基于以上分析,银数信息对轨道交通行业网络安全情况进行了专项调查,对当前城市轨道企业网络安全现状及问题进行了归纳和分析。
常见问题
系统多、设备多,设备和资源较分散,日常IT资产管理复杂
不同系统、不同线路安全设备品牌多、供应商多,服务商多,很难统一标准
安全产品没有很好分类管理,升级、维护对厂商依赖性强,费用巨大
各系统、各线路网络数据分散,做不到集中管理分析,无法沉淀
人员能力参差不齐,统筹管理困难。缺少统一的人员、工单、知识管理体系
缺少大数据的集中管理和分析平台,诸多系统运维、线路管理等无法沉淀
产品定位
1) 整合企业目前部署的各种相对孤立的安全防护资源(主要包括:防火墙、入侵检测系统、漏洞扫描系统、UTM 等),实现对各种网络安全防护资源信息的综合监控、管理及分析
2) 在大数据时代,以数据为核心,用新技术提供的低成本、高可靠、可弹性扩展的数据处理能力,满足组织和企业对异构海量日志数据的处理需求;以关联分析(知所已知)和行为分析(知所未知)为基础,为安全管理人员提供智能化分析方法,以应对日益复杂的隐蔽攻击和威胁,从数据中发现价值;同时,以运维和管理为动力,提供流程辅助、合规管控、安全分析和决策支持等能力;并且通过可视化技术和人机交互为安全管理人员提供工作接口,展现数据价值。
3) 紧密围绕具体业务,采用主动的和真正具有安全智能的管理技术,并采用融合大数据技术的软件架构,严格监控各种关键业务系统(主要包括:生产类的生产调度系统,财务类的集团财务系统,研发类的 PDM 系统以及管理类的办公自动化系统、HR 系统、ERP 系统等),防止对重要数据非授权篡改行为的跟踪及审计等。
通过以上几点可以帮助企业建立一套横向贯穿孤立的安全防线的整体安全态势感知系统,通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库系统、中间件等日志事件、状态事件和网络数据包和各类设备的状态运行数据的采集、综合评价和网络安全事件关联分析,实现对来自内外部攻击的安全审计,为网络管理维护人员提供一个监控整个网络的软件和硬件设备运行状况、分析挖掘异常入侵信息、审计业务系统关键数据、发出各种方式网络安全事件告警的手段,真正让企业和组织的管理者把握网络信息整体安全态势,实现有效地协同防御。
产品特点
EBA 行为画像
轨道交通网络安全智能管控平台利用 EBA 技术进行内部用户和资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测易于基线的异常行为作为入口点,结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为,对用户/资产进行综合评分,识别内鬼行为和已入侵的潜伏威胁,提前预警。
追踪溯源可视化
轨道交通网络安全智能管控平台创新性的将网络流量访问进行可视,同时形成“基于正常(未检测到问题)发现异常”的追踪溯源思路。以采集全流量 NETFLOW,并结合几十种协议的深度解析和元数据采集、存储、关联分析,形成了一套可视化工具,结合伴随的追溯指引让安全分析人员可快速进行追踪溯源,还可结合业务相关差异实现从“正常”发现异常的行为。
机器学习技术使用
轨道交通网络安全智能管控平台将机器学习技术应用到整个攻击链的每个过程中,为威胁溯源/追捕、攻击路径可视、安全可视提供基础。通过将机器学习与特征检测结合,提升准确率和检出率,在规则无法检测的情况下,通过机器学习技术应用到行为分析中,发现小概率事件和异常用户行为,来增强产品对已知、未知威胁的应对能力。
威胁深度分析
轨道交通网络安全智能管控平台针对攻击日志进行深度挖掘分析,通过内置关联分析模型将亿级日志进行事件化,减少大量冗余的无效告警。区别于传统的归并方式,网络安全智能管控平台的攻击事件化是针对相似攻击意图进行关联,用于挖掘针对性的攻击,并结合攻击事件给出相应的处置建议,形成攻击闭环。
威胁情报结合
轨道交通网络安全智能管控平台通过对本地网络中采集的流量元数据进行实时分析,发现已知威胁及可疑连接行为,增加智能分析技术的准确性和检出率。如通过行为分析发现的隐蔽隧道通信行为(如 DNS 隧道)仅为可疑行为,但若其连接的地址信息与威胁情报的僵木蠕毒情报相关联,通过分析模型可检测为远控行为。
通报预警
关键信息基础设施安全防护管理平台建立用户网络安全通报预警体系,从事前感知、监测到事中通报预警、快速处置,事后调查分析,形成快速告警、通报、响应、处置机制。该机制可以结合微信小程序进行快速预警处置,将被监管单位纳入监管视野,对监管通报工作进行量化、数据化考核,整改结果可回传至平台,从而形成一个完整的网络安全监管业务闭环,监管数据零丢失。
SOAR
随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。借助网络安全智能管控平台,用户不仅能够在第一时间准确地检测出攻击和入侵,也可以利用 SOAR 技术帮助用户降低 MTTR(平均响应时间)。运维人员可对一些常见的安全事件响应处置办法形成响应剧本进行自动化处置,提升安全响应效率。
客户价值
网络安全智能管控平台是一款面向城市轨道交通行业的网络安全大数据安全分析产品,旨在为城市轨道交通行业构建一套集检测、可视、响应于一体的安全大脑。平台采用先进的大数据采集、建模、分析技术,通过对各种网络资源的多维度信息采集和自动化的关联分析,及时发现网络当中的威胁和异常行为,通过安全编排与自动化联动防火墙、入侵防御、终端安全等安全产品的联动处置,实现对威胁和异常行为的及时有效处置。系统通过图形化、可视化技术将识别到的各种威胁和异常通过图形化方式直观的展现给用户,有利于用户全面掌握网络总体安全态势,并可通过运营中心的工单处理和通报预警系统进行全方位协同管理,让网络安全可感知、易运营、安全事件快速联动闭环。
全局安全可视
通过全流量分析、多维度的有效数据采集和智能分析能力,实时监控全网的安全态势、内部横向威胁态势、业务外连风险和服务器风险漏洞等,让管理员可以清楚的感知全网是否安全、哪里不安全、具体薄弱点、攻击入口点等,围绕攻击链(kill-chain)来形成一套基于 “事前检查、事中分析、事后检测”的安全能力,看清全网威胁,从而辅助决策。
大数据分析、检索能力
网络安全智能管控平台基于大数据框架,产品具备 TB级别的海量数据存储、关联分析能力,并可通过集群等方式进行扩充。
智能分析能力,应对未知威胁
随着黑客的技术发展以及变种、逃逸技术的不断改进,传统安全设备的静态规则防御手段已经捉襟见肘,依靠规则仅能防御小部分已知威胁,已无法检测最新攻击、未知威胁。安全态势分析与管理平台具备智能分析技术,利用机器学习、关联分析、EBA 等新技术,能够检测 APT 攻击、网络内部的潜伏威胁等高级威胁,无需更新检测规则亦能发现最新威胁。
实时监测,精准预警
网络安全智能管控平台通过对全网流量、主机日志和第三方日志的采集分析,实现对已知威胁(僵木蠕毒、异常流量、业务漏洞等)和未知威胁(网络僵尸、APT、0day 漏洞等)的全天候实时监测,同时结合智能分析和可人工干预的便捷运营支撑,对已发现的威胁进行精准化预警,简化运维,有效通报预警。
威胁举证与影响面评估
网络安全智能管控平台通过自动化的将 IP 以资产类型进行划分,区分业务安全、终端安全维度来展示不同类型的受损情况,迎合运维人员对业务资产的侧重点。结合详细的攻击内容举证、多维度潜伏威胁、基于流量可视的潜在危害分析,可清晰直观看清威胁影响面,评估受损情况。
追踪溯源支撑
做好追踪溯源的本质在于有效数据提取。安全态势分析与管理平台基于全流量和第三方日志(中间件、操作系统、安全设备等)的有效数据提取能力,实时提取有助于威胁分析和追踪溯源的关键元数据,结合 TB 级别的超大存储空间及集群部署能力,可存储至少 1 年以上的元数据。
银数携手合作伙伴
