为您推荐

随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
某政府单位部署山石智源平台提高日常运营水平
案例背景
客户属于政府单位,是省人民政府组成部门,主管全省科技工作整体。客户网络架构包括核心业务区、内网区、对外发布区、边界区、虚拟化区、云端区、安全管理区等,同时业务系统之间的交互亦十分频繁。现网安全设备种类较多,包括防火墙、IPS、IDS、EDR、虚拟化网络安全产品等,具备基础的防御能力。
问题与挑战
客户在日常运营过程中依赖被动防御、大量安全事件的产出需要人工介入分析、一次常规事件响应涉及多个设备/系统,安全管理人员工作量增加且效率降低。
同时相关政策对网络安全威胁监测、处置和通报等保障工作也提出更高要求,提升安全主动防护能力,建设自动化纵深防御体系,实现持续运营闭环。
短期目标:实现手动任务和重复性任务的自动化,缩短威胁的补救时间,提升运营效率
长期目标:从综合型安全运营视角里找到可以量化、标准化的抓手去提升安全运营成熟度
解决方案
山石网科根据用户的实际需求,结合网络架构、业务流程、运营能力及现网的安全工具堆栈情况,针对性部署山石智源平台:
智源平台部署于安全管理域内,对网络环境中各安全设备威胁信息、流量分析结果等进行统一接入并与具体安全设备配置联动能力,依据分析检测结果进行告警,平台按照设定的剧本进行智能决策,迅速响应,在安全产品上完成信息同步、更新策略信息,完成响应防御操作。
平台以机器学习及自动化功能为基础,运用Kafka分布式消息队列为整个平台搭建消息总线,将采集、处理、分析、联动、控制等各模块连接到总线完成整体数据流的自动化运算和处理,最后进行展示输出。
方案特点
自动化协同响应,提升检测与响应效率
山石智源平台通过SOAR与机器学习、自动化等技术相结合,可实现人机协同作战的应用场景。通过给平台提供相近领域的样本训练,平台基于历史数据借助机器学习算法进行统计模拟后,可实现持续的“自学习、自优化”实现安全运营可持续优化。山石智源平台可以基于安全事件、威胁情报等编排形成剧本,并结合人工验证的方式最后一键全部部署,完成了安全事件和威胁情报下人机的协同作战。
通过剧本化方式驱动客户网络安全的运营与自动化
通过平台可视化看板工具,减轻了对用户经验的需求,预置剧本(自动化工作流)、服务等级保障(工单系统)、集成协助(联动)、自动化告警相结合,大幅降低操作复杂度及难度。
编排能力:具备将用户分散的安全能力和响应的过程标准化,形成能随时调用的剧本库;
自动化能力:剧本触发的条件、自动化执行、人工干预、执行反馈,实现人、技术和流程的整合与协同联动,减少人工干预;
能效能力: 包含自动化确认及协助调查节省的时间,用户可自定义剧本、应用、自动响应触发条件和案件处置过程,无缝融入现有安全体系,进一步提升了协同作战的效率;
响应能力:联动安全产品种类、数量以及可以下发的具体动作类型,有效解决安全运营最后一公里,实现手动或自动化处置。
数据源角度:可以对接海量异构安全信息,如用户现有的日志分析系统或现有的平台进行对接,无缝融入现有安全体系。
联动角度:和主机安全设备联动,如EDR,扩充的能力有访问控制、结束进程、文件隔离、USB管理、重启等;和网络安全设备联动,如NGFW、IDPS、云安全防护产,扩充的能力有:策略配置、封堵、阻断等;和工作系统联动:对工作流进行跟踪、处置,效率评估;和情报系统联动:支持对IP、域名、文件等情报检测;通过不断的和其他系统进行联合,逐步扩充SOAR的安全编排、处置能力。
用户价值
加速事件响应生产力:替换低级手动任务,增加自动化和安全协调,事件响应时间大幅缩短,提高准确性。
标准化和流程扩展:通过逐步、可复制工作流程、安全协调为标准化事件赋能和简化响应流程,提高响应的基线质量,并为规模的扩大做好准备。
复用现有资源改善安全态势:通过自动执行可重复操作并最大限度地减少控制台切换,安全编排能够轻松协调多种产品,并相应降低安全性和业务风险。
通过以上一系列改变,政府客户安全运维人员的工作压力得以释放。山石网科智源平台既帮助运维人员从繁琐的多设备管理、手工重复性任务的工作中解放出来,同时基于智源平台的自动化能力,提升了安全事件响应效率,保障了各业务系统的运行安全。安全运维人员的工作量得以大幅下降,可以把更多精力投入到核心业务的运行保障中去。
案例总结
山石智源借助安全编排与自动化解决方案,能够帮助用户将复杂的安全运营过程梳理为任务和剧本,将分散的安全工具与功能转化为可编程的应用和动作,然后借助编排和自动化技术,将人、技术和流程高度协同起来,支撑安全运行能力的建设。通过不同业务的处置经验持续固化剧本场景,对剧本等工具有效利用,以及威胁情报在安全运营中的使用,从而增强用户在面临威胁时预警、防御、检测和响应能力。
© 2010 – 2023 山石网科,保留一切权利。 北京市公安局朝阳分局备案编号1101051794 京ICP备09083327号-1 https://beian.miit.gov.cn/