1  網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型也勢(shì)在必行

傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)方式下，企業(yè)的各種網(wǎng)絡(luò)安全系統(tǒng)大多是獨(dú)立采購或獨(dú)立建設(shè)的，不同品牌不同類型的產(chǎn)品或系統(tǒng)，無法做到設(shè)備之間的協(xié)同聯(lián)動(dòng)縱深防御，導(dǎo)致企業(yè)內(nèi)部形成很多安全孤島?；ヂ?lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展帶來很多新的業(yè)務(wù)模式，例如云防護(hù)系統(tǒng)、移動(dòng)安全防護(hù)系統(tǒng)、物聯(lián)網(wǎng)安全平臺(tái)等，新的模式需要新的安全系統(tǒng)去做支撐，這進(jìn)一步加劇了網(wǎng)絡(luò)安全孤島的問題。分散的各個(gè)安全孤島存儲(chǔ)了大量安全數(shù)據(jù)，發(fā)生安全事件需要通過多個(gè)系統(tǒng)數(shù)據(jù)去做分析研判，沒有統(tǒng)一分析攻擊效率極低，導(dǎo)致這些安全數(shù)據(jù)無法分析或者只能采用簡單規(guī)則進(jìn)行分析。在合規(guī)監(jiān)管力度不斷加大，網(wǎng)絡(luò)中常常部署大量監(jiān)測(cè)類安全系統(tǒng)，對(duì)流量和日志等數(shù)據(jù)重復(fù)采集，造成大量IT資產(chǎn)重復(fù)投資和運(yùn)維成本倍增。讓企業(yè)管理者來說，網(wǎng)絡(luò)安全工作是看不見也看不懂的，導(dǎo)致無法很好對(duì)企業(yè)的網(wǎng)絡(luò)安全決策，跟不上應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全新形勢(shì)。

因此需要一套機(jī)制整合分散的各個(gè)安全孤島的數(shù)據(jù)，快速構(gòu)建網(wǎng)絡(luò)安全能力，為企業(yè)網(wǎng)絡(luò)安全決策、常態(tài)化安全運(yùn)營和網(wǎng)絡(luò)安全應(yīng)急保障提供支撐，這就是網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)。

網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)(以下簡稱“安全中臺(tái)”)是一套可持續(xù)“讓安全數(shù)據(jù)用起來”的機(jī)制，是一種網(wǎng)絡(luò)安全建設(shè)新的模式，實(shí)現(xiàn)網(wǎng)絡(luò)安全工作可見、可用和可運(yùn)營，既能提升安全管理、決策水平、又能支撐網(wǎng)絡(luò)安全運(yùn)營。

2 “安全中臺(tái)”五大組成

“安全中臺(tái)”構(gòu)建思路是通過大數(shù)據(jù)技術(shù)，將多元分散異構(gòu)的安全數(shù)據(jù)通過采集匯聚、整合加工、智能分析、可視化和價(jià)值變現(xiàn)五個(gè)組成部分，讓企業(yè)高層、信息化部門、網(wǎng)絡(luò)安全運(yùn)營部門和業(yè)務(wù)部門可以方便使用安全數(shù)據(jù)。

采集匯聚

企業(yè)往往部署大量的IT資產(chǎn)和安全設(shè)備，”安全中臺(tái)”需要對(duì)這些多元異構(gòu)數(shù)據(jù)進(jìn)行統(tǒng)一采集和整合，需要采集數(shù)據(jù)可分為資產(chǎn)類、漏洞類、威脅情報(bào)類、日志類、告警類和流量類等，針對(duì)不同廠商采用通過KAFKA、API和syslog等多種方式。

整合加工

采集的數(shù)據(jù)就樹木，經(jīng)過加工成木材才能方便使用。同樣安全數(shù)據(jù)在分析前需要進(jìn)行預(yù)加工處理，需要對(duì)數(shù)據(jù)解析、數(shù)據(jù)歸一化、數(shù)據(jù)過濾、數(shù)據(jù)補(bǔ)全、數(shù)據(jù)清洗等操作。為保障數(shù)據(jù)的完整性、可用性，從而實(shí)現(xiàn)數(shù)據(jù)的資產(chǎn)化，還需要如下操作。

質(zhì)量監(jiān)測(cè)：通過建立不同維度的數(shù)據(jù)質(zhì)量指標(biāo)，來描述整體數(shù)據(jù)治理質(zhì)量程度，對(duì)數(shù)據(jù)全生命周期質(zhì)量監(jiān)控結(jié)果進(jìn)行展示。

血緣分析：是指搞清楚數(shù)據(jù)的來龍去脈，就是我們這個(gè)數(shù)據(jù)是從那來的，經(jīng)過了哪些過程和階段，通過血緣分析實(shí)現(xiàn)數(shù)據(jù)融合處理的可追溯。大數(shù)據(jù)

安全分析

隨著攻擊手段多樣化和智能化，單個(gè)的安全設(shè)備已經(jīng)很難發(fā)現(xiàn)的復(fù)雜安全問題，需要安全數(shù)據(jù)結(jié)合起來分析才能發(fā)現(xiàn)那些潛在的威脅。大數(shù)據(jù)技術(shù)以及高難度識(shí)別、機(jī)器學(xué)習(xí)等人工智能技術(shù)的快速發(fā)展，推動(dòng)了網(wǎng)絡(luò)安全技術(shù)的不斷升級(jí)。

采用機(jī)器學(xué)習(xí)、人工智能技術(shù)和威脅情報(bào)進(jìn)行安全數(shù)據(jù)的挖掘和預(yù)測(cè)，通過安全建模和高級(jí)威脅分析，能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯，持續(xù)監(jiān)測(cè)與分析，部分場(chǎng)景的自動(dòng)化提升安全運(yùn)營效率。

可視化

為了讓安全數(shù)據(jù)用起來，“安全中臺(tái)”需要提供便捷快速的數(shù)據(jù)服務(wù)能力，支持場(chǎng)景化快速輸出。

基于合規(guī)監(jiān)管：具有等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、密碼評(píng)估、數(shù)據(jù)安全和個(gè)人信息保護(hù)等合規(guī)態(tài)勢(shì)分析。

基于攻防實(shí)戰(zhàn)：具有攻擊態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、漏洞態(tài)勢(shì)、威脅態(tài)勢(shì)、橫向威脅、安全事件等多維度建模分析結(jié)果。

基于業(yè)務(wù)保障：具有業(yè)務(wù)系統(tǒng)安全監(jiān)測(cè)狀態(tài)、用戶行為畫像、業(yè)務(wù)資產(chǎn)檔案、人員安全考核、業(yè)務(wù)數(shù)據(jù)泄露和業(yè)務(wù)場(chǎng)景分析態(tài)勢(shì)分析。

價(jià)值變現(xiàn)

云計(jì)算、大數(shù)據(jù)和人工智能等新技術(shù)的快速發(fā)展和網(wǎng)絡(luò)安全應(yīng)用場(chǎng)景不斷融合，通過“安全中臺(tái)”，可以海量收集企業(yè)歷史安全數(shù)據(jù)，利用這些數(shù)據(jù)可以發(fā)現(xiàn)高級(jí)復(fù)雜的安全威脅，也可以快速感知網(wǎng)絡(luò)安全威脅并作出反應(yīng)，實(shí)現(xiàn)安全工作自動(dòng)化和智能化。同時(shí)為上層安全應(yīng)用系統(tǒng)提供數(shù)據(jù)資產(chǎn)共享，避免重復(fù)數(shù)據(jù)收集存儲(chǔ)。通過安全數(shù)據(jù)分析客觀全面反應(yīng)現(xiàn)有安全問題，科學(xué)評(píng)價(jià)安全建設(shè)成效，公正評(píng)價(jià)相關(guān)部門和人員安全工作情況。

企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀不同，對(duì)安全能力訴求也不盡相同，網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)的建設(shè)側(cè)重點(diǎn)也不完全相同?！鞍踩信_(tái)”實(shí)施不是一套標(biāo)準(zhǔn)化安全產(chǎn)品，而是一套解決企業(yè)網(wǎng)絡(luò)安全管理難題的新方案。站在企業(yè)角度，“安全中臺(tái)”為安全運(yùn)營和上層安全應(yīng)用做支撐，能幫助企業(yè)沉淀網(wǎng)絡(luò)安全知識(shí)，提升安全管理效率，最終完成網(wǎng)絡(luò)安全能力構(gòu)建。

3  五步法構(gòu)建“安全中臺(tái)”

“安全中臺(tái)”通過五個(gè)步驟完成。

調(diào)研現(xiàn)狀、確定架構(gòu)、構(gòu)建資產(chǎn)、使用數(shù)據(jù)和安全運(yùn)營。

● 調(diào)研現(xiàn)狀：詳細(xì)調(diào)研企業(yè)目前IT建設(shè)、安全設(shè)備和運(yùn)維使用等情況，對(duì)每個(gè)安全設(shè)備存儲(chǔ)那些類安全數(shù)據(jù)，存儲(chǔ)數(shù)據(jù)量大小，數(shù)據(jù)字段、數(shù)據(jù)接口和目前沉淀情況。

● 確定架構(gòu)：根據(jù)調(diào)研現(xiàn)狀，確定業(yè)務(wù)架構(gòu)、技術(shù)架構(gòu)、應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)。業(yè)務(wù)架構(gòu)：面向企業(yè)高層、安全管理人員、安全運(yùn)維人員、安全監(jiān)管人員、安全評(píng)價(jià)人員，確保中臺(tái)能適用企業(yè)內(nèi)部安全管理制度和流程。技術(shù)架構(gòu)：對(duì)數(shù)據(jù)采集、存儲(chǔ)、計(jì)算等環(huán)節(jié)技術(shù)進(jìn)行選型。應(yīng)用架構(gòu)：是指數(shù)據(jù)中臺(tái)應(yīng)用架構(gòu)，對(duì)上層應(yīng)用的支撐。數(shù)據(jù)架構(gòu)：是企業(yè)安全系統(tǒng)之間共同語言，在數(shù)據(jù)層面保證安全業(yè)務(wù)和安全技術(shù)的一致性。

● 構(gòu)建資產(chǎn)：企業(yè)構(gòu)建符合安全場(chǎng)景需求又滿足數(shù)據(jù)架構(gòu)要求的數(shù)據(jù)資產(chǎn)體系并實(shí)施，包括數(shù)據(jù)匯聚、數(shù)據(jù)倉庫建設(shè)、標(biāo)簽體系建設(shè)等。標(biāo)簽體系是對(duì)安全對(duì)象構(gòu)建數(shù)據(jù)標(biāo)簽，可以通過標(biāo)簽方便支撐上層應(yīng)用。

● 使用數(shù)據(jù)：將構(gòu)建的數(shù)字資產(chǎn)通過服務(wù)化方式，應(yīng)用到具體安全應(yīng)用中，同時(shí)要考慮數(shù)據(jù)安全問題，那些人可以使用數(shù)據(jù)，可以使用什么類型服務(wù)，都需要嚴(yán)格認(rèn)證授權(quán)，這樣才能發(fā)揮安全數(shù)據(jù)價(jià)值。

● 數(shù)據(jù)運(yùn)營：安全數(shù)據(jù)被應(yīng)用到安全管理系統(tǒng)，例如安全管理平臺(tái)、態(tài)勢(shì)感知等，產(chǎn)生的價(jià)值是通過安全運(yùn)營呈現(xiàn)，讓人感知到安全數(shù)據(jù)的價(jià)值?！鞍踩信_(tái)”建設(shè)運(yùn)營是一個(gè)持續(xù)建設(shè)和優(yōu)化過程，不斷挖掘數(shù)據(jù)在安全場(chǎng)景使用模式。

4  總 結(jié)

什么樣企業(yè)適合上網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)?這和企業(yè)安全現(xiàn)狀、安全建設(shè)投入、人員能力和投入產(chǎn)出比等息息相關(guān)。如果一個(gè)企業(yè)具備一定網(wǎng)絡(luò)安全建設(shè)基礎(chǔ)，例如通過等級(jí)保護(hù)三級(jí)測(cè)評(píng)，部署了態(tài)勢(shì)感知、威脅情報(bào)、安全管理平臺(tái)、UEBA等安全管理系統(tǒng)，沉淀了一些安全數(shù)據(jù)，業(yè)務(wù)場(chǎng)景復(fù)雜對(duì)網(wǎng)絡(luò)安全保障要求較高，要滿足持續(xù)應(yīng)對(duì)攻防實(shí)戰(zhàn)需求，滿足以上特征企業(yè)可以考慮。企業(yè)對(duì)安全數(shù)據(jù)應(yīng)用能力成熟度越高，說明安全數(shù)據(jù)對(duì)安全管理的支撐能力越強(qiáng)，讓數(shù)據(jù)驅(qū)動(dòng)網(wǎng)絡(luò)安全決策和管理，而不是僅憑安全管理人員的經(jīng)驗(yàn)，這才是網(wǎng)絡(luò)安全數(shù)據(jù)平臺(tái)建設(shè)最終目標(biāo)，真正的讓安全大數(shù)據(jù)用起來，開啟網(wǎng)絡(luò)安全建設(shè)下一站。

原創(chuàng)丨空空

出品丨北京一等一技術(shù)咨詢有限公司

來源：等級(jí)保護(hù)測(cè)評(píng)