崔丹
在数字时代,安全威胁不断演进,如今对数字安全体系化、实战化提出了更高的要求。越来越多政企用户发现,自身的网络安全建设存在着企业设备各自为战、生态产品难以联动、外部能力无法融合等多重壁垒。“痛而不通”的安全痼疾,严重限制了政企用户整体应对威胁的能力。用户迫切需要一个可以整合各种安全能力的单一平台,实现企业产品之间、各个厂商之间、以及外部安全能力和内部安全能力之间的体系化、实战化协同。
在此背景下,360政企安全集团率先升级理念、技术及模式,依托360云端安全大脑以及17年攻防实战积累的安全大数据、攻防对抗知识库、威胁情报等领先能力正式推出360核心安全大脑3.0。对于政企用户而言,360核心安全大脑3.0是360云端安全大脑的私有化部署,能够帮助构建政企用户的“能力中枢平台”。
360核心安全大脑3.0相当于整个安全能力架构中的核心CPU,它能够助力网络安全产品的信息共享、大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动、安全策略协同等全方面提升,全面激活360云端安全大脑的能力、企业自身产品的安全能力、生态产品的安全能力等多种能力的协同一致与战术统一,大幅度提高安全风险的识别、保护、检测、响应、恢复等各项能力。
数字时代安全能力亟待协同
此次发布的360核心安全大脑3.0,正是数字化安全能力体系里的“中枢平台”,是360云端安全大脑在用户端的本地私有化部署,负责全面体系化的核心运算及分析工作。360核心安全大脑3.0由1个安全大数据平台、1个云端赋能平台和多个安全分析引擎,以及内嵌360多年经验所积累的实战方法论组成。
安全大数据平台通过模型化管理的数据标准,接入各类安全数据使之集中管理,并在内部融合数据品类,协调数据流程决策与步骤,为安全业务提供从数据接入到存储、清洗到运算,最终到图表展示的全生命周期一站式服务。安全大数据平台具有“运营商”级别的数据处理能力,助力提升安全运营中的数据处理效率5倍以上。
云端赋能平台通过云地协同、能力下沉,为安全设备提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等百余种基础的安全数据及分析能力,可以满足各类安全设备的通用化威胁检测与分析需求。
此外360核心安全大脑3.0中还预置了近百类安全分析引擎,2 000多个安全策略,可以把专业相关的分析能力通过配置组合的方式赋能特定的安全产品,应对纷繁复杂的安全业务,从多个维度指导安全设备发现、防护高级别网络威胁,提升自身网络安全能力。
多重优势打磨360核心安全大脑3.0
作为可以帮助政企用户拓展全局安全视野、融通各类安全数据、协同整体实战决策的“能力中枢平台”,360核心安全大脑3.0在数据融合、分析协同、能力聚合、策略联动、生态共建等方面表现优异。不积跬步无以至千里,不积小流无以成江海,360核心安全大脑3.0的优势都离不开360多年的积累和沉淀。
效率最高的大数据处理及分析技术
在分析效率上,360核心安全大脑3.0的大数据平台内置了1 200余种解析方法,通过模型化管理的数据标准,在“开箱即用”的条件下即可接入主流的200余种品牌、2 000余种型号设备和系统的数据,助力提升安全运营中的数据处理效率5倍以上。
在分析类型上,360核心安全大脑3.0的通用安全分析引擎提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等100余种基础的通用安全分析能力;再依托专用安全分析引擎,其预置了10大类,60余小类,2 000多个安全策略,可以结合特定安全业务场景,把专业相关的分析能力通过配置组合的方式赋能特定的安全产品。
在数据标准上,360核心安全大脑3.0为克服各类数据口径不一致的问题,提供灵活且智能的数据标准管理模型(SIM),包括:1 000余个属性标准定义,预置70余个对象接入规则,极大程度上降低了数据接入的难度并提升效率。因此,360核心安全大脑3.0的数据处理能力更强、安全分析功能更丰富、性能更高、部署及运维成本更低。
数量最全的云端安全大数据
360拥有17年积累的2EB海量安全大数据(其中包括总量180亿+恶意网址、5万亿+存活网址、样本文件300亿+、700亿+DNS解析记录等),通过与全球高级别攻击对手持续十余年的网络实战对抗,形成了攻防对抗知识库、APT组织知识库、漏洞知识库、病毒库、多维度全景安全知识库等专业情报体系架构,覆盖从情报(威胁情报)、信息、知识、漏洞、资产、规则、事件、引擎结果等多种类型的情报数据及上下文相关关系。情报数据具备类型多(100+)、维度广(丰富的上下文信息)、更新快(分钟级),高精准的特点,通过专业的人工运营,深入分析攻击行为背后隐藏的动机和原因,形成全面的、完整的威胁认知,搭建了“知其然,更知其所以然”的情报数据体系。这些安全大数据会策略性的下沉至核心安全大脑3.0,形成客户本地侧的“思维中枢”。
强大的全景攻防知识框架
核心安全大脑3.0内置了全景攻防知识框架,为用户基于已知威胁对抗未知威胁提供明确而强大的行动指导。360通过10年累积,已经拥有APT排查规则数百条,TTP技战术规则近千条,沙箱检测规则数千条,还原杀伤链检测规则数万条,黑白名单250亿左右。同时拥有40多个知名APT组织的攻击信息,这些信息不仅涵盖了业界流行的MITRE ATT&CK攻防知识库,而且基于360的实战经验在此基础上做了大量补充。
开放标准及生态联动
第三方安全厂商可以基于核心安全大脑3.0统一标准API开发联动接口,针对不同安全场景进行模块化的灵活组合,实现与各個厂商、各种型号的安全设备的协同联动,共同防御:配合终端设备联动,如与终端安全产品联动进行进程隔离、进程终止、文件隔离、文件恢复、注册表清理、启动项管理、主机端口封禁、主机服务禁用等;配合网关设备联动,如与WAF、防火墙、IPS、IDS等联动进行封堵、隔离等;配合检测类系统联动,如与沙箱联动,确认动态确定文件是否为恶意文件;配合第三方情报系统联动,支持对IP、域名、文件等情报检测。
大量用户希望利用数据驱动网络安全建设的过程中,建设一套可以抵达云端知识、客户业务及生态数据的核心“能力门户”及运算分析的“中枢平台”,而360核心安全大脑3.0契合了用户的需求,可以将多种网络安全能力汇总到一个统一的平台,再由其赋能到各个网络安全产品,以此来全面提升政企用户体系化、实战化的数字安全能力。