身處數(shù)字時代安全威脅不斷演進的今天,越來越多政企用戶對數(shù)字安全體系化、實戰(zhàn)化提出了更高的要求,它們清晰地看見——自身的網(wǎng)絡(luò)安全建設(shè)存在著企業(yè)設(shè)備各自為戰(zhàn)、生態(tài)產(chǎn)品難以聯(lián)動、外部能力無法融合等多重協(xié)同壁壘。“痛而不通”的安全痼疾,嚴重限制了政企用戶整體應(yīng)對威脅的能力。用戶迫切需要一個可以整合各種安全能力的單一平臺,同時實現(xiàn)企業(yè)產(chǎn)品之間、各個廠商之間、以及外部安全能力和內(nèi)部安全能力之間的體系化、實戰(zhàn)化協(xié)同。
在此背景下,360政企安全集團率先升級理念、技術(shù)及模式,依托360云端安全大腦以及17年攻防實戰(zhàn)積累的安全大數(shù)據(jù)、攻防對抗知識庫、威脅情報等領(lǐng)先能力正式推出360核心安全大腦3.0。對于政企用戶而言,360核心安全大腦3.0是360云端安全大腦的私有化部署,能夠幫助構(gòu)建政企用戶的“能力中樞平臺”。
360核心安全大腦3.0相當于整個安全能力架構(gòu)中的核心CPU,它能夠助力網(wǎng)絡(luò)安全產(chǎn)品的信息共享、大數(shù)據(jù)集中分析研判、高級威脅情報賦能、網(wǎng)絡(luò)安全產(chǎn)品體系化聯(lián)動、安全策略協(xié)同等全方面提升,全面激活360云端安全大腦的能力、企業(yè)自身產(chǎn)品的安全能力、生態(tài)產(chǎn)品的安全能力等多種能力的協(xié)同一致與戰(zhàn)術(shù)統(tǒng)一,大幅度提高安全風(fēng)險的識別、保護、檢測、響應(yīng)、恢復(fù)等各項能力。
數(shù)字時代,安全能力亟待協(xié)同
眾所周知,360運用系統(tǒng)思維,打破安全體系與數(shù)字體系的界限,融合攻防能力與管控能力,已經(jīng)幫助國家、城市、行業(yè)、企業(yè)建立了一套可運營、可持續(xù)、可成長、可輸出的面向未來的數(shù)字化安全能力體系。
此次發(fā)布的360核心安全大腦3.0,正是數(shù)字化安全能力體系里的“中樞平臺”,是360云端安全大腦在用戶端的本地私有化部署,負責(zé)全面體系化的核心運算及分析工作。具體構(gòu)成上,360核心安全大腦3.0由一個安全大數(shù)據(jù)平臺、一個云端賦能平臺和多個安全分析引擎,以及內(nèi)嵌360十七年經(jīng)驗所積累的實戰(zhàn)方法論組成。
其中安全大數(shù)據(jù)平臺通過模型化管理的數(shù)據(jù)標準,接入各類安全數(shù)據(jù)使之集中管理,并在內(nèi)部融合數(shù)據(jù)品類,協(xié)調(diào)數(shù)據(jù)流程決策與步驟,為安全業(yè)務(wù)提供從數(shù)據(jù)接入到存儲、清洗到運算,最終到圖表展示的全生命周期一站式服務(wù)。安全大數(shù)據(jù)平臺具有“運營商”級別的數(shù)據(jù)處理能力,助力提升安全運營中的數(shù)據(jù)處理效率5倍以上。
云端賦能平臺通過云地協(xié)同、能力下沉,為安全設(shè)備提供從漏洞到資產(chǎn)、從情報到知識、從線索到規(guī)則、從事件到態(tài)勢等百余種基礎(chǔ)的安全數(shù)據(jù)及分析能力,可以滿足各類安全設(shè)備的通用化威脅檢測與分析需求。
此外360核心安全大腦3.0中還預(yù)置了近百類安全分析引擎,2000多個安全策略,可以把專業(yè)相關(guān)的分析能力通過配置組合的方式賦能特定的安全產(chǎn)品,應(yīng)對紛繁復(fù)雜的安全業(yè)務(wù),從多個維度指導(dǎo)安全設(shè)備發(fā)現(xiàn)、防護高級別網(wǎng)絡(luò)威脅,提升自身網(wǎng)絡(luò)安全能力。
用多重優(yōu)勢打磨安全大腦3.0
作為可以幫助政企用戶拓展全局安全視野、融通各類安全數(shù)據(jù)、協(xié)同整體實戰(zhàn)決策的“能力中樞平臺”,360核心安全大腦3.0在數(shù)據(jù)融合、分析協(xié)同、能力聚合、策略聯(lián)動、生態(tài)共建等方面表現(xiàn)優(yōu)異。
在分析效率上,360核心安全大腦3.0的大數(shù)據(jù)平臺內(nèi)置了1200余種解析方法,通過模型化管理的數(shù)據(jù)標準,在“開箱即用”的條件下即可接入主流的200余種品牌、2000余種型號設(shè)備和系統(tǒng)的數(shù)據(jù),助力提升安全運營中的數(shù)據(jù)處理效率5倍以上;
在分析類型上,360核心安全大腦3.0的通用安全分析引擎提供從漏洞到資產(chǎn)、從情報到知識、從線索到規(guī)則、從事件到態(tài)勢等100余種基礎(chǔ)的通用安全分析能力;再依托專用安全分析引擎,其預(yù)置了10大類,60余小類,2000多個安全策略,可以結(jié)合特定安全業(yè)務(wù)場景,把專業(yè)相關(guān)的分析能力通過配置組合的方式賦能特定的安全產(chǎn)品;
在數(shù)據(jù)標準上,360核心安全大腦3.0為克服各類數(shù)據(jù)口徑不一致的問題,提供靈活且智能的數(shù)據(jù)標準管理模型(SIM),包括:1000余個屬性標準定義,預(yù)置70余個對象接入規(guī)則,極大程度上降低了數(shù)據(jù)接入的難度并提升效率。因此,360核心安全大腦3.0的數(shù)據(jù)處理能力更強、安全分析功能更豐富、性能更高、部署及運維成本更低。
360擁有十七年積累的2EB海量安全大數(shù)據(jù)(其中包括總量180億+惡意網(wǎng)址、5萬億+存活網(wǎng)址、樣本文件300億+、700億+DNS解析記錄等),形成了攻防對抗知識庫、APT組織知識庫、漏洞知識庫、病毒庫、多維度全景安全知識庫等專業(yè)情報體系架構(gòu),覆蓋從情報(威脅情報)、信息、知識、漏洞、資產(chǎn)、規(guī)則、事件、引擎結(jié)果等多種類型的情報數(shù)據(jù)及上下文相關(guān)關(guān)系。情報數(shù)據(jù)具備類型多(100+)、維度廣(豐富的上下文信息)、更新快(分鐘級),高精準的特點,通過專業(yè)的人工運營,深入分析攻擊行為背后隱藏的動機和原因,形成全面的、完整的威脅認知,搭建了“知其然,更知其所以然”的情報數(shù)據(jù)體系。這些安全大數(shù)據(jù)會策略性的下沉至核心安全大腦3.0,形成客戶本地側(cè)的“思維中樞”。
此外,核心安全大腦3.0內(nèi)置了全景攻防知識框架,為用戶基于已知威脅對抗未知威脅提供明確而強大的行動指導(dǎo)。目前,360擁有APT排查規(guī)則數(shù)百條,TTP技戰(zhàn)術(shù)規(guī)則近千條,沙箱檢測規(guī)則數(shù)千條,還原殺傷鏈檢測規(guī)則數(shù)萬條,黑白名單250億左右。同時擁有40多個知名APT組織的攻擊信息,不僅涵蓋了業(yè)界流行的MITREATT&CK攻防知識庫,還基于360的實戰(zhàn)經(jīng)驗在此基礎(chǔ)上做了大量補充。
第三方安全廠商可以基于核心安全大腦3.0統(tǒng)一標準API開發(fā)聯(lián)動接口,針對不同安全場景進行模塊化的靈活組合,實現(xiàn)與各個廠商、各種型號的安全設(shè)備的協(xié)同聯(lián)動,共同防御:配合終端設(shè)備聯(lián)動,如與終端安全產(chǎn)品聯(lián)動進行進程隔離、進程終止、文件隔離、文件恢復(fù)、注冊表清理、啟動項管理、主機端口封禁、主機服務(wù)禁用等;配合網(wǎng)關(guān)設(shè)備聯(lián)動,如與WAF、防火墻、IPS、IDS等聯(lián)動進行封堵、隔離等;配合檢測類系統(tǒng)聯(lián)動,如與沙箱聯(lián)動,確認動態(tài)確定文件是否為惡意文件;配合第三方情報系統(tǒng)聯(lián)動,支持對IP、域名、文件等情報檢測。