本地安全大脑

背景综述

随着数字化进程,企业面对越来越多的安全挑战,客户花钱购买各种各样的安全产品,但安全问题依然层出不穷。传统安全防护模式频遇“水土不服”,主要有三个方面原因。

  • 第一,安全的本质是对抗,大部分厂商能讲很多理论,但缺乏真正的国家级大规模对抗经验

    传统安全防护体系是对安全本质认识不足,安全并不像大部分的业务系统,只要按照规划一步步建设便高枕无忧,它要面临持续的攻击,所以安全系统的本质是提升用户对抗的能力。而现实中很多厂商能提出各种安全理论,但并没有经历过真正国家级大规模实战对抗,就像军队没有上过战场,怎么能够给出行之有效的安全体系架构。所以客户需要的是一套真正从实战中总结的,能够提升对抗能力的安全新框架。

  • 第二,对抗的关键是持续运营,大部分厂商缺乏攻防专家也缺乏运营战法。

    如何提升用户的对抗的能力,这就需要持续的运营。传统的安全运营大多数是安全运维,也就是维护安全设备的运转,以及单个设备告警的处置,这样往往一年下来用户的安全能力并没有真正得到提升。真正的安全运营一是看有没有办法评价现状和目标的差距,二是能不能持续的改变现状积累能力,最终达到目标。

  • 第三,持续运营的目的是能力积累,大部分厂商无法提供让客户积累能力的基础设施。

    持续运营过程中积累的能力存放在哪里呢?有些厂商把安全能力转化为安全设备里的一条条规则,但是一换设备很多能力就丢掉了;还有一些厂商把能力转化为运营手册,但它没有办法自动化。在360看来必须有一个集中的系统来体系化的汇聚运营知识和能力,并且把人的能力转化为系统的能力,这就是360提出的安全大脑。

产品概述

本地安全大脑是基于XDR架构的一站式安全运营平台级产品,以长期实战对抗中形成的攻防知识图谱系统指导功能设计,结合业界领先的威胁情报、自动化抗攻击能力评估技术、大模型技术,提供预警、研判、分析、响应、评估等安全运营功能,体系化提升客户的全局态势感知和主动防御能力。

本地安全大脑是360数字安全架构平台化能力的落地实践,以“看见+处置”为核心目标,运用云计算、大数据、人工智能等新一代信息技术,向下汇聚传统安全设备数据,形成覆盖云、网、边、端、数、人全维的探针体系,向上承接360云端赋能体系,为安全态势感知、资产漏洞管理、威胁风险检测、响应处置与协同、抗攻击能力评估等安全运营工作提供一站式解决方案。

功能模块

usage-scene

核心优势

云端全网攻防视野

将360云端大网数据、攻防知识以及专家能力进行服务化赋能,提高客户本地“看见+处置” 的广度、深度和准度,解决本地安全视野局限、安全能力上限低的问题。

融合式分析机制深度降噪

提供自动化告警降噪收敛、智能化关键信息聚合、交互式图谱拓线的威胁分析功能体系,解决告警风暴难处理、告警误报难消除、高级威胁难发现、分析研判门槛高等问题。

实战化自评估机制

国内最早研制BAS技术,率先完成诸多行业头部客户落地实践,依托360云端海量且真实的攻击积累,输出高质量评估验证能力,解决防御短板难发现、安全规划缺度量的问题。

广兼容、可扩展安全大数据底座

从兼容性、开放性、伸缩性、延展性综合平衡,提供可解决安全运营平台建设中接入难、使用慢、弹性弱、成本高等问题。

体系化协同响应功能

用协同响应功能体系贯穿响应处置工作流程, —站式实现指挥统筹、协同流转、自动化响应、流程化闭环,解决传统响应处置工作联动不协同、难流转的问题。

大模型重塑安全运营生产力

针对安全运营技术门槛高、工作运营效率低、智能化程度不足等问题,将360安全大模型能力延伸至本脑及相关探针体系,重塑安全运营生产力,助力安全运营体系提质增效。

应用场景

场景举例
  • 中大型客户一体化安全运营平台建设
方案:
  • 通过建设安全运营平台,整合碎片化安全能力,一站式支撑运营需求,实现降本增效。
特点:
  • 汇聚离散的元数据,形成统一安全数据、监测中心
  • 低置信度的告警聚合成为安全事件,快速研判、溯源的统一分析中心,降低分析研判门槛
  • 全面管控资产及漏洞信息,提升脆弱性发现和处置能力
  • 自动化分析、联动响应能力,降低MTTR,快速止损
  • 云端知识体系增强拓线分析、决策能力,提高反应速度
  • 对安全防御体系开展自动化、常态化的效能评估,主动发现防御短板、改进问题,螺旋式提升防御能力
场景举例
  • 超大型企业多级安全管理
方案:
  • 以平台为抓手,构建自顶向下指挥协同运营体系,实现统一指挥、分布处置、联防联控。
特点:
  • 多组织、多用户权限灵活控制,千人在线协同
  • 两地三中心、多地多中心高可用、容灾架构,稳定运行
  • 全局安全态势监测,形成全局监管视野
  • 跨层级、跨地域、跨部门的联防联控、协同处置
  • 全局数据关联, 狩猎跨地域高级威胁事件
  • 重大、典型安全风险预警及整改追踪
场景举例
  • 重大活动专项保障
方案:
  • 针对突发性重保演练活动,以本脑贯穿重保工作全生命周期,保障演练效果,力争优秀排名。
特点:
  • 规划阶段:建立重保演练行为指挥组进行统一规划,制定项目周期、人员组织、排班计划、任务分配等
  • 备战阶段:通过资产、漏洞自查减少攻击面,构建HVV分析规则、制定响应预案
  • 迎战阶段:利用360抗攻击能力评估模块评估现网防御体系,针对实网攻防场景的防御效能改进优化安全架构
  • 实战阶段:重保演练大屏总览整体攻防态势,针对10余种HVV常见攻击场景进行监控,监测、研判、处置、溯源高效协同,快速响应
  • 总结阶段:多维度提供复盘总结指标,总结复盘整个重保演练活动,吸取经验教训,提升防御能力

部署方案

本地安全大脑支持多级部署架构,总部本地安全大脑可直接访问下级数据,即时获取下级威胁态势,实时跨数据中心关联分析全局安全事件、全面监控各级平台威胁状态,能够为不同体量客户的差异化部署需求灵活提供解决方案、落地城市级、行业级、企业级安全运营中心。

usage-scene