身处数字时代安全威胁不断演进的今天,越来越多政企用户对数字安全体系化、实战化提出了更高的要求,它们清晰地看见——自身的网络安全建设存在着企业设备各自为战、生态产品难以联动、外部能力无法融合等多重协同壁垒。“痛而不通”的安全痼疾,严重限制了政企用户整体应对威胁的能力。用户迫切需要一个可以整合各种安全能力的单一平台,同时实现企业产品之间、各个厂商之间、以及外部安全能力和内部安全能力之间的体系化、实战化协同。
在此背景下,360政企安全集团率先升级理念、技术及模式,依托360云端安全大脑以及17年攻防实战积累的安全大数据、攻防对抗知识库、威胁情报等领先能力正式推出360核心安全大脑3.0。对于政企用户而言,360核心安全大脑3.0是360云端安全大脑的私有化部署,能够帮助构建政企用户的“能力中枢平台”。
360核心安全大脑3.0相当于整个安全能力架构中的核心CPU,它能够助力网络安全产品的信息共享、大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动、安全策略协同等全方面提升,全面激活360云端安全大脑的能力、企业自身产品的安全能力、生态产品的安全能力等多种能力的协同一致与战术统一,大幅度提高安全风险的识别、保护、检测、响应、恢复等各项能力。
数字时代,安全能力亟待协同
众所周知,360运用系统思维,打破安全体系与数字体系的界限,融合攻防能力与管控能力,已经帮助国家、城市、行业、企业建立了一套可运营、可持续、可成长、可输出的面向未来的数字化安全能力体系。
此次发布的360核心安全大脑3.0,正是数字化安全能力体系里的“中枢平台”,是360云端安全大脑在用户端的本地私有化部署,负责全面体系化的核心运算及分析工作。具体构成上,360核心安全大脑3.0由一个安全大数据平台、一个云端赋能平台和多个安全分析引擎,以及内嵌360十七年经验所积累的实战方法论组成。
其中安全大数据平台通过模型化管理的数据标准,接入各类安全数据使之集中管理,并在内部融合数据品类,协调数据流程决策与步骤,为安全业务提供从数据接入到存储、清洗到运算,最终到图表展示的全生命周期一站式服务。安全大数据平台具有“运营商”级别的数据处理能力,助力提升安全运营中的数据处理效率5倍以上。
云端赋能平台通过云地协同、能力下沉,为安全设备提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等百余种基础的安全数据及分析能力,可以满足各类安全设备的通用化威胁检测与分析需求。
此外360核心安全大脑3.0中还预置了近百类安全分析引擎,2000多个安全策略,可以把专业相关的分析能力通过配置组合的方式赋能特定的安全产品,应对纷繁复杂的安全业务,从多个维度指导安全设备发现、防护高级别网络威胁,提升自身网络安全能力。
用多重优势打磨安全大脑3.0
作为可以帮助政企用户拓展全局安全视野、融通各类安全数据、协同整体实战决策的“能力中枢平台”,360核心安全大脑3.0在数据融合、分析协同、能力聚合、策略联动、生态共建等方面表现优异。
在分析效率上,360核心安全大脑3.0的大数据平台内置了1200余种解析方法,通过模型化管理的数据标准,在“开箱即用”的条件下即可接入主流的200余种品牌、2000余种型号设备和系统的数据,助力提升安全运营中的数据处理效率5倍以上;
在分析类型上,360核心安全大脑3.0的通用安全分析引擎提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等100余种基础的通用安全分析能力;再依托专用安全分析引擎,其预置了10大类,60余小类,2000多个安全策略,可以结合特定安全业务场景,把专业相关的分析能力通过配置组合的方式赋能特定的安全产品;
在数据标准上,360核心安全大脑3.0为克服各类数据口径不一致的问题,提供灵活且智能的数据标准管理模型(SIM),包括:1000余个属性标准定义,预置70余个对象接入规则,极大程度上降低了数据接入的难度并提升效率。因此,360核心安全大脑3.0的数据处理能力更强、安全分析功能更丰富、性能更高、部署及运维成本更低。
360拥有十七年积累的2EB海量安全大数据(其中包括总量180亿+恶意网址、5万亿+存活网址、样本文件300亿+、700亿+DNS解析记录等),形成了攻防对抗知识库、APT组织知识库、漏洞知识库、病毒库、多维度全景安全知识库等专业情报体系架构,覆盖从情报(威胁情报)、信息、知识、漏洞、资产、规则、事件、引擎结果等多种类型的情报数据及上下文相关关系。情报数据具备类型多(100+)、维度广(丰富的上下文信息)、更新快(分钟级),高精准的特点,通过专业的人工运营,深入分析攻击行为背后隐藏的动机和原因,形成全面的、完整的威胁认知,搭建了“知其然,更知其所以然”的情报数据体系。这些安全大数据会策略性的下沉至核心安全大脑3.0,形成客户本地侧的“思维中枢”。
此外,核心安全大脑3.0内置了全景攻防知识框架,为用户基于已知威胁对抗未知威胁提供明确而强大的行动指导。目前,360拥有APT排查规则数百条,TTP技战术规则近千条,沙箱检测规则数千条,还原杀伤链检测规则数万条,黑白名单250亿左右。同时拥有40多个知名APT组织的攻击信息,不仅涵盖了业界流行的MITREATT&CK攻防知识库,还基于360的实战经验在此基础上做了大量补充。
第三方安全厂商可以基于核心安全大脑3.0统一标准API开发联动接口,针对不同安全场景进行模块化的灵活组合,实现与各个厂商、各种型号的安全设备的协同联动,共同防御:配合终端设备联动,如与终端安全产品联动进行进程隔离、进程终止、文件隔离、文件恢复、注册表清理、启动项管理、主机端口封禁、主机服务禁用等;配合网关设备联动,如与WAF、防火墙、IPS、IDS等联动进行封堵、隔离等;配合检测类系统联动,如与沙箱联动,确认动态确定文件是否为恶意文件;配合第三方情报系统联动,支持对IP、域名、文件等情报检测。