2021年9月1日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式實施。該條例中明確要求“保護工作部門應(yīng)當建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢，預(yù)警通報網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作。”

IDC提出，伴隨著我國相關(guān)部門對網(wǎng)絡(luò)安全日益嚴格和完善的監(jiān)管制度的實施，已經(jīng)有越來越多的企業(yè)正在改變原有相對孤立和被動的安全防護手段，通過統(tǒng)一的安全管理平臺或態(tài)勢感知解決方案，將企業(yè)網(wǎng)絡(luò)中各個安全組件和安全產(chǎn)品連通協(xié)作，打造協(xié)同作戰(zhàn)、主動防御的安全架構(gòu)，成為眾多企業(yè)打造整體網(wǎng)絡(luò)安全防御體系的首選。

盛邦安全新一代態(tài)勢感知系統(tǒng)RayThink，幫助用戶實現(xiàn)從靜態(tài)到動態(tài)、從被動到主動、從孤立到協(xié)同、從感知到?jīng)Q策的四個核心轉(zhuǎn)變，構(gòu)建主動安全防御體系，游刃有余地應(yīng)對當下網(wǎng)絡(luò)安全挑戰(zhàn)。

態(tài)勢感知系統(tǒng)RayThink，以特定網(wǎng)絡(luò)空間資產(chǎn)為保護對象，整合分散的安全防護、檢測和響應(yīng)技術(shù)，持續(xù)收集目標對象的資產(chǎn)數(shù)據(jù)、運行數(shù)據(jù)、脆弱性數(shù)據(jù)、內(nèi)外部安全情報、日志及流量數(shù)據(jù)等，并對其進行多層次的安全分析和多維度的持續(xù)監(jiān)測、評估和預(yù)測；能有效識別各類安全風(fēng)險，及時預(yù)警與情報分享，并通過安全自動化編排和協(xié)同響應(yīng)，達成對目標網(wǎng)絡(luò)資產(chǎn)的有效保護和對安全態(tài)勢的整體把控。

以資產(chǎn)探測為中心、基于威脅情報和安全編排自動化響應(yīng)的態(tài)勢感知系統(tǒng)RayThink，驅(qū)動安全智能運營，重新定義下一代態(tài)勢感知系統(tǒng)，帶來以下四個轉(zhuǎn)變：

從以事件為中心到以資產(chǎn)為中心的轉(zhuǎn)變

資產(chǎn)感知是態(tài)勢感知的前提，界定了受保護資產(chǎn)的范圍和內(nèi)容，幫助我們弄清楚網(wǎng)絡(luò)中都有哪些設(shè)備、哪些應(yīng)用系統(tǒng)、哪些中間件以及它們目前是什么版本、責任人是誰等等，是實現(xiàn)“摸清家底”的基礎(chǔ)。然而，當下很多安全設(shè)備僅支持邊界、流量、WEB等單點威脅檢測，數(shù)據(jù)是相對孤立的，不足以支撐態(tài)勢感知全局化的需求。只有全面、完整的全要素采集，才能為態(tài)勢感知提供完整、有效、可信的數(shù)據(jù)支持。

RayThink基于主動探測、被動流量自學(xué)習(xí)、日志采集、資產(chǎn)主動上報等網(wǎng)絡(luò)空間資產(chǎn)測繪技術(shù)，從多維度安全要素出發(fā)，自動發(fā)現(xiàn)、提取包括資產(chǎn)系統(tǒng)信息、軟硬件信息、組件信息、應(yīng)用服務(wù)信息、用戶信息、漏洞信息、威脅事件、異常行為以及資產(chǎn)的社會屬性等信息；通過標簽，對這些資產(chǎn)要素進行檢索、統(tǒng)計、分組建模分析與管理。

通過數(shù)據(jù)范式化技術(shù)，將主動掃描、被動監(jiān)測、端點上報、人工上報的業(yè)務(wù)流量數(shù)據(jù)、資產(chǎn)脆弱性數(shù)據(jù)、資產(chǎn)運行數(shù)據(jù)、網(wǎng)絡(luò)威脅數(shù)據(jù)等統(tǒng)一收集并聚合加工，從海量數(shù)據(jù)中過濾掉重復(fù)的或無效的告警源數(shù)據(jù)，為態(tài)勢分析提供完備的基礎(chǔ)數(shù)據(jù)模型庫，完成對資產(chǎn)安全狀態(tài)的準確把握和精準風(fēng)險評估。

圖1：資產(chǎn)隱患分析

RayThink支持統(tǒng)計和分析應(yīng)用層協(xié)議流量的實時和歷史信息，包括時域流量曲線、頻域連接譜線、地域連接信息等；基于應(yīng)用層協(xié)議的暴露面分析管理，查看風(fēng)險資產(chǎn)和風(fēng)險事件并進行聯(lián)動處置，有效縮小風(fēng)險暴露面。

憑借出色的網(wǎng)絡(luò)空間資產(chǎn)探測能力，RayThink可以準確掌握網(wǎng)絡(luò)空間安全狀態(tài)，形成靈活、完備的資產(chǎn)臺賬庫；當發(fā)生安全事件時，精準定位問題資產(chǎn)，迅速完成安全風(fēng)險篩查與安全事件影響面評估。

從本地檢測分析到基于威脅情報的風(fēng)險預(yù)測的轉(zhuǎn)變

RayThink能夠幫助用戶實現(xiàn)從依靠本地檢測分析向基于威脅情報共享的風(fēng)險預(yù)測的轉(zhuǎn)變。

威脅情報具有大量的安全事件信息，利用其多維數(shù)據(jù)，可以提高安全事件和攻擊檢測的準確度。RayThink通過安全事件分析引擎，將安全告警日志整合成安全事件，大幅度減少安全數(shù)據(jù)處理的工作量；基于攻擊鏈模型，將安全事件還原成黑客攻擊的過程，形成證據(jù)鏈，有效提高調(diào)查取證工作效率，實現(xiàn)攻擊行為過程的可視化。

圖2：威脅情報中心

圖3：攻擊者畫像

APT攻擊具有持續(xù)時間長、隱蔽性高、潛伏時間長等特點。因此在攻擊鏈的前期階段高效檢測威脅并采取有效措施，是減少APT攻擊損害的有效途徑。態(tài)勢感知系統(tǒng)RayThink，基于自身資產(chǎn)信息，結(jié)合豐富的威脅情報庫，在攻擊的初級階段實現(xiàn)精準檢測和風(fēng)險預(yù)測，將安全隱患消滅于萌芽之中，充分發(fā)揮威脅情報的價值。

圖4：攻擊鏈模型

圖5：溯源分析能力

從單點防御到安全編排及自動化響應(yīng)的轉(zhuǎn)變

態(tài)勢感知要求掌握全局網(wǎng)絡(luò)安全狀態(tài)，因此需要覆蓋所有安全檢測能力點，從而形成從點到面的全景檢測能力。

SOAR的本質(zhì)是通過預(yù)置標準化預(yù)案，形成自動化的閉環(huán)響應(yīng)過程，通過將事件、人、技術(shù)、流程有機結(jié)合起來，完成檢測響應(yīng)的循環(huán)迭代。在未來幾年SOAR將迅速跨越技術(shù)裂谷進入成熟期。新一代態(tài)勢感知系統(tǒng)RayThink，不僅具備安全監(jiān)測、分析研判的能力，還具備常態(tài)化的響應(yīng)能力；針對不同的攻擊場景，形成流程化的響應(yīng)模式，通過人機結(jié)合的協(xié)同響應(yīng)及各類設(shè)備聯(lián)動，完成主動威脅對抗。

                                                       圖6：資產(chǎn)隱患分析處理劇本

采用安全編排與自動化響應(yīng)的態(tài)勢感知系統(tǒng)RayThink通過情報消費、知識利用、經(jīng)驗積累等途徑，配合機器學(xué)習(xí)、知識圖譜、人工智能的技術(shù)手段，結(jié)合實際攻擊場景，建立并優(yōu)化情境模型，將網(wǎng)絡(luò)安全工作流程化、自動化、閉環(huán)化，提升安全運維人員工作效率。

從安全事件管理到安全運營中心的轉(zhuǎn)變

傳統(tǒng)安全信息和事件管理，基于收集的安全日志事件，提供告警、報表、分析預(yù)警、數(shù)據(jù)留存等功能，但無法做到對威脅態(tài)勢的全面感知。而安全運營中心，采用集中管理方式，搜集所有安全信息，并通過分析、統(tǒng)計和關(guān)聯(lián)，形成網(wǎng)絡(luò)資產(chǎn)的安全基線，動態(tài)把握安全態(tài)勢，準確定位安全風(fēng)險并提供處置建議。

傳統(tǒng)的威脅分析主要針對各類安全事件。一般來說，所采集的數(shù)據(jù)量越大，關(guān)聯(lián)分析的難度就越大，重構(gòu)攻擊事件所需的時間也越長。態(tài)勢感知系統(tǒng)RayThink，通過引入大數(shù)據(jù)分析技術(shù)，實現(xiàn)從基于規(guī)則匹配向數(shù)據(jù)建模、機器學(xué)習(xí)的智能化轉(zhuǎn)變以及從短時狀態(tài)監(jiān)控向長期趨勢變化動態(tài)基線的轉(zhuǎn)變。

作為中國態(tài)勢感知市場主要廠商，盛邦安全連續(xù)兩年入選IDC態(tài)勢感知市場調(diào)研報告?；谑畎踩?ldquo;五步法”安全治理體系，緊密結(jié)合行業(yè)應(yīng)用特點和需求，盛邦安全以具有業(yè)務(wù)強關(guān)聯(lián)性、以解決不同行業(yè)用戶實際問題為核心的態(tài)勢感知產(chǎn)品與解決方案獲得IDC“中國網(wǎng)絡(luò)安全風(fēng)險態(tài)勢感知系統(tǒng)”創(chuàng)新者稱號。

新一代態(tài)勢感知系統(tǒng)RayThink，整合了盛邦安全在網(wǎng)絡(luò)資產(chǎn)探測、威脅情報、SOAR安全編排自動化與響應(yīng)等多個領(lǐng)域的核心技術(shù)能力，是一款集資產(chǎn)安全態(tài)勢感知、外部攻擊態(tài)勢感知、內(nèi)網(wǎng)安全態(tài)勢感知、異常行為態(tài)勢感知、脆弱性態(tài)勢感知、威脅事件態(tài)勢感知于一體的綜合安全態(tài)勢感知平臺，為滿足用戶單位提升主動安全防御能力需求、構(gòu)建新一代態(tài)勢感知平臺體系提供新思路和新體驗。