在数字化建设加速演进的今天,数据安全成为实现数字经济高质量发展的关键问题。为进一步激发数字经济活力、推动数字经济健康发展,国家相继出台了《网络安全法》、《数据安全法》、《个人信息保护法》等数据安全法律法规。不断完善的数据保护立法,有力维护了国家的数据主权,保障国家网络安全,促进经济健康发展。
电信运营商安全建设难点
某电信运营商企业,是我国移动通信基础设施建设的“国家队”和5G新基建的主力军。公司深入贯彻“网络强国”、“数字中国”以及“双碳”等重大国家战略,致力构建专业化、集约化、精益化、高效化、数字化运营体系,打造共享型、服务型、创新型、科技型、价值型企业。
随着多年信息安全的建设,企业已经购置了众多安全产品,起到了基本的安全防护效果。目前面临的核心问题并不是新购安全产品或者新建安全体系,而是面对实时攻击和未知威胁,如何将现有的安全产品进行整合、优化,利用AI技术和自动化技术进行有效地联动和多级调度,实现企业端到端的、闭环的安全自动化运营。
具体安全建设难点为:
◆◆ 云上数据孤岛化:随着数据上云战略的不断深入,客户业务系统分散在多个云端,每朵云独立运营,数据分散,数据格式、内容均不统一,难以对其进行统一的分析、管理。
◆◆ 安全工具割裂化:各个安全产品彼此割裂且功能分散,无法进行统一对接和适配,安全运营需横跨各种工具设置不同的安全策略,难度攀升,部分安全产品甚至出现冗余。
◆◆ 海量告警致使安全运营压力大:各类安全设备每天产生的告警多达2亿次,这些告警多靠人工梳理分析,并依赖人工判定出真实紧急的威胁做出响应。分析研判的正确率低、响应效率低,安全人员承担巨大的运营压力。
重要保障时期,缺乏契合重保场景的安全指挥调度中心,参与重保的人员无法在统一的平台上完成各类工单调度和基础防御工作;
保旺达安全运营解决方案
针对该客户面临的实际痛点,保旺达为客户规划并搭建了基于AI的新一代平战结合的安全自动化运营中心。
保旺达将AI与安全场景深度融合,通过联动多方安全产品、多维安全数据,进行智能化分析与自动化响应处置,帮助企业建立事前安全检测-事中安全分析-事后响应处置的立体化风险闭环,并进行定期评估和审计,更好地控制潜在安全风险;重保期间化身为安全产品的“指挥中心”,统筹协调各类安全产品,快速封禁风险威胁,从而实现平时与战时双结合的全方位安全守护。
◆◆ 事前安全检测
针对多源异构的云端,进行设备日志全量接入、日志清洗及标准化处理;通过轻量有效的配置,快速联动企业内部大量安全设备,有效解决云存储数据孤岛化、安全产品割裂化的难题。
系统实时搜集各类设备日志、流量日志等多维数据,后台将数据进行解析和归一化处理,然后对数据进行分类存储,建立知识库、漏洞库、情报库。并且定期对互联网攻击面、合规等安全问题进行自动识别与评估,为用户构建事前安全预防的“前线”。
◆◆ 事中安全分析
在SIEM中融入NDR、EDR能力,匹配Mitre与技术信号和检测内容,全面覆盖云环境,集中分析各类告警和日志,有效应对层出不穷的新型威胁;
通过规则、算法和机器模型的形式创建检测逻辑,从海量告警中发现真正的高优先级风险,减少告警数量,将安全人员从浩繁的告警中解放出来;
同时内置多种AI智能检测模型,帮助发现最隐蔽的攻击手段:通过分析单个资产的安全事件快速锁定异常资产,对多条、异源、异构事件进行关联特征匹配分析、同源分析,定位出特定的攻击方式,从而实现跨资产下的风险聚类和关联追溯。
◆◆ 事后响应处置
● 多样化场景剧本编排:以AI和自动化编排为核心,将人、技术和流程高度协同起来,将繁杂的安全运行过程梳理为任务和剧本,提供定制化的流程和控制,整合并加速有效网络威胁的调查,同时有效降低运营人员工作强度,提升运营效率。
● 自动化响应处置:收集不同来源的安全威胁数据和警报时,运用人机结合的方法进行事件分析与分类,根据标准流程辅助定义、排序和驱动标准化事件响应行为,并应用到防护、检测与响应的每个环节,实现简化的统一协同响应,节省手动分析时间,最终实现自动化安全运营的安全协同响应。
重保时期,安全自动化运营中心化身为安全产品的智能中台,专门负责各类安全产品的数据接入、协同分析和实时联动;
同时构建多个重保活动剧本,支撑活动期间的批量处置、省分公司解封/加白,进行自动化执行工单;设计定时巡检剧本,开展周期性的安全设备可用性巡检工作;
并且根据工单任务自动创建数十个应急处理专用作战室,多部门共同开展应急处置工作,构建分工合理、责任明确、内外结合的处置通道,支撑安全事件“零容忍”、风险处理“零拖延,实现对安全威胁的秒级封禁。
安全自动化运营中心建设成效
通过建设安全自动化运营中心,保旺达助力客户建立了技术、人员、流程一体化的标准安全运营体系,实现安全运营的智能化改革,打造出平时+战时皆可信可控的数字安全屏障能力体系。
◆◆ 在日常运营中,对安全事件的发现、分析、处置进行闭环处理,提升响应效率、解放运营人员、有效抵御安全威胁。自上线运行后,日均分析日志4亿条,累计监测到各类网络攻击180亿次,自动阻断各类风险威胁160亿次,累计下发自动化任务1千万条。
◆◆ 重保期间,帮助安全人员实现了自动化、智能化的安全事件运营与应急处置。安全事件的闭环处置时长由平均2小时降低至15秒,需人工介入工单仅占总体工单的9.6%;在年度攻防演练中,安全运营平台完成了80+不同类型安全产品的集中调度、安全风险线上集中研判、安全事件秒级自动化处置,仅统计封堵事件,安全运营中心就累计识别拦截攻击行为超过23亿次。
目前,保旺达安全自动化运营中心已具备应对不同安全威胁场景的拓展能力,并服务于国内多家大型政企,以安全之势守护客户数字化加速。
如想了解详情,请联系bussiness@bwda.net。
