随着信息化的发展,政企机构通常会在重要信息系统中建设和部署安全管理平台(SOC),对IT资产、设备和流量日志、网络威胁和漏洞以及网络安全处置流程等方面进行统一管理,实现网络安全威胁的实时检测和响应。
然而,网络攻击是一个非常复杂的过程,仅仅依靠独立的日志源和数据源,安全分析人员无法看到攻击的全貌,而只能看到攻击的一个片段。不进行关联,就无法把大量的片段组合起来完成全景拼图,并且带来一系列了麻烦:海量数据如何有机结合?大量告警如何高效应对?高级威胁如何发现?典型场景如何精准防御?
另一方面,政企用户经常会淹没在各种IDS、WAF等安全设备的告警中,而这些告警的分析、处置往往成为另一头疼的问题,因为这些告警当中往往含有大量的误报。在这方面,传统安全管理产品(SOC或者SIEM等)往往会通过过滤、归并、关联等方式实现一定程度的告警量下降。但由于这种方式缺乏辅助信息和复杂逻辑的判断过程,很容易造成威胁逃逸的后果。无论是误报还是漏报,都很有可能给企业带来非常大的损失。
于是,下一代安全管理平台(NGSOC)应运而生,已经成为政企网络安全的热点话题。对此奇安信专家表示,作为新一代分布式流式关联分析引擎,Sabre能够对多源异构数据进行复杂关联分析,降低SOC的误报率和漏报率,并且可以随着数据增长进行灵活的分布式扩展,帮助高级安全分析师从海量异构数据中捕获安全事件,大幅提升安全运营的效率。
即将于8月21日开幕的2019北京网络安全大会上,奇安信专家将在国家会议中心现场分享分布式流式关联分析引擎-Sabre在NGSOC中的应用。该专家表示,搭载Sabre引擎的NGSOC可以基于威胁情报和本地大数据技术,对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,从而帮助企业大幅提升安全运营效率。
文章来源:安全牛