青藤入选工信部“2024年网络安全技术应用典型案例拟支持项目名单”
近日,工业和信息化部公示了“2024年网络安全技术应用典型案例拟支持项目名单”,青藤云安全联合某股份制银行共同申报的主机威胁狩猎平台项目凭借其技术先进性及行业示范性成功入选。
网络安全技术应用试点示范工作是由工业和信息化部、国家互联网信息办公室、国家卫生健康委员会中国人民银行、中国证券监督管理委员会、国家数据局等十四部门办公厅(办公室、秘书局、综合司)共同开展。评审过程严格,旨在发挥示范引领作用,加强网络安全先进技术应用引导,推动网络安全产业高质量发展。
关于主机威胁狩猎平台
伴随金融业的数字化转型,网络安全问题日益严峻,为应对攻防演练、与黑客黑产对抗等场景,建立全面的主机威胁感知和实战研判、溯源分析体系成为当前金融机构网络安全重点工作之一。提升安全风险发现和响应能力,提高安全事件实时处置水平,扩大主机安全日志搜集、分析、存储的范围,检测各类层出不穷的入侵攻击行为,并以此标准建设一套具备主机资产摸底、风险排查、威胁检测、基线自检、日志采集、数据汇聚、威胁检测、溯源分析等核心能力的主机威胁狩猎平台,该系统需具备开放性、可扩展性,可较方便地进行升级和改造,以适应安全管理要求。
平台核心设计包含以下方面能力:
-
补充主机安全检测能力,优化现有防护体系。考虑到未来攻击手段逐渐转向针对主机层的攻击,可能存在检测精度不足,业务关联性不足及攻击日志缺失等问题,对未来攻击事件的分析溯源产生一定影响。因此,从业务流程角度出发进行安全防护,更好的与现有传统防护体系结合实现对业务系统的完整防护,与现有防护体系形成互补。
-
提升安全视角下的业务梳理和风险管控能力。主机是所有攻击最后的着陆点,但是传统的安全防护是基于网络边界的特征检测,无法与内部主机业务相结合。对主机内存在什么样的应用、组件、进程等安全资产不清楚,对主机上是否存在安全风险不可知。因此仅仅依靠传统网络安全设备上发现的大量告警,无法确定攻击是否真正在主机上生效。因此缺乏主机维度的资产清点和风险分析。
-
完善主机安全日志采集能力。传统基于网络流量安全设备采集的安全相关日志,因主机系统直接采集的手段缺失,导致安全日志采集不全,误报、漏报情况严重,无法多维度监控和分析当前面对的安全威胁和风险,也无法将主机安全数据纳入整体态势感知体系做进一步的分析定位。
该平台的落地已经产生的经济效益和社会效益:
-
有效降低信息安全运营成本,减少因未知威胁潜伏并在关键节点发作而带来的未知风险,降低由于未知威胁发作所带来的额外风险成本。
-
稳定增加信息化建设附加效益,保障企业生产的连续性和稳定性,为企业安全生产做贡献,产生良好的经济效益。
-
契合国家安全战略定位,促进信息安全产业技术创新能力提升,推动我国在信息安全未知威胁检测领域的自主创新能力的发展,保障“要对网络空间具备态势感知能力”的实现。