17年攻防实战积累的安全大数据、攻防对抗知识库、威胁情报……这是每个用户和厂商都渴望拥有的安全能力。如果说之前这些能力还只是360自家的护城河,可望而不可得,但在今天,随着360核心安全大脑3.0的正式发布,每个政企用户甚至业界厂商都可以分享这些能力,让自己的安全体系和安全产品更为强大。

适时而生的360核心安全大脑

基于上述能力,360打造了业界知名的云端安全大脑。而360核心安全大脑,用360政企安全集团高级副总裁高瀚昭的话说,是360云端安全大脑的私有化部署,能够帮助构建政企用户的“能力中枢平台”。                                                                   360政企安全集团高级副总裁高瀚昭高瀚昭表示,之所以推出核心安全大脑,是看到了来自用户的强烈需求。在全社会数字化进程不断深入的今天,越来越多的政企用户开始构建自身的安全防护体系。而各类新业务、新场景、新应用不断迭代,对其安全提出了更新、更高的要求,安全体系建设也越来越庞大和复杂。这就带来了新的挑战:安全问题难以统一分析,安全产品难以发挥实际效能,极大的影响了防护效果。高瀚昭认为,当前政企用户自身的网络安全建设存在着企业设备各自为战、生态产品难以联动、外部能力无法融合等多重协同壁垒,可谓“痛而不通”,这严重限制了政企用户整体应对威胁的能力。例如,企业买了很多厂商的安全设备,但它们之间存在着互联互通问题;此外,每个厂商、甚至每一个产品都推出自己的数据、情报分析平台,一方面存在重复建设,一方面这些平台之间也存在信息共享的问题。显然,安全能力的建设并不是简单的产品堆叠,各自为战的安全产品造成的往往是1+1<2的实际效果。用户迫切需要一个可以整合各种安全能力的单一平台,实现企业产品之间、各个厂商之间、以及外部安全能力和内部安全能力之间的体系化、实战化协同。实质上,这是一个安全管理的升维需求。360核心安全大脑的推出,就是要解决这个安全体系建设的顽疾。高瀚昭形容,360核心安全大脑,类似于“Intel Inside”,在用户的整个安全体系中发挥着相当于核心CPU的作用。在用户层面,通过核心安全大脑,可以实现整个安全体系内各类网络安全产品的信息共享,通过大数据集中分析研判,将核心安全大脑所分析的结果、产生的高级威胁情报、推荐的安全策略赋能到各个网络安全产品,从而实现网络安全产品体系化联动、安全策略协同,达到体系化、实战化、联防联控的效果,全面激发用户自身安全架构的最大效能。对业界厂商,核心安全大脑作为一个能力组件,不管是做终端安全、网络安全、云安全、数据安全的各种厂商,都可以基于核心安全大脑进行二次开发,建设自身的安全分析能力体系,并能和360现有的安全体系框架互联互通。高瀚昭表示,360核心安全大脑就是一个安全能力聚合平台,让产品和产品之间能够互联互通,厂商和厂商之间可以互联互通,云端和本地可以互联互通,将360云端安全大脑的能力、企业自身产品的安全能力、生态产品的安全能力等多种能力协同一致与战术统一,大幅度提高安全风险的识别、保护、检测、响应、恢复等各项能力。

360核心安全大脑有哪些能力?


从某种意义上说,360做“安全核心 Inside”可谓因势利导。业界公认,360有着最多的安全大数据,有着多年的实战攻防能力,有着高效的云端分析能力。这些能力下沉至360核心安全大脑,成为其优势所在。高瀚昭介绍,360核心安全大脑1.0实现了云端下沉,2.0实现了聚合分析,历经3年打磨,360核心安全大脑3.0实现了联防联控,最终将360的核心安全能力转化成用户可落地、可使用的平台。具体包括一个安全大数据平台、一个云端赋能平台和多个安全分析引擎,以及内嵌360十七年经验所积累的实战方法论。其中,安全大数据平台内置了1000余个属性标准定义,1200余种解析方法,通过模型化管理的数据标准,接入用户的各类安全数据,并集中管理,为安全业务提供从数据接入到存储、清洗到运算,最终到图表展示的全生命周期一站式服务。另外,360拥有十七年积累的2EB海量安全大数据(其中包括总量180亿+恶意网址、5万亿+存活网址、样本文件300亿+、700亿+DNS解析记录等),形成了攻防对抗知识库、APT组织知识库、漏洞知识库、病毒库、多维度全景安全知识库等专业情报体系架构,覆盖从情报(威胁情报)、信息、知识、漏洞、资产、规则、事件、引擎结果等多种类型的情报数据及上下文相关关系。通过专业的人工运营,构建了“知其然,更知其所以然”的情报数据体系。这些安全大数据会策略性的下沉至核心安全大脑3.0,形成客户本地侧的“思维中枢”。高瀚昭表示,360核心安全大脑的安全大数据平台不仅数据量大、更新及时,而且兼容面广,处理速度快。安全大数据平台可接入当前市场主流的200余种品牌、2000余种型号设备和系统的数据,并具有“运营商”级别的数据处理能力,可提升安全运营中的数据处理效率5倍以上。云端赋能平台,通过云地协同、能力下沉,为安全设备提供从漏洞到资产、从情报到知识、从线索到规则、从事件到态势等百余种基础的安全数据及分析能力,可以满足各类安全设备的通用化威胁检测与分析需求。在用户近年来强烈关注的实战攻防方面,360核心安全大脑3.0内置了全景攻防知识框架,为用户基于已知威胁对抗未知威胁提供明确而强大的行动指导。高瀚昭介绍,360通过十余年累积,已经拥有APT排查规则数百条,TTP技战术规则近千条,沙箱检测规则数千条,还原杀伤链检测规则数万条,黑白名单250亿左右。同时拥有50个知名APT组织的攻击信息,这些信息不仅涵盖了业界流行的MITRE ATT&CK攻防知识库,而且基于360的实战经验在此基础上做了大量补充。此外,360核心安全大脑3.0中还预置了近百类安全分析引擎,2000多个安全策略,可以把专业相关的分析能力通过配置组合的方式赋能特定的安全产品,应对纷繁复杂的安全业务,从多个维度指导安全设备发现、防护高级别网络威胁,提升自身网络安全能力。

做业界的赋能者


360核心安全大脑要做业界的“安全核心 Inside”,离不开整体生态的建设。高瀚昭强调,360核心安全大脑的定位是赋能者,而不是指挥者。核心安全大脑不像以前的SOC等平台产品,让其他产品听从其指挥,而是给整个安全体系所有的产品提供服务,提供更好的分析结果和响应策略。从用户层面,可以根据自己的需要,基于360核心安全大脑开发自己所需要的安全应用。这些应用不仅可以使用其他产品所生成的沉淀在核心安全大脑上的数据,还可以使用360云端安全大脑的各种数据。在厂商层面,高瀚昭表示,360核心安全大脑致力于安全行业的协作,让细分赛道的厂商专注于自己擅长的产品,做精做强,而不需要费时费力再开发一套大数据平台。对整个安全行业来讲,可以避免过多的重复投入和恶性竞争。具体而言,第三方安全厂商可以基于核心安全大脑3.0统一标准API开发联动接口,针对不同安全场景进行模块化的灵活组合,实现与各个厂商、各种型号的安全设备的协同联动,共同防御。今年初,360集团创始人周鸿祎在发出的内部全员信中宣布,2022年360将开启数字安全元年,全面转型为数字安全公司。高瀚昭表示,在360可运营、可持续、可成长、可输出的面向未来的数字化安全能力体系中,核心安全大脑处于中枢位置。未来,360核心安全大脑将更好地发挥云端和本地、产品和产品之间、厂商和厂商之间连接桥梁的作用,致力于将安全能力打通、优化,赋能企业到国家的网络安全防线,为各行各业的数字化转型保驾护航,让国家的数字经济发展行稳致远。

文章原文链接:https://www.anquanke.com/post/id/272040