企业网络环境中每天都会产生大量的网络日志,还有工作站,服务器,路由器和防火墙等网络设备中的日志对网络安全的提升具有重要意义。充分利用好它们可以帮助企业及时发现潜在的风险和安全漏洞,把网络环境中存在的威胁扼杀在摇篮中。
2021年底,酷家乐与极盾科技结缘,基于极盾·析策联合打造实时自适应的“智能安全决策平台”,通过接入各个系统日志进行统一管理、实时采集、关联分析、实时检测、实时告警,实现日均2TB/12亿日志量分析,日均安全告警数量降至10条左右,精准识别安全风险的同时,大大提升安全运营效率。另外,极盾·析策作为基础平台,实现API资产监测以及企业微信实时告警。
选择初衷:
日志分散、缺乏有效安全运营
酷家乐拥有千万级用户,全球近万台服务器,每日累计产生2TB/12亿条安全日志。酷家乐安全项目负责人袁总表示:“每天我们外网至少有500G流量,每年上半年业务高峰,外网流量会翻倍,甚至好几倍。”
大量的日志被分散储存在不同的设备上,缺乏统一有效管控,安全数据孤岛严重,对安全风险的识别能力薄弱,亟需提升整体安全风险检测防控能力。如果发生故障的话,需要查阅日志就会即繁琐又低效。
同时,自建系统维护成本繁重,安全运营效率低下,无法满足海量安全数据场景实时威胁检测、预警、实时响应等需求,无法达成等保三级日志审计相关要求。
因此,酷家乐向外开始寻求成熟的产品和有效的解决方案。
极盾·析策:
打破数据孤岛,实时分析、监测
该产品必须可以实时分析、实时监测和告警;它必须有很强的稳定性,可以支撑日均十亿级别的日志量;此外,还要求产品易上手,易操作。
极盾·析策-新一代一站式智能安全决策平台,或是最佳选择。
极盾·析策单节点日志量分析处理性能可达千万级别,集群部署可达亿级别以上;底层组件均采用分布式设计,确保分布式集群7*24小时稳定运行;实时分析性能P99 <=20ms、P90 <=10ms;实时查询性能P99 <=5秒、P90 <=3秒;任意组件均支持横向扩展,实现对整体性能的近线性能提升。这种“高吞吐、高可靠、低延时、可扩展”的特性,正是酷家乐寻找的解决方案。
01、“一键”安全数据接入,打破数据孤岛
极盾·析策内置业内数千种常见的安全设备与三方系统日志格式解析模型,通过交互式的对接配置流程实现分钟级别的数据对接。酷家乐当天便快速完成基础版本部署上线,包括数据对接与策略模型的初始化。部署上线后,酷家乐主要把各个系统的日志汇集到极盾·析策平台,统一管理,关联分析,打破数据孤岛,日均有近12亿的数据量。
02、“易”上手的安全分析,洞察安全风险
极盾·析策基于XDR整体技术框架,其分布式采集平台对酷家乐系统网络日志进行实时采集,每天将近有12亿的数据量,采集的数据进行预处理之后产生规范数据,通过实时的智能决策引擎进行实时分析,最后得到一个监测结果并进行告警,这个监测结果里面包含事件类型、风险类型、风险等级、置信度、攻击间断、使用的攻击战术等等。
极盾·析策支持可视化分析、安全风险可视化、安全规则可视化,还支持安全事件全局明细查询、聚合查询,进一步缓解了安全运维人员的工作压力,让企业的安全防护得到了巨大的提升。极盾·析策对来自各个系统的日志进行关联分析,统一安全规则进行实时告警,目前酷家乐日均安全告警数10条左右。
03、场景化智能安全决策、灵活运用更有效
极盾·析策具有一套强大的实时智能决策系统,融合流计算引擎+规则引擎+模型引擎+工作流引擎为一体的综合智能决策引擎。
其中,以规则引擎为核心形成的策略平台,统一管理安全检测策略,实时进行关联调查,跨层分析。围绕不同安全场景,策略平台支持低代码可视化的方式让安全运营人员快速配置规则,上下线策略,且策略规则支持实时调整实时生效。目前,酷家乐主要通过自定义策略规则应用在安全攻防、反爬虫、业务操作日志审计,数据库日志审计,堡垒机审计等场景。
作为基础平台:
极盾·析策的灵活使用
问起当时选择极盾科技的初衷时,袁总说:“当时在几家公司中之所以选择极盾科技,主要是因为极盾·析策可以自定义规则策略,想象空间大,灵活性很高,可以做很多事情。”
酷家乐在使用极盾·析策时,除了日志分析以外,还把它作为网络安全基础平台进行API资产监测以及实时企信告警的使用。袁总表示,接下来他们还会利用极盾·析策进行“自动化响应处置”的功能使用。
1、API资产监测
企业组织内部应用资产往往缺乏可见性,大量API存在于正常流程和控制之外,很多API分散在多个平台,难以被统一管理。
· 企业每天都会有新业务上线,安全部门如何第一时间发现、识别新增API,是否有大量的影子API存在?
·短期使用的API或者API老旧版本未能及时下线,安全部门如何找出这些僵尸API,杜绝潜在风险?
·新API不断上线,存量API也在不断迭代,敏感数据也可能在API当中不断增加,如何监控API中敏感数据的变化?
·API当中流动着大量的敏感数据,如何识别敏感数据的异常访问,如何检测敏感数据泄漏?
·当发生数据泄漏时,如何快速追踪溯源,对相关责任人快速定位?
这些问题同样也是酷家乐关心的问题。极盾·析策支持持续、动态的方式梳理API资产,包括API开放的数量、API的活跃状况、僵尸API、影子API等安全风险信息,并内置上百个威胁检测模型,可以实时发现API异常访问、数据泄露等问题。
酷家乐利用极盾·析策进行二次开发完成实现对全貌API资产的自动盘点与分析,包括新增API和废弃API等,让API资产可知可视可管,构建应用安全防护体。
2、实时企信告警
酷家乐将企业微信接入极盾·析策,基于平台的策略规则配置告警策略,指定告警对象,当有攻击发生时,就会实时告警到该指定人员或者群体。
3、自动化响应处置
极盾·析策的自动化处置整个编排框架是由条件节点与多个串联或并联的执行节点组合建立的,条件节点用于定制安全事件匹配条件;执行节点负责执行满足条件后的执行动作,执行节点一般分为几种,如命令执行类,扫描类、发送消息类,以及更灵活的脚本类。
酷家乐可以根据策略命中那一刻所对应的安全事件上下文进行多个节点的安全编排,灵活定制每一个节点自动化响应的操作来实现自动化响应处置。
极盾·析策作为一款“一站式、体系化”的智能安全分析决策平台,可集合包括大容量日志分析、WAF、IPS、防火墙、DLP、防病毒、SOAR等在内的各类网络安全产品优势于一体,通过可视化的信息呈现以及安全策略的一键调优,真正实现“统一部署、统一管理、统一监控、统一运营”,支撑安全攻防、人员内控和数据安全三大场景,让网络安全日常化,达成可持续运营管控的目标。
安全赋能业务,创新永不停止。未来,极盾科技将继续助力酷家乐,期待更多的可能性。
