CASK-自动化安全运维平台课件

Title Text,Body Level One,Body Level Two,Body Level Three,Body Level Four,Body Level Five,CASK,事件驱动的,自动化安全运维平台,CASK 事件驱动的自动化安全运维平台,1,内容,企业日常安全运维遇到的挑战,CASK 平台如何帮助企业实现自动化安全运维,自动化场景举例,国产安全产品适配,CASK 平台与传统方案相比有什么区别?,内容企业日常安全运维遇到的挑战,2,日益增长的告警,每周数万次告警难以响应,分析人员缺乏,2百万安全专业人才缺口,没有统一流程的安全响应,缺乏量化指标，处理问题只能通过电话或者邮件沟通,安全产品整合难,整合复杂性高，需要专门的 开发团队,数据结构多样,不同产品有不同数据，无法直接连通,数据共享难,不同产品位于不同的安全控制点，最早发现威胁的设备无法实时共享情报到其他安全控制节点。,联动流程复杂,要设计一系列安全动作要穿插大量不同产品，沉没在技术细节中,安全运维面临的挑战,日益增长的告警分析人员缺乏没有统一流程的安全响应安全产品整合,3,DATA LAKES,SIEMs,越多的安全产品，联动的复杂性越高,THREAT PLATFORMS&ANALYTICS,ORCHESTRATION,OTHER SIEMs,OTHER DATA LAKES,3,rd,PARTIES,INCONSISTENT APIs,漏洞扫描,安全,Web,网关,上网行为管理,网络流量分析,主机加固,端点安全,IDS/IPS,防火墙,高级威胁防护,邮件安全网关,数据防泄漏,DATA LAKES,SIEMs越多的安全产品，联动的复杂,4,整合所有安全产品，统一快速的调度,DATA LAKES,SIEMs,THREAT PLATFORMS&ANALYTICS,ORCHESTRATION,OTHER SIEMs,OTHER DATA LAKES,3,rd,PARTIES,APIs,漏洞扫描,安全,Web,网关,上网行为管理,网络流量分析,主机加固,端点安全,CASK,平 台,IDS/IPS,防火墙,高级威胁防护,邮件安全网关,数据防泄漏,整合所有安全产品，统一快速的调度DATA LAKES,SI,5,CASK 的工作方式,自动执行动作,行为阻断,策略应用,启用查杀,告警通知,合规部门,安全运维人员,事件回溯,排查验证,事件目录,事件联动编排,Syslog,告警和事件,1,2,3,4,SIEM,进一步的分析,CASK 的工作方式自动执行动作行为阻断合规部门安全运维人员,6,预置自动处理事件和安全操作的适配,支持主流事件接口,事件约束,数十种安全产品的联动,安全指标跨历史数据关联及分析,自动发现安全指标（IOC）,事件处理的SLA跟踪和指标衡量,证据收集和归档,符合监管及合规需求,实时协助和流程转移,实时交互和专业工具,所有的调查动作自动生成文档,实时交互分析,安全事件管理,安全场景式自动化,综合威胁管理,CASK 自动化安全运维平台,事件驱动,预置自动处理事件和安全操作的适配安全指标跨历史数据关联及分析,7,安全运维中心,API,安全运维中心,基础架构,数据湖,SIEM,自动化编排,分析,事件告警,动作执行,CASK,标准化,过滤,路由,适配器,PARSERS,连接器,消息推送和订阅,历史数据,CASK 在 安全运维中心（SOC）框架中的位置,各安全产品,漏洞,扫描,网关,代理,流量,分析,高级,威胁,邮件,网关,数据,防泄漏,主机,加固,端点,安全,防火墙,数据存储,威肋分析,通知告警,联动动作,确定的行为,待定的行为,事件驱动架构,安全运维中心API安全运维中心数据湖,SIEM自动化编排,8,安全运维人员互动,确定的场景事件,待定的事件,事件代理,事件分类账,EH,EH,EH,EH,EH,EH,EH=Event Handler 事件处理程序,事件驱动的安全自动联动,防火墙阻断,终端防护隔离,邮件网关拦截,SIEM分析,威胁情报匹配,安全专家响应,安全事件发生,安全运维人员互动确定的场景事件待定的事件事件代理事件分类账E,9,事件-响应-通知-人工处理,各安全产品和设备产生安全事件,主平台运行在云端或者本地服务器上,对外部资源进行关联整合,自动让人或者安全设备实时响应,APP下发响应确认,事件-响应-通知-人工处理各安全产品和设备产生安全事件主平台,10,CASK的事件驱动架构实现,连接适配器,事件目录集合,安全产品事件,Alert/Log/Message,事件流程编排,低代码的VAIL编辑,客户端响应流程编排,响应的安全产品,网页应用,手机应用,CASK的事件驱动架构实现连接适配器事件目录集合安全产品事件,11,实时的、事件驱动的安全联合应用,关联整合,规则、最佳经验、约束条件、业务需求,事件类数据流,防火墙端口暴露警报,宿主或网络异常流量,后门和木马的连接,终端安全产品的事件,内部系统间的攻击,黑名单URL的访问,代理解析出恶意链接,其他涌现的威胁事件,实时的响应,防火墙阻断,终端防护隔离主机,对终端全盘查杀,分配临时备用资源,邮件网关阻止发信,所在网络独立VLAN,应用服务关闭连接,APP下发核准表单,实时的事件驱动的联动引擎,扫描探针,业务系统,网关路由,移动设备,实时的、事件驱动的安全联合应用关联整合事件类数据流防火墙端,12,CASK 平台带来的收益,减少平均修复时间(MTTR),30%,统一的事件管理流程和衡量指标,通过自动化联动将有确定威胁的事件自动下发策略,从不同网络层同时监控，快速定位威胁,减少告警量,客户在部署了 CASK 后，每周的告警数量（需要人工审核的告警）从,10000,减少到,500,95%,提供自动化的安全运营，提升安全运维的效率,充分发挥现有安全产品的能力,CASK 平台带来的收益减少平均修复时间(MTTR)30%,13,开源社区的支持,开源的适配器和工具集成,可复用的流程编排模版,来自全球的安全专家,开源社区的支持开源的适配器和工具集成可复用的流程编排模版来自,14,场景1.威胁流量触发的多产品联动,FW 发现有威胁流量的产生,下发指令给 SEPM,SEPM 令,事件主机,执行全盘查杀,SEPM 令,事件主机,隔离,CP 令,事件主机,与外网断连,令 WAF 对,事件主机,服务降级,1,2,2,3,2,4,INTERNET,WEB APP,DB,事件主机,CASK,场景1.威胁流量触发的多产品联动FW 发现有威胁流量的产,15,场景2.自动的网站防护策略应用,漏洞扫描在环境中自动扫描,漏洞扫描发现有未防护的漏洞,生成防护策略模板，,在WAF上应用,让漏洞扫描再执行一次，,确认漏洞已经修复,1,2,3,WEB APP,DB,CASK,场景2.自动的网站防护策略应用漏洞扫描在环境中自动扫描漏洞,16,场景3.多级网络下的数据库安全防护,用户2从VPN登录内网,用户1在内网直接通过堡垒机连DB,再由堡垒机操作DB,用户登录VPN的事件,向OA询问操作权限,OA都给予了危险操作特权,危险操作事件,允许放行操作,因DBF策略危险操作无法进行,因用户是VPN登录，,不可使用OA给予的权限,1,2,3,4,5,1,2,3,5,5,4,WEB APP,DB,BYOD USERS,INTERNAL USERS,OA,DB,Imperva DBF,CASK,场景3.多级网络下的数据库安全防护用户2从VPN登录内网用,17,场景4.威胁情报库支持的联动,TIDE,Checkpoint Firewall,Infoblox DNS Firewall,C&C 服务器,从TIDE同步多种安全产品的威胁情报,1,向远程恶意服务发起请求,2,DNS将解析请求日志上报,3,日志命中多项高危情报,4,将命中情报和动作建议发送专家确认,5,在各级安全产品上阻止连接,6,CASK,安全专家,移动App,被感染主机,场景4.威胁情报库支持的联动TIDECheckpoint,18,INTERNET,场景5.自动化批量修改多台不同品牌的防火墙策略,CASK,OA,DB,提交防火墙策略,变更申请,批准消息推送至CASK,领导批准,变更请求,CASK抓取工单内容,CASK在指定时间点批量操作,多台不同品牌的防火墙,品牌A防火墙集群,品牌B防火墙集群,INTERNET场景5.自动化批量修改多台不同品牌的防火墙,19,Web Portal 展示&手机App 展示,Web Portal 展示&手机App 展示,20,国 产 安 全 产 品 适 配,国 产 安 全 产 品 适 配,21,CASK 的工作方式适配国产安全产品,自动执行动作,行为阻断,策略应用,启用查杀,告警通知,合规部门,安全运维人员,事件回溯,排查验证,事件目录,事件联动编排,Syslog,告警和事件,1,2,3,4,SIEM,进一步的分析,CASK 的工作方式适配国产安全产品 自动执行动作行为阻断合,22,CASK 平台支持的对接方式 适配各种产品、系统,HTTP RESTful API接口,MQTT消息,AMQP消息,Kafka消息,其他：UDP、OPC-UA、JDBC、JMS、log文件抓取等,CASK 平台支持的对接方式 适配各种产品、系统HTTP R,23,CASK 与 传统解决方案的区别,CASK 与 传统解决方案的区别,24,事件驱动-响应速度快,数据库,数据请求,响应,存储,检索,l,数据源或服务,2,5,1,3,4,6,操作,2,事件驱动,应用程序,处理&分析,1,流式数据源,传统,应用程序,逻辑处理分析,操作?,事件驱动-响应速度快数据库数据请求响应存储检索l数据源或服务,25,开发小型项目，使用CASK 平台的前后对比,之前,5种以上的开发工具或者平台,5名以上的专业开发工程师,1,000行以上的代码编程,3个月的开发和部署时间,完整团队参与持续维护,1,2,3,4,5,敏捷开发、快速迭代,之后,CASK平台,2名开发人员,100行左右的代码编程,2周左右的开发和部署时间,1周/月的维护工作,1,2,3,4,5,10 x,生产力提升,开发小型项目，使用CASK 平台的前后对比之前5种以上的开发,26,CASK,是一个高生产力的,aPaaS,平台，基于此平台的开发人员指定的是业务逻辑，而不是底层的实现细节。这被称为,低代码,。,在需求定义阶段，需求方和开发人员共同定义事件和所需的操作。,由此，CASK,自动创建,软件应用程序的基础或开端。,CASK,平台的,可视化,工具用于添加完成应用程序所需的分析、协作和附加服务。,CASK平台包含了一个基于,JavaScript,和,SQL,的语言,引擎，基于,Java,的核心应用。,什么是 低 代 码 开 发?对开发人员有什么要求?,CASK是一个高生产力的aPaaS平台，基于此平台的开,27,谢谢指导,谢谢指导,28,