IT自动化安全运维平台解决方案

语言	格式	评分
中文（简体）	.pptx	3
概览
郎丰利于 2023 年 8 月整理制作，碳排放数字化建设及数字化驾驶舱建设综合解决方案整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行 IT 自动化安全运维平台解决方案整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行整理制作：郎丰利 1519 制作时间： 2023 年睿利而行内容 • 企业日常安全运维遇到的挑战 • CASK 平台如何帮助企业实现自动化安全运维 • 自动化场景举例 • 国产安全产品适配 • CASK 平台与传统方案相比有什么区别 ? 日益增长的告警每周数万次告警难以响应分析人员缺乏 2 百万安全专业人才缺口没有统一流程的安全响应缺乏量化指标，处理问题只能通过电话或者邮件沟通安全产品整合难整合复杂性高，需要专门的开发团队数据结构多样不同产品有不同数据，无法直接连通数据共享难不同产品位于不同的安全控制点，最早发现威胁的设备无法实时共享情报到其他安全控制节点。联动流程复杂要设计一系列安全动作要穿插大量不同产品，沉没在技术细节中安全运维面临的挑战 DATA LAKES, SIEMs 越多的安全产品，联动的复杂性越高 THREAT PLATFORMS & ANALYTICS ORCHESTRATION OTHER SIEMs OTHER DATA LAKES 3rd PARTIES INCONSISTENT APIs 漏洞扫描安全 Web 网关上网行为管理网络流量分析主机加固端点安全 IDS/IPS 防火墙高级威胁防护邮件安全网关数据防泄漏整合所有安全产品，统一快速的调度 DATA LAKES, SIEMs THREAT PLATFORMS & ANALYTICS ORCHESTRATION OTHER SIEMs OTHER DATA LAKES 3rd PARTIES APIs 漏洞扫描安全 Web 网关上网行为管理网络流量分析主机加固端点安全 CASK 平台 IDS/IPS 防火墙高级威胁防护邮件安全网关数据防泄漏 CASK 的工作方式自动执行动作行为阻断策略应用启用查杀告警通知合规部门安全运维人员事件回溯排查验证事件目录事件联动编排 Syslog 告警和事件 1 2 3 4 SIEM 进一步的分析预置自动处理事件和安全操作的适配支持主流事件接口 , 事件约束 , 数十种安全产品的联动安全指标跨历史数据关联及分析自动发现安全指标（ IOC ）事件处理的 SLA 跟踪和指标衡量证据收集和归档符合监管及合规需求实时协助和流程转移实时交互和专业工具所有的调查动作自动生成文档实时交互分析安全事件管理安全场景式自动化综合威胁管理 CASK 自动化安全运维平台事件驱动安全运维中心 API 安全运维中心基础架构数据湖 , SIEM 自动化编排分析事件告警动作执行 CASK 标准化过滤路由适配器 PARSER S 连接器消息推送和订阅历史数据 CASK 在安全运维中心（ SOC ）框架中的位置各安全产品漏洞扫描网关代理流量分析高级威胁邮件网关数据防泄漏主机加固端点安全防火墙数据存储威肋分析通知告警联动动作确定的行为待定的行为事件驱动架构安全运维人员互动确定的场景事件待定的事件事件代理事件分类账 E H E H E H E H E H E H EH = Event Handler 事件处理程序事件驱动的安全自动联动防火墙阻断终端防护隔离邮件网关拦截 SIEM 分析威胁情报匹配安全专家响应安全事件发生事件 - 响应 - 通知 - 人工处理各安全产品和设备产生安全事件主平台运行在云端或者本地服务器上对外部资源进行关联整合自动让人或者安全设备实时响应 APP 下发响应确认 CASK 的事件驱动架构实现连接适配器事件目录集合安全产品事件 Alert/Log/Message 事件流程编排低代码的 VAIL 编辑客户端响应流程编排响应的安全产品网页应用手机应用实时的、事件驱动的安全联合应用关联整合规则、最佳经验、约束条件、业务需求事件类数据流防火墙端口暴露警报宿主或网络异常流量后门和木马的连接终端安全产品的事件内部系统间的攻击黑名单 URL 的访问代理解析出恶意链接其他涌现的威胁事件实时的响应防火墙阻断终端防护隔离主机对终端全盘查杀分配临时备用资源邮件网关阻止发信所在网络独立 VLAN 应用服务关闭连接 APP 下发核准表单实时的事件驱动的联动引擎扫描探针业务系统网关路由移动设备开源社区的支持开源的适配器和工具集成可复用的流程编排模版来自全球的安全专家 ❌ 场景 1. 威胁流量触发的多产品联动 FW 发现有威胁流量的产生下发指令给 SEPM SEPM 令事件主机执行全盘查杀 SEPM 令事件主机隔离 CP 令事件主机与外网断连令 WAF 对事件主机服务降级 1 2 2 3 2 4 INTERNET WEB APP DB … 事件主机 CASK 场景 2. 自动的网站防护策略应用漏洞扫描在环境中自动扫描漏洞扫描发现有未防护的漏洞生成防护策略模板，在 WAF 上应用让漏洞扫描再执行一次，确认漏洞已经修复 1 2 3 WEB APP DB … CASK 场景 3. 多级网络下的数据库安全防护用户 2 从 VPN 登录内网用户 1 在内网直接通过堡垒机连 DB 再由堡垒机操作 DB 用户登录 VPN 的事件向 OA 询问操作权限 ✔OA 都给予了危险操作特权危险操作事件允许放行操作 ❌ ❌ 因 DBF 策略危险操作无法进行因用户是 VPN 登录，不可使用 OA 给予的权限 1 2 3 4 5 1 2 3 5 5 4 WEB APP DB … BYOD USERS INTERNAL USERS OA DB … Imperva DBF CASK 场景 4. 威胁情报库支持的联动 TIDE Checkpoint Firewall ❌ ❌ Infoblox DNS Firewall C&C 服务器从 TIDE 同步多种安全产品的威胁情报 1 向远程恶意服务发起请求 2 DNS 将解析请求日志上报 3 日志命中多项高危情报 4 5 将命中情报和动作建议发送专家确认在各级安全产品上阻止连接 6 CASK 安全专家移动 App 被感染主机 INTERNET 场景 5. 自动化批量修改多台不同品牌的防火墙策略 CASK OA DB … 提交防火墙策略变更申请批准消息推送至 CASK 领导批准变更请求 CASK 抓取工单内容 CASK 在指定时间点批量操作多台不同品牌的防火墙品牌 A 防火墙集群品牌 B 防火墙集群 Web Portal 展示 & 手机 App 展示国产安全产品适配 CASK 的工作方式适配国产安全产品自动执行动作行为阻断策略应用启用查杀告警通知合规部门安全运维人员事件回溯排查验证事件目录事件联动编排 Syslog 告警和事件 1 2 3 4 SIEM 进一步的分析 CASK 平台支持的对接方式适配各种产品、系统 • HTTP RESTful API 接口 • MQTT 消息 • AMQP 消息 • Kafka 消息 • 其他： UDP 、 OPC-UA 、 JDBC 、 JMS 、 log 文件抓取等 CASK 与传统解决方案的区别事件驱动 - 响应速度快数据库数据请求响应存储检索 l 数据源或服务 2 5 1 3 4 6 操作 2 事件驱动应用程序处理 & 分析 1 流式数据源传统应用程序逻辑处理分析操作 ? 开发小型项目，使用 CASK 平台的前后对比之前 5 种以上的开发工具或者平台 5 名以上的专业开发工程师 1,000 行以上的代码编程 3 个月的开发和部署时间完整团队参与持续维护 1 2 3 4 5 敏捷开发、快速迭代之后 CASK 平台 2 名开发人员 ~100 行左右的代码编程 2 周左右的开发和部署时间 ~1 周 / 月的维护工作 1 2 3 4 5 >10x 生产力提升 • CASK 是一个高生产力的 aPaaS 平台，基于此平台的开发人员指定的是业务逻辑，而不是底层的实现细节。这被称为低代码。在需求定义阶段，需求方和开发人员共同定义事件和所需的操作。 • 由此， CASK 自动创建软件应用程序的基础或开端。 • CASK 平台的可视化工具用于添加完成应用程序所需的分析、协作和附加服务。 • CASK 平台包含了一个基于 JavaScript 和 SQL 的语言引擎，基于 Java 的核心应用。什么是低代码开发 ? 对开发人员有什么要求 ?