企业网络环境中每天都会产生大量的网络日记,还有工作站,服务器,路由器和防火墙等网络设备中的日记对网络宁静的提升具有重要意义。充分利用好它们可以帮助企业及时发现潜在的危险和宁静漏洞,把网络环境中存在的威胁扼杀在摇篮中。
2021年底,酷家乐与极盾科技结缘,基于极盾·析策联合打造及时自适应的“智能宁静计划平台”,通过接入各个系统日记从事对立管理、及时采集、关联剖析、及时检测、及时告警,完成日均2TB/12亿日记量剖析,日均宁静告警数量降至10条左右,精准识别宁静危险的同时,大大提升宁静经营效率。另外,极盾·析策作为基础平台,完成API财产监测以及企业微信及时告警。
选择初衷:日记分散、缺乏有效宁静经营
酷家乐拥有千万级用户,全球近万台服务器,每日累计产生2TB/12亿条宁静日记。酷家乐宁静项目负责人袁总表示:“每天我们外网至少有500G流量,每年上半年业务高峰,外网流量会翻倍,甚至好几倍。”
大量的日记被分散储存在不同的设备上,缺乏对立有效管控,宁静数据孤岛严重,对宁静危险的识别能力薄弱,亟需提升整体宁静危险检测防控能力。如果发生故障的话,需要查阅日记就会即繁琐又低效。
同时,自建系统维护成本繁重,宁静经营效率低下,无法满足海量宁静数据场景及时威胁检测、预警、及时相应等需求,无法达成等保三级日记审计相关要求。
因此,酷家乐向外开始寻求成熟的产品和有效的解决方案。
极盾·析策:打破数据孤岛,及时剖析、监测
该产品必须可以及时剖析、及时监测和告警;它必须有很强的稳定性,可以支撑日均十亿级别的日记量;此外,还要求产品易上手,易操作。
极盾·析策–新一代一站式智能宁静计划平台,或是最佳选择。
极盾·析策单节点日记量剖析处理性能可达千万级别,集群部署可达亿级别以上;底层组件均采用分布式设计,确保分布式集群7*24小时稳定运行;及时剖析性能P99 <=20ms、P90 <=10ms;及时查询性能P99 <=5秒、P90 <=3秒;任意组件均支持横向扩展,完成对整体性能的近线性能提升。这种“高吞吐、高可靠、低延时、可扩展”的特性,正是酷家乐寻找的解决方案。
01、“一键”宁静数据接入,打破数据孤岛
极盾·析策内置业内数千种常见的宁静设备与三方系统日记格式解析模型,通过交互式的对接配置流程完成分钟级别的数据对接。酷家乐当天便快速完成基础版本部署上线,包括数据对接与计谋模型的初始化。部署上线后,酷家乐主要把各个系统的日记汇集到极盾·析策平台,对立管理,关联剖析,打破数据孤岛,日均有近12亿的数据量。
02、“易”上手的宁静剖析,洞察宁静危险
极盾·析策基于XDR整体技术框架,其分布式采集平台对酷家乐系统网络日记从事及时采集,每天将近有12亿的数据量,采集的数据从事预处理之后产生规范数据,通过及时的智能计划引擎从事及时剖析,最后得到一个监测结果并从事告警,这个监测结果里面包含事件类型、危险类型、危险等级、置信度、攻击间断、使用的攻击战术等等。
极盾·析策支持可视化剖析、宁静危险可视化、宁静准则可视化,还支持宁静事件全局明细查询、聚合查询,进一步缓解了宁静运维人员的工作压力,让企业的宁静防护得到了巨大的提升。极盾·析策对来自各个系统的日记从事关联剖析,对立宁静准则从事及时告警,目前酷家乐日均宁静告警数10条左右。
03、场景化智能宁静计划、灵活运用更有效
极盾·析策具有一套强大的及时智能计划系统,融合流计算引擎+准则引擎+模型引擎+工作流引擎为一体的综合智能计划引擎。
其中,以准则引擎为核心形成的计谋平台,对立管理宁静检测计谋,及时从事关联调查,跨层剖析。围绕不同宁静场景,计谋平台支持低代码可视化的方式让宁静经营人员快速配置准则,上下线计谋,且计谋准则支持及时调整及时生效。目前,酷家乐主要通过自定义计谋准则应用在宁静攻防、反爬虫、业务操作日记审计,数据库日记审计,堡垒机审计等场景。
作为基础平台:极盾·析策的灵活使用
问起当时选择极盾科技的初衷时,袁总说:“当时在几家公司中之所以选择极盾科技,主要是因为极盾·析策可以自定义准则计谋,想象空间大,灵活性很高,可以做很多事情。”
酷家乐在使用极盾·析策时,除了日记剖析以外,还把它作为网络宁静基础平台从事API财产监测以及及时企信告警的使用。袁总表示,接下来他们还会利用极盾·析策从事“自动化相应处置”的功能使用。
1、API财产监测
企业组织内部应用财产往往缺乏可见性,大量API存在于正常流程和控制之外,很多API分散在多个平台,难以被对立管理。
· 企业每天都会有新业务上线,宁静部门如何第一时间发现、识别新增API,是否有大量的影子API存在?
·短期使用的API或者API老旧版本未能及时下线,宁静部门如何找出这些僵尸API,杜绝潜在危险?
·新API不断上线,存量API也在不断迭代,敏感数据也可能在API当中不断增加,如何监控API中敏感数据的变化?
·API当中流动着大量的敏感数据,如何识别敏感数据的异常访问,如何检测敏感数据泄漏?
·当发生数据泄漏时,如何快速追踪溯源,对相关责任人快速定位?
这些问题同样也是酷家乐关心的问题。极盾·析策支持持续、动态的方式梳理API财产,包括API开放的数量、API的活跃状况、僵尸API、影子API等宁静危险信息,并内置上百个威胁检测模型,可以及时发现API异常访问、数据泄露等问题。
酷家乐利用极盾·析策从事二次开发完成完成对全貌API财产的自动盘点与剖析,包括新增API和废弃API等,让API财产可知可视可管,构建应用宁静防护体。
2、及时企信告警
酷家乐将企业微信接入极盾·析策,基于平台的计谋准则配置告警计谋,指定告警对象,当有攻击发生时,就会及时告警到该指定人员或者群体。
3、自动化相应处置
极盾·析策的自动化处置整个编排框架是由条件节点与多个串联或并联的实行节点组合建立的,条件节点用于定制宁静事件匹配条件;实行节点负责实行满足条件后的实行动作,实行节点一般分为几种,如命令实行类,扫描类、发送消息类,以及更灵活的脚本类。
酷家乐可以根据计谋命中那一刻所对应的宁静事件上下文从事多个节点的宁静编排,灵活定制每一个节点自动化相应的操作来完成自动化相应处置。
极盾·析策作为一款“一站式、体系化”的智能宁静剖析计划平台,可集合包括大容量日记剖析、WAF、IPS、防火墙、DLP、防病毒、SOAR等在内的各类网络宁静产品优势于一体,通过可视化的信息呈现以及宁静计谋的一键调优,真正完成“对立部署、对立管理、对立监控、对立经营”,支撑宁静攻防、人员内控和数据宁静三大场景,让网络宁静日常化,达成可持续经营管控的目标。
宁静赋能业务,创新永不停止。未来,极盾科技将继续助力酷家乐,期待更多的可能性。