安全态势感知之产品篇：带你全面了解华为HiSec Insight安全态势感知系统

HiSec Insight产品简介及架构

近年来社会各行各业均在向数字化转型，整个社会由传统的工业社会向数字社会的演进也在加速。数据成为数字社会的核心，网络安全与数据安全也成为了国家安全的重要组成。面对数字社会的变化与挑战，业界对安全威胁检测防御的思路已经发生了巨大的变化，认识到需要从过去单一设备、单一方法、关注威胁单一阶段、实时性检测演进到形成网络全景安全感知、运用动态综合技术方法、建立纵深防御的体系，各行业亟需安全整体态势技术抓手，因此基于大数据、智能威胁检测技术的华为HiSec Insight安全态势感知系统应运而生。HiSec Insight基于华为Fusion Insight大数据平台构建了分层解耦的架构体系，包括数据采集层、数据层、安全分析层和业务应用层。

数据采集层：

为HiSec Insight态势感知系统提供全面、高效采集能力，包括网络/安全/终端/数据库等设备的日志和流量，并将Syslog日志和Netflow等类型日志、以及检测流量进行采集和归一化处理，上报给大数据平台。

数据层：

Fusion Insight是华为企业级大数据存储、查询、分析的统一平台，能够快速构建海量信息处理系统，对巨量信息实时与非实时的分析挖掘。大数据平台HiSec Insight态势感知系统提供了分布式处理能力，建立大容量的存储、分析查询和实时流式数据处理分析能力，以及安全大数据智能检索能力。

智能分析判定层：

基于多种数据源进行分析，流量元数据，用于C&C检测、隐蔽通道检测、Mail检测等；日志用于日志关联分析；Netflow用于流量异常分析；在Mail异常、隐蔽通道异常检测中，结合文件信息，帮助判断是否异常。以时间、空间、IP等信息为关联，HiSec Insight系统将单点异常事件进行关联并综合评估，得出攻击链，并进行高级威胁判定。

应用层：

态势感知将全网检测的资产、漏洞以及威胁事件进行整体态势呈现用于整体的风险把控。威胁事件通过安全响应编排进行自动化调查取证、联动响应，实现威胁事件处置闭环。

云端服务：

另外，华为安全智能中心从全球采集恶意样本，分析转化形成安全特征库，形成积极主动的安全防御体系，定期及时的为现网产品提供特征库升级服务。

云网安一体化方案以及客户价值

全球疫情促使数字经济提速，更多的社会生活和经济活动从线下转向线上，由此催生的新应用将会驱动通信技术、智能技术、云计算、大数据、边缘计算等新技术规模应用，成为世界信息产业发展的新动力，为使能各行业走向真正云-网-安全一体化，更好地发挥ICT整体解决方案优势加速数字化转型，华为HiSec Insight作为建设云网安联动、主动防御、智能闭环的网络安全体系中重要一环，提供“检测智能化、处置立体化、生态多样化、平台可信化”的安全新四化能力。

检测智能化：

HiSec Insight通过主动网络扫描方式获取资产状态以及漏洞情况、失陷情况便于用户对全网资产进行统一梳理管控；采用多种关键技术提升检测准确率的多维IPS检测引擎和远高于业界平均水平的12000+签名以保证已知威胁的准确高效检出；通过覆盖全攻击链的智能威胁检测算法和全面的metadata元数据有效支撑恶意攻击行为和未知威胁的检出；同时运用智能算法+大数据技术结合用户实体行为分析（UEBA）从海量数据中快速关联异常行为，快人一步检出威胁。

华为将智能检测能力贯穿至整个攻击链的威胁检测，从渗透、命令与控制、内部扩散以及数据窃取各个阶段进行关联分析，精准识别、主动发现未知通信威胁；文件沙箱经过静态检测、启发式检测、虚拟执行检测、智能检测四重纵深检测，支持50+文件类型，分钟级全面识别未知恶意软件，准确性高达99.5%以上，帮助用户准确识别安全风险。

处置立体化：

同时HiSec Insight融入云网安联动解决方案，将分析检出的威胁对象通知控制器和执行器，形成网络与安全的联动闭环，通过自动化响应编排能力（SOAR）对多种业务场景的威胁事件结合网络+终端+威胁信息进行攻击确认，并自动调查取证和联动响应，帮助用户实现威胁自动高效阻断隔离和分钟级事件处置闭环。

HiSec Insight支持四种云网安联动方式，包括：联动1，与安全产品能力联动实现阻断隔离；联动2，网络安全协同防御，实现基于网络设备的阻断隔离；联动3，EDR终端闭环防御联动；联动4，HiSec Insight快速同步沙箱恶意文件信誉的本地信誉联动。

生态多样化：

为了解决安全体系割裂、打破各厂商各自使用独立的安全防护体系边界，华为HiSec Insight构建了采用基于统一数据规范的分层解耦架构和成熟标准的Restful北向接口体系，方便多厂商应用/引擎共享数据，通过对接丰富的第三方系统来增强检测能力，并能向其他业务系统提供分析结果和原始事件，从而聚合多厂商能力、端到端开放融入整体安全体系。目前通过HiSec Insight通过华为安全生态联盟已经对接与数十家厂商设备形成融合解决方案，包括第三方设备、蜜罐系统、EDR、漏洞扫描、管理平台、业务系统等。

平台可信化：

安全产品自身的安全可信同样是重中之重，安全产品的漏洞使得攻击者更加容易得手，护网活动期间部分安全设备爆出的漏洞可见一斑。HiSec Insight遵循华为安全可信的技术与实践，通过安全启动验证程序完整性；对操作系统&大数据平台化进行国产化与安全加固；对开源及三方软件进行体系化管理；对产品进行全生命周期的可信安全管理；以及无漏洞、整洁、架构优雅和持续演进的CleanCode编码，多层面构筑产品的安全可信。

成功案例

HiSec Insight已经在政府、安平、能源、金融、教育大企业信息安全等场景为1000+客户提供了态势感知解决方案。

▶ 某电网公司，提升整体网络全防护水平

通过建设网络安全态势系统，提高了某电网电力调度数据网、综合数据网的网络安全防护水平。打造全方位立体化网络安全防护体系，实现针对电力监控系统、管理信息系统的全面、实时的网络安全态势感知预警，及时发现各类网络安全风险以及非法访问事件。部署完成后，检测的文件总数超过千万，识别潜在网络威胁事件15000+，发现威胁资产60+，阻断攻击C&C服务器20+，极大的降低了遭受APT攻击的风险，持续保障客户网络信息资产安全。

▶ 某市大数据局客户，构建全景威胁态势感知能力与安全技术抓手

通过态势感知系统建立了全市重要信息系统信息安全状况的宏观威胁感知能力，提升突发事件应急的业务保障和协同能力，实现了支持未知高级威胁及时发现和威胁事件智能分析取证，威胁情况信息辅助追踪溯源。上线一个月后在检测能力方面表现优异，尤其IPS、XSS攻击、信息泄露能力用户评价经准确≥99%。智能算法挖掘C&C、DGA域名访问等高级未知攻击事件43起。

2021年

让我一直保护你

↓↓↓

点击阅读原文，了解更多华为安全内容