万象（COSMOS）发布，新型态势感知实现人与平台高度互动

01 从合规建设到攻防实战

随着外部形势的要求和内部发展的需要，企业愈加重视实际安全效果，攻防演练、红蓝对抗这类以实战为前提的验证手段备受企业青睐。以近几年全国攻防演练为例，通过实战演练可以检验企业安全建设各个环节的薄弱点，也能锻炼蓝队人才的实战能力。但随着实战验证手法的普及，有两类问题随之暴露出来：

蓝队人员缺失实战能力，监测、预警、处置无从下手。

“我也不知道红队会怎么攻击我？会用哪些工具、手法，进入内网都会做哪些事情？我也不知道该做什么应对。”

实战更注重效果，现有的建设标准无法应对实战考验。

“以前只关注漏洞，安全设备没啥要求，稳定性第一，但是我也不确定能不能拦住攻击。”

以安全产品需求为例，企业前期选择产品可能基于合规要求或能力需要，但是在维护阶段由于精力不足、能力跟不上、没有经验等原因，产品能力最终往往无法达到预期。

实际情况是，维护安全产品的难度及工作量远远被低估，最终导致企业丧失对应的安全能力。

02 人与平台高度互动解决方案

长亭一直深入攻防“战场”，熟知上述问题需通过“人+平台”的思路来解决。

近几年长亭作为红队多次拿到好成绩，站在红队视角评估：企业不仅需要产品提供的能力，还需要考虑人员应具备的能力。与此同时，长亭也作为蓝队深入参与企业的实战安全建设工作，建设阶段按照潜在攻击路径、风险场景结合纵深防御的思想将安全产品部署到网络环境中，并做好第一阶段调优工作。

然而到目前为止，长亭仅仅是通过“人”解决了上述的问题，但还没有达到常态化的标准。“平台”的落地建设至关重要，通过“平台”可以实现：

• 大数据能力：统一收集数据意味着只需要在一个平台分析，就能获取更宏观的安全态势，同时多源的数据分析，有可能提高分析能力。

• 数据处理能力：以安全KPI为标准，可以建立监测和预警指标，聚焦关注重点。

• 拓展能力：处置流程标准化、自动化，提高安全运营效率。

总而言之，常态化需要充分考虑企业现有资源。面对高要求的实战考验和有限资源的困境，合理的平台建设是可行的解法之一。

03 万象（COSMOS）安全分析与管理平台发布

基于多年的攻防实战经验，长亭以人与平台高度互动的方法解决实战常态化问题，利用数据驱动安全，助力安全运营全面实现自动化。

以下通过最佳实践，展现一个从实战角度出发的新型态势感知平台如何切实落地，正面解决企业安全问题。

近几年攻防演练活动覆盖了众多行业，除了部分行业头部企业有比较大的安全团队之外，大多数甲方的安全团队规模基本都在5人以下。人数不足的情况下，他们也需要经受实战的考验。

以某客户为例，安全典型的特点和现状：

• 仅有3～4名安全岗人员（包含外包）；

• 安全产品至少10个品类，数量30以上；

• 大多数安全产品因为大量误报无法维护。

该客户日常安全工作较为零散，除了以合规为主的工作外，需要在攻防演练期间监控安全设备状态，同时还要跟踪漏洞的修复情况。通过沟通和调研发现，实际上真正在用的安全产品很少，串联设备以稳定性为主，由于安全人员不具备分析能力，产品检测能力几乎是无视状态。

在经历几年实战演练的考验后，客户希望能够通过平台解决以下问题：

• 安全分析问题：现有的安全设备误报太多，没有精力逐一分析；

• 自动化封禁问题：仅依赖于WAF、IPS的能力封禁，可能存在漏报问题，需要更灵活的封禁能力；

• 资产分析可视化问题：仅仅有安全事件（日志），但是无法了解到资产的风险、遭受的威胁态势等；

• 研判处置问题：潜在安全隐患或漏洞问题只能通过人推动，效率极低；

• 统一监控问题：日常安全运营指标或实时监控指标无法统一监控，需要在不同设备查看或手动统计。

安全分析

万象（COSMOS）具备灵活的数据接入能力，通过数据采集探针收集现有的所有安全设备日志，经数据泛化等流程后，由数据平台统一管理，经统计每日安全日志数大约20万左右。长亭安全运营人员通过日志分析以南北向拦截、南北向透传、东西向移动、疑似失陷四个维度建立安全分析模型，模型通过万象（COSMOS）的实时分析引擎和离线分析引擎执行并产出结果，分析事件转化效率显著，每日安全日志大约800以内。最终通过有效的建模提升分析转化率，极大的降低分析工作量。

自动化封禁

经调研，基于性能考虑，平台最终选择边界防火墙作为封禁设备。万象（COSMOS）通过自动化编排能力开发自动化封禁功能，适配多个品牌的防火墙设备，同时实现独立的维护功能，可以根据不同边界防火墙实现个性化管理。实际使用时，平台通过整体安全数据，建立自动化封禁模型实现定制化的自动化封禁，进一步提高防护能力。

资产分析可视化问题

分散的安全日志无法有效的展示资产的风险情况，围绕资产做安全无从下手。经过数据统一接入，万象（COSMOS）通过WAF、IPS、全流量、HIDS等安全产品的数据获得相应资产的网络、系统、应用软件、安全事件、漏洞等信息，建立资产分析模型获取相关安全事件，供运营人员进一步研判风险，同时也能够支撑安全分析、脆弱性可视化。

研判处置问题

万象（COSMOS）的扩展性能够确保将企业相关的流程嵌入到平台中，通过对接客户的工单系统最终打通从安全风险到研判确认、修复跟踪，无需再通过多个平台操作。

统一监控问题

基于前期工作的落地，客户最终希望能够监控到安全事件、资产风险等数据的实时转化，通过实时的数据大屏可以监控到关键安全指标，更有效的评估安全工作的落地情况。

万象（COSMOS）安全分析与管理平台通过大数据能力实现安全数据统一管理、安全风险数据集中分析、安全运营自动化编排、风险场景可视化呈现等核心功能。

 

平台基础能力

 

• 汇聚各类安全数据：基于数据驱动安全理念，万象（COSMOS）支持融合多源异构的企业安全数据，能够主动、被动获取数据，具备实时大数据处理能力。

• 建立企业安全数据中心：支持多种存储数据结构的维护管理、扩展编辑，用户可持续扩展接入数据的管理结构，支撑上层风险分析、可视化应用。

• 多源风险分析：内置实时流式分析、离线周期分析和离线手动分析三大分析引擎，帮助用户在理解数据的基础上，通过内置分析能力或可配置分析工具，快速获取风险分析能力，输出高可信告警。

平台应用能力

 

万象（COSMOS）在核心架构的基础上，构建N+应用中心，包含告警中心、安全监测中心、资产数据中心、威胁情报中心、安全自动化编排中心等，为企业不同安全业务提供更多保障。

在日常安全管理方面，针对实际资产管理痛点，万象（COSMOS）建立了集中的资产数据中心，汇聚多源异构的资产数据，通过配置接入规则，调整属性粒度优先级，实现自动化的资产初始数据构建。平台能够主动和被动发现资产，结合资产研判流程，发现未知资产、补充已知资产属性，快速解决资产数据分散难题，实现高效的资产日常运维管理。

在安全风险研判及处置方面，万象（COSMOS）结合实际工作流程，建立了可配置的安全编排及自动化响应能力中心，串联多种自动化安全分析及处置手段，降低安全运营成本。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！