安全态势感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对流量实现业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在威胁入侵之后,损失发生之前及时发现威胁。 企业和组织对自身业务及其对应的安全威胁的感知与发现能力不足,是网络安全问题不断、安全响应和处置严重滞后的关键短板。
看不清业务
随着互联网、移动互联网、物联网、大数据、云计算等技术的发展,IT已经由过去的业务支撑部门转变为引领组织业务持续发展的重要驱动力。IT业务的快速发展给IT部门提出了快速上线、快速更新的要求,也给IT资产的管理提出了更高的挑战。无法保证安全的交付业务、无法及时发现资产、无法及时找到安全弱点,成为了IT风险管理的重要问题。业务应用的复杂性使得IT人员很难梳理业务系统之间的互联与访问关系,IT应用关系的不可视直接导致安全难以定义和落地,成为业务安全的挑战。
看不清的新增资产产生安全洼地
看不清的业务关系使业务安全防护失效
缺乏有效手段主动识别新增业务
看不见内网潜藏威胁
近年来,来自外部的攻击手段也变得更高级、更迅速、更隐蔽。IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊;APT、0-day病毒、0-day漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的******手段;而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。
看不见的内部横向攻击
看不见的违规操作
看不见的异常行为
看清业务
1、对业务系统核心资产进行识别,梳理用户与资产的访问关系;
2、对业务资产存在的脆弱性进行持续检测,及时发现业务上线以及更新产生的漏洞及安全隐患;
3、通过业务识别引擎主动识别新增业务资产以及业务访问关系;
看见内网潜在威胁
1、对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足;
2、对内部重要业务资产已发生的安全事件进行持续检测,及时发现已发生的安全事件;
3、对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失;
4、将风险进行可视化的呈现,看到全网的风险以实现有效的安全处置。
通过潜伏威胁探针、安全感知可视化平台、安全厂商安全服务云平台构成持续检测快速响应的技术架构:
潜伏威胁探针:
在核心交换层与内部安全域部署潜伏威胁探针,通过网络流量镜像在内部对用户到业务资产、业务的访问关系进行识别,基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别。
安全感知平台:
在内网部署安全感知平台全网检测系统对各节点安全检测探针的数据进行收集,并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产的攻击与潜在威胁;并通过该平台对现网安全系统进行统一管理和策略下发。
安全服务云:
通过安全厂商云平台,提供未知威胁、威胁情报、在线咨询、快速响应等安全服务。
业务资产可视化
主动识别资产:通过安全检测探针可主动识别业务系统下属的所有业务资产,可主动发现新增资产,实现业务资产的有效识别;
资产暴露面可视化:将已识别的资产进行安全评估,将资产的配置信息与暴露面进行呈现,包括开放的端口、可登录的web后台等。
全网业务访问关系可视化
业务系统访问关系:通过访问关系学习展示用户、业务系统、互联网之间访问关系,通过颜色区分不同危险等级用户、业务系统,可视化的呈现以识别非法的访问;
业务系统应用及流量可视化:业务系统的应用、流量、会话数进行可视化的呈现,并提供流量趋势分析。
内部攻击可视化
内部横向攻击行为检测:对越过边界防护,或以内部主机为跳板的横向攻击,进行实时检测与报警,包括对内扫描、对内利用漏洞进行病毒传播、对内进行L2-7的攻击行为等。
违规操作可视化
违规访问行为检测:结合全网的资产及访问关系可视,将违规访问业务系统的行为进行可视化的呈现,防止进一步可能存在的攻击,并向管理员预警。
异常行为可视化
业务资产异常行为检测:包括业务资产在非正常时间主动发起的请求、业务主动向外发起非正常请求(如DNS请求)等异常行为预警可能存在的安全威胁;
潜在风险的访问路径:将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路径进行预警,帮助管理员及时响应安全事件并进行安全策略调整。
全网安全态势感知
整体安全态势:结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价,以业务系统的视角进行呈现,可有效的把握整体安全态势进行安全决策分析;
全网态势感知:展示内网服务器被外网攻击的实时动态图,实现全网安全攻击态势大屏展示;
有效的攻击事件:通过旁路镜像的方式可将攻击回包状态进行完整的检测,结合业务系统的漏洞信息,可以识别攻击成功的有效安全事件;
失陷业务系统/资产:通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击,并将资产存在的后门进行检测,并向管理员告知已失陷的安全事件;
安全事件关联分析:将下一代防火墙及安全检测探针的安全事件进行关联分析,结合黑客攻击链进行关联分析,并确定更加高级的安全威胁。
场景1:潜伏威胁检测场景
对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足
对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失
对业务系统核心资产进行识别,梳理用户与资产的访问关系
场景2:安全检测场景
将风险进行可视化的呈现,一旦发生安全事件,能够快速定位出哪个分支还是总部的问题
看清分支安全状况,提高分支安全意识,防止分支机构安全成为短板
自动发现资产变更,及时部署安全策略,封堵业务资产存在的安全隐患
......