Solution解決方案
信息安全防泄密方案 分支互聯|應用發布 網絡安全準入|應用交付 網絡優化運維解決方案 云安全 移動安全 終端安全 數據中心安全 Web安全 網絡邊界安全 大數據安全

深信服全網安全感知平臺方案

TIME:2018-06-01 ? click: 180 次

網絡安全現狀

根據Verizon的全球安全事件調查報告顯示,不計算前期偵察與信息獲取的過程,攻擊者從實施攻擊到入侵得手僅需要花費數小時的時間。但是62%以上的安全部門需要花上數周甚至超過一個月的時間才能發現黑客攻擊,隨后還需要數天至數周的時間完成響應和補救工作。

Mandiant更新的高級安全威脅報告中指出,企業或組織需要發現潛藏攻擊者的平均時間為229天,更為嚴重的是,僅有33%的企業或組織是自行發現攻擊事件的,更多的攻擊事件是在被監管機構通報、曝露在暗網甚至是互聯網上以后才被發現。

Ponemon Institute針對全球252個機構的1928起攻擊事件的統計發現,攻擊事件的平均解決時間為46天,而每延遲發現和解決攻擊事件一天的成本高達21155美元。針對目前的安全現狀,權威機構Gartner更是大膽指出,到2020年,企業安全部門應該將60%的預算投資到安全檢測與響應中來,以應對日趨復雜的網絡安全環境。

深信服認為,企業和組織對自身業務及其對應的安全威脅的感知與發現能力不足,是網絡安全問題不斷、安全響應和處置嚴重滯后的關鍵短板。

深信服安全感知平臺方案

         深信服安全感知平臺方案是一套基于行為和關聯分析技術對全網的流量進行安全檢測的可視化預警檢測平臺。方案設計體現適用性、前瞻性、可行性的基本原則,實現安全效果可評估、安全態勢可視化。主要有以下技術特點:

看清業務

         1、對業務系統核心資產進行識別,梳理用戶與資產的訪問關系;

         2、對業務資產存在的脆弱性進行持續檢測,及時發現業務上線以及更新產生的漏洞及安全隱患;

    3、通過業務識別引擎主動識別新增業務資產以及業務訪問關系;

 

看見內網潛在威脅

4、對繞過邊界防御的進入到內網的攻擊進行檢測,以彌補靜態防御的不足;

         5、對內部重要業務資產已發生的安全事件進行持續檢測,即時發現已發生的安全事件;

         6、對內部用戶、業務資產的異常行為進行持續的檢測,發現潛在風險以降低可能的損失;

         7、將全網的風險進行可視化的呈現,看到全網的風險以實現有效的安全處置。

方案架構

         通過潛伏威脅探針、全網安全感知可視化平臺、深信服安全服務云平臺構成持續檢測快速響應的技術架構:

n  潛伏威脅探針:在核心交換層與內部安全域部署潛伏威脅探針,通過網絡流量鏡像在內部對用戶到業務資產、業務的訪問關系進行識別,基于捕捉到的網絡流量對內部進行初步的攻擊識別、違規行為檢測與內網異常行為識別。

n  安全感知平臺:在內網部署安全感知平臺全網檢測系統對各節點安全檢測探針的數據進行收集,并通過可視化的形式為用戶呈現內網業務資產及針對內網關鍵業務資產的攻擊與潛在威脅;并通過該平臺對現網所有安全系統進行統一管理和策略下發。

深信服安全服務云:通過深信服云平臺,提供未知威脅、威脅情報、在線咨詢、快速響應等安全服務。

 

安全感知平臺方案特性

n  全網業務資產可視化

         主動識別資產:通過安全檢測探針可主動識別業務系統下屬的所有業務資產,可主動發現新增資產,實現全網業務資產的有效識別;

         資產暴露面可視化:將已識別的資產進行安全評估,將資產的配置信息與暴露面進行呈現,包括開放的端口、可登錄的web后臺等。

 

n  全網業務訪問關系可視化

         業務系統訪問關系:通過訪問關系學習展示用戶、業務系統、互聯網之間訪問關系,通過顏色區分不同危險等級用戶、業務系統,可視化的呈現以識別非法的訪問;

         業務系統應用及流量可視化:業務系統的應用、流量、會話數進行可視化的呈現,并提供流量趨勢分析。

 

n  內部攻擊可視化

內部橫向攻擊行為檢測:對越過邊界防護,或以內部主機為跳板的橫向攻擊,進行實時檢測與報警,包括對內掃描、對內利用漏洞進行病毒傳播、對內進行L2-7的攻擊行為等。

 

n  違規操作可視化

違規訪問行為檢測:結合全網的資產及訪問關系可視,將違規訪問業務系統的行為進行可視化的呈現,防止進一步可能存在的攻擊,并向管理員預警。

 

 

n  異常行為可視化

         業務資產異常行為檢測:包括業務資產在非正常時間主動發起的請求、業務主動向外發起非正常請求(如DNS請求)等異常行為預警可能存在的安全威脅;

         潛在風險的訪問路徑:將可能失陷的終端對業務系統的訪問路徑、存在異常流量及行為的終端/服務器的訪問路徑進行預警,幫助管理員及時響應安全事件并進行安全策略調整。

 

n  全網安全態勢感知

         整體安全態勢:結合攻擊趨勢、有效攻擊、業務資產脆弱性對全網安全態勢進行整體評價,以業務系統的視角進行呈現,可有效的把握整體安全態勢進行安全決策分析;

         全網態勢感知:展示內網服務器被外網攻擊的實時動態圖,實現全網安全攻擊態勢大屏展示;

有效的攻擊事件:通過旁路鏡像的方式可將攻擊回包狀態進行完整的檢測,結合業務系統的漏洞信息,可以識別攻擊成功的有效安全事件;

         失陷業務系統/資產:通過外發異常流量、網頁篡改監測、黑鏈檢測等檢測技術確定業務系統/資產是否已被攻擊,并將資產存在的后門進行檢測,并向管理員告知已失陷的安全事件;

         安全事件關聯分析:將下一代防火墻及安全檢測探針的安全事件進行關聯分析,結合黑客攻擊鏈進行關聯分析,并確定更加高級的安全威脅。

 

我們在客戶全網發現的攻擊

非法接入數據庫

潛伏威脅探針識別出公司的數據庫服務器正在接受來自辦公區一臺電腦的頻繁訪問,該電腦并沒有接入數據庫的業務需求。潛伏威脅探針的分析結果顯示這些訪問傳輸的數據大部分為高密級數據。對關鍵數據和數據庫結構的非法訪問是內網遭受攻擊的一個明顯信號。

內網端口掃描

潛伏威脅探針發現公司內網的一臺電腦正在向內網IP段進行端口掃描,似乎在偵測內網特定服務端口。這臺電腦是一臺蘋果電腦,但是安裝了舊版本的Windows操作系統,從過往行為來看該電腦的日常工作不需要進行端口掃描操作。更終發現該電腦已經被黑客控制,并在進行進一步滲透前的偵測行為。

異常內部文件傳輸

在分支機構的其中一臺電腦從共享空間上持續下載了1GB的共享文件,從過往的行為模型看該用戶間或會從共享文件夾下載文件,而如此大的下載量是首次。該異常行為提醒管理部門重新審視員工的合法接入權限。

勒索軟件感染

某天早上公司一位內網用戶訪問了一個歸類為惡意鏈接的網站,從該網站下載的可執行文件繞過了邊界防病毒引擎和沙箱的檢測。幾小時后,潛伏威脅探針發現該用戶電腦有針對網絡共享文件夾以及網絡共享的文件系統進行大量的讀寫操作,稍后的響應和取證證實該用戶遭受了勒索軟件的攻擊。

與僵尸網絡相關的遠程控制接入流量

潛伏威脅探針發現網絡中其中一臺電腦正在使用遠程接入工具(RAT),而該工具與知名的僵尸網絡Zeus相關。很明顯這是一個僵尸網絡中毒事件。Zeus是專門針對金融機構的僵尸網絡,專門竊取銀行賬號及信用卡信息。該病毒通過變種、加殼、rootkit、沙箱逃逸的方式躲過了眾多邊界防御措施。然后潛伏威脅探針通過全網行為異常監控發現了這一僵尸網絡感染事件。

福彩3d走势图2012