在安全形勢不斷惡化的今天,眾多用戶經常面臨網絡攻擊的威脅,雖然用戶的安全管理人員已經在網絡中的各個位置部署了大量的安全設備,但仍然會有高級威脅繞過所有傳統防護直達組織網絡內部,對重要數據資產進行竊取、篡改或破壞,給組織帶來重大損失。
隨著IT系統的快速發展變化,網絡規模和數據量越來越大,基礎網絡架構中邊界越來越“模糊”,傳統依靠于“城墻式的防護體系”與“基于特征檢測的方式”無法有效解決目前安全問題,急需技術與思路解決目前面臨的安全挑戰。
傳統安全體系統中根據業務應用的差異在不同的區域部署相應的防護設備,如網絡出口部署防護墻、入侵檢測,Web服務器區前部署Web防火墻,終端部署管控與殺毒等,但是安全設備之前并沒有相互聯動能力,導致無法協同處置安全問題。
信息化在給企業帶來高效率的同時,也帶來了高風險,對于網絡的安全防護變成了一些必須要進行的工作,并且安全防護的建設是一項持續的工程,每年都需要投入,安全手段的建設都是“默默”的工作,無法體現在業務的收益上,無法直觀的看到,同時由于過去建設過程中針對不同的業務系統進行針對性的防護無法有效的體現出整體安全的提升。
過去的系統建設更多考慮從數據中直接看到結果,在實際業務場景中更多應該由安全分析人員綜合各類系統、工具所產生的結果進行深度分析和綜合研判,過去這類幫助分析人員的分析工具或產品嚴重缺失,造成過度依賴于專家力量,無法形成階梯化的團隊力量,保障整個業務的安全穩定發展。
隨著各行各業大數據技術的有效應用,在攻防對抗的背景下,大數據技術能夠有效改變目前攻防倒置的現象,不僅僅在于大規模數據的存儲與計算,更重要的是如何利用大數據技術中數據挖掘與可視化等技術,服務于日常安全防護業務工作。目前安全行業的廠商在現有產品或系統上依然未能突破過去的思路,未能有效利用大數據技術改造現有的技術與產品。
安全檢測中有效發現QM或XM的可疑行為往往是業務工作的開端,過去的模式往往通過對被監控網絡的流量還原得到會話或文件等內容,然后采用諸如沙箱技術、特征檢測等傳統異常檢測方式,進而發現可疑的異常行為。這幾種常見的檢測方式如下:
1)基于虛擬執行的異常檢測
2)基于行為特征的異常檢測
3)基于黑域名或黑IP的檢測
在異常行為發現環節中,其實需要多種方式的結合,但是如上的方式最大的特點都是需要獲得特定樣本后從其軟件惡意行為、網絡惡意行為或域名行為上來建立特征庫,這就為整個異常檢測工作帶來較大的難度,畢竟樣本的發現和捕獲難度很大,且數量較少。另一方面,這些樣本的獲得往往都需要借助于部署在客戶網絡出口的分布式設備來獲得,整個周期較長,也給類似特征庫的建立帶來了不小的麻煩。同時經常出現網絡已經被入侵較長時間但沒有感知到,被監管單位通報。
在過去業務工作中,更多依賴黑IP/域名進行發現,這些信息往往來自于行業內部的自主發現,外部威脅情報嚴重不足。不僅如此,業務工作中的分析、溯源、拓線等,目前依然依賴本地采集的數據,大部分集中在流量數據等,而威脅方基本都存活在互聯網世界中,缺乏第三方情報數據,包括DNS、Whois、URL、樣本MD5等多種互聯網數據,只能造成業務工作處于被動。
大數據安全解決方案結合多年的安全大數據運營經驗及通過數據分析、人工智能、專家審核生成的高質量的威脅情報,并通過云端數據產生的威脅情報與本地原始數據融合分析提升檢測能力,融合態勢感知技術建設本地的安全感知、預警、響應一體化平臺。
依賴云端海量數據以及不斷運營,實驗室掌握發現了國內最多的APT攻擊組織信息、并不斷的跟蹤相關信息,形成海蓮花(OceanLotus)、摩珂草(APT-C-09)、索倫之眼、人面獅行動等APT報告。所有此類成果都是經過人工確認的準確結果,杜絕了誤報的情況,同時可以依賴于海量數據對攻擊背景做出準確和充足的判定。
無線安全研究院、網絡安全研究院、網絡攻防實驗室、漏洞研究實驗室等以頂尖研究資源為基礎的多個國內高水平安全研究實驗室為未知威脅的最終確認提供專業高水平的技術支撐,所有大數據分析出的未知威脅都會通過專業的人員進行人工干預,做到精細分析,確認攻擊手段攻擊對象以及攻擊的目的。
威脅情報(Threat Intelligence)是一種基于證據的描述威脅的一組關聯的信息,包括威脅相關的環境信息、采用的手法機制、指標、影響,以及行動建議等,如攻擊團體,惡意域名(遠控C&C),惡意文件MD5、URL等相關信息以及威脅指標之間的關聯性和隨時間維度攻擊手法的變化的威脅全貌匯總形成的高級威脅情報。此外情報還包括高級威脅種類的擴充(APT、木馬遠控、僵尸網絡、間諜軟件、Web后門等)。
態勢感知與安全運營平臺是基于威脅情報和本地大數據技術,對用戶本地的安全大數據進行快速、自動化數據分析,全方位監測、發現威脅和異常、快速處置與響應,并針對安全事件進行深入調查的平臺。同時,通過可視化技術將企業總體安全態勢呈現給用戶。并且能在日常的安全管理工作中提供各類工具,幫助提升安全運維效率。
在平臺架構上,態勢感知與安全運營平臺分為數據采集,大數據存儲與檢索、數據分析引擎工具、安全應用、態勢感知多個層面,再結合多年積累的云端威脅情報,提升本地的檢測能力。
本地平臺可以與終端響應與檢測(EDR)、網絡響應與檢測(NDR)配合,拓展網絡與終端的傳感器,將網絡流量與終端文件級、進程級數據進行匯總分析與協同響應。將威脅情報與數據的能力貫穿監測與防御體系,達到智慧協同。
大數據安全解決方案為依托威脅情報技術、本地大數據存儲技術、快速搜索技術、流式引擎關聯技術和可視化分析回溯技術對用戶本地的安全數據進行快速、自動化的關聯分析,及時發現本地的威脅和異常,同時通過圖形化、可視化的技術將這些威脅和異常的總體安全態勢展現給用戶,并結合EDR、EDR技術形成本地的檢測發現、應急處置、調查分析的閉環安全防護系統,形成本地安全管理運營的“大腦”與智慧協同平臺。
分析平臺、規則引擎、流量傳感器、日志采集器,支撐所有應用;流量傳感器、日志采集器與分析平臺支持多對一模式,可支持多級部署;分析平臺預置私有云存儲模式,可輕松實現水平擴展;旁路部署,實施簡單,對客戶網絡環境無影響。
本方案適用于政府、金融、能源、運營商、央企、其他大型企業等單位。
電話:0755-83988788
E-mail:service@xinyunan.com
地址:深圳市南山區粵海街道科技園中區科苑路科興科技園B棟一單元701
2016 ? All Rights 深圳市鑫云安開發科技有限公司 粵ICP備16122491號