智能安全分析決策管理平臺產品簡介
一、智能安全分析決策管理
“數據驅動安全”是更符合當今時代的安全理念——“數據”是基礎,安全威脅往往隱藏在海量數據之中,擁有海量、多維及持續的數據是后續進行安全分析和挖掘的基礎;“驅動”是手段,現今基于海量多維數據的存儲、計算、分析、挖掘及可視化能力,是對基于特征碼等過時安全技術的顛覆;“安全”是目標,只有將大數據及處理技術應用于安全攻防領域,結合安全專家的知識與經驗,才能真正幫助業內從傳統安全防護思路的困境中順利走出。
“智能安全分析決策管理”能貫穿安全風險監控、分析、響應和預測的全過程,以威脅、風險、資產、業務、用戶等為對象,基于安全日志、網絡流量、用戶行為、終端日志、業務數據、資產狀態等多源數據,結合外部情報,通對全局狀態評價、外部攻擊評級、系統合規自檢等手段,實現“事態可評估”;通過對攻擊趨勢分析、異常流量判斷和終端行為檢測,實現“趨勢可預測”;通過對未知威脅的智能檢測識別、流量/行為/資產的狀態監控和多維度風險分析,實現“風險可感應”;通過對攻擊溯源取證、工單流程閉環處理和設備策略自適應調整,實現“知行可管控”。
“安全管理管得好,安全事件應急處置急得起”,平臺是一款真正基于大數據、機器學習、模式識別等技術的安全威脅感知、主動安全防御的智能統一平臺。建設網絡安全威脅感知聯協調指揮平臺,實現對重點信息系統的網絡安全的威脅覺察、跟蹤溯源和關分析,全面掌握網絡安全態勢、威脅、風險和隱患,實時監測漏洞、病毒木馬、網絡攻擊情況,形成網信部門和其他職能部門協調聯動的網絡安全監測預警處置工作機制,及時向各單元組織和監管部門通報重大網絡安全威脅。
1) 攻擊行為分析
通過對各探針采集的實時數據流進行關聯分析,包括網絡流量安全事件、日志安全事件、資產、安全信息配置、內網IP地址段等信息之間采用基于規則、基于統計、基于資產的關聯方法,綜合分析安全告警,深度挖掘安全隱患、判斷安全事件的嚴重程度。
2) 失陷主機分析
異常主機是指該主機已經被惡意程序所控制,成為僵尸主機、進行惡意挖礦行為或者進行DNS隱蔽通訊。
3) 歷史數據分析
通過對各時間段的歷史的被攻擊情況、違規情況和失陷事件等數據進行關聯,并進行威脅趨勢的統計,綜合評定主機的整體風險情況。
4) 安全態勢分析
從整體上動態反映網絡安全狀況,并對網絡安全的發展趨勢進行預測和預警。借助大數據技術特有的海量存儲、并行計算、高效查詢、數據分析等特征手段,對全網的資產進行運行數據與日志數據等信息進行自動分析處理與深度挖掘,對網絡的安全狀態進行分析評價,感知網絡中的異常事件與整體安全態勢,并利用大屏幕展示感知信息。大屏展示需要如下:安全總覽大屏、網絡實時狀況大屏、安全實時狀況大屏、業務實時狀況大屏、資源狀況大屏。
5) 可視化分析
支持豐富的交互式可視化分析手段,通過直觀且可交互下鉆的圖表,幫助安全分析人員簡便快捷發現難于發現的威脅和風險。支持包括:關聯關系可視化分析、網絡行為透視可視化分析、事件可視化分析、行為可視化分析、攻擊鏈可視化分析等幾十種多種可視化分析方法。
可信交換防御
1) 自主流量建模
自動獲取網絡中的流量信息,判斷各類網絡資產之間的業務數據流量關系。通過一個階段的東西向流量的自學習,并將這些信息匯總后,由策略計算繪制出一個完整的業務流模型圖,輔助管理者對整個內網進行管理。
技術細節:
1. 在自學習過程中,會根據識別策略列出相應的訪問源/目的IP、端口號、數據流向;
2. 流可視化:管理者通過該模型便可快速掌握網絡中整個信息資產的邏輯應用關系圖,該模型會將可信訪問的主客體全部展現在管理者面前。
2) 全息誘捕
采用獨有的專利技術——全息誘捕技術,可以在四層網絡中虛擬出大量的虛擬IP和端口,從而形成海量高密度的陷阱主機,當攻擊者訪問陷阱主機超過設定的次數時,將該IP認為非可信客體。
技術細節:
1. 自動批量生成虛擬IP,并在IP上開啟常用端口:138、139、445、1431、1521、3389。生成的IP范圍、數量可自定義;
2. 自動生成的IP及端口號可訪問,形成誘捕陷阱主機群,與真實主機混雜;
3. 當誘捕陷阱主機群被訪問超過一定閥值后,判定改源IP為非可信IP。 閥值默認為4次,可自定義;
4. 可以通過旁路模式部署進行誘捕檢測模式。在此模式下,微隔離功能失效。
3) 南北、東西向微隔離
通過自主流量建模后,會根據可信訪問列表建立基于白名單的訪問控制策略。把普通區域、重點區域等各種邏輯網絡進行隔離,避免了不安全因素的擴散,只有合理的劃分了網絡區域,安全策略也可以更有效的實施。
技術細節:
1. 訪問控制策略基于五元組的白名單模式,只允許某IP訪問某IP的某個端口,其他皆不允許;
2. 管理員可對策略進行自定義調整:添加、開啟、關閉、對五元組進行調整、重構。
4) 異常訪問攔截
通過全息誘捕技術將非可信IP捕獲后,會立即對其進行攔截動作。
技術細節:
1. 會立即攔截全息捕獲的非可信IP,阻止其訪問真實主機;
2. 不會攔截非可信IP繼續訪問陷阱主機,繼續讓非可信IP對陷阱進行各種操作,不讓非可信IP有所察覺,留存更多痕跡以便進一步觀察和判斷;
3. 通過旁路方式部署時,可以與第三方主流交換機進行聯動,當誘捕到非可信IP后,主動推送ALC到第三方交換機進行攔截、阻斷。
5) 攻擊防御
內置了完善的2—7層攻擊防御模塊,基于攻擊特征的檢測技術對經過系統的流量進行過濾,實時發現并攔截各種已知的攻擊:系統漏洞利用、Web應用攻擊、蠕蟲木馬等等。
為客戶定位各種網絡威脅,以及違反安全策略的流量,并提供詳實、有效的指導措施,進而實現防護—檢測—響應一體化的解決方案。
6) 引流功能
可以將來自內網和外網的流量引流至第三方交互式蜜罐或其他安全檢測設備,以便進一步分析可疑流量。通過此種方法,無需用戶在網絡中部署大量的交互式蜜罐,可以大大降低部署交互式蜜罐的人力、物力和財力成本。
7) 基礎網絡功能
VLAN功能:支持4K個VLAN;支持基于端口的VLAN。
IP路由:支持靜態路由。
端口匯聚:支持多協議的端口捆綁策略。
旁路部署:支持旁路流量鏡像監聽。
支持SNAT和DNAT的地址轉換。
支持全局訪問控制。
主機網絡安全行為感知
綜合安全攻擊識別引擎傳輸病毒識別部分、內網可疑主機識別引擎及網絡異常行為識引擎三大技術為一體,以等保要求及內網安全管理最佳實踐為方法論,對內網安全提供傳輸,潛伏及事中的安全風險的識別,是內網安全管理有效輔助平臺。
安全基線
隨著企業應用的快速變化與迭代,由此帶的運維過程中服務器的不斷變化,給安全管理帶來的困擾。隨時確認系統的配置狀態是否附合企業安全方針與策略,是確認服務器安全的關鍵所在。基線審查模塊基于等保主機的核查規則,但不限于等保,企業可基于自身的安全策略,定義基線審查規則,agent自動化核查主機配置情況,并可以與人員進行KPI綁定,形成報告,確保安全策略落地。
漏洞監控與管理
防范于未然,先于黑客發現問題,解決問題,是安全管理中非常重要的舉措,可以有效的防止黑客的入侵行為。漏洞管理模塊通過掃描引擎,可以對數據庫、操作系統、WEB應用及弱密等進行掃描,快速撐握主機中存在脆弱點,能夠降低與緩解主機中的漏洞造成的威脅和損失。
安全運營報告
安全關鍵功能清單
平臺基礎模塊 | |
平臺基礎模塊 | 統一門戶 |
帳權管理 | |
安全威脅防御及安全數據采集模塊 | |
安全威脅防御及安全數據采集模塊 | Web探針,檢測Web攻擊、Webshell:對各類Web應用類攻擊如SQL注入、XSS跨站、遠程命令執行……等進行實時防御和數據采集 |
入侵檢測探針,偵測漏洞利用及僵木蠕檢測,并進行實時防御和數據采集 | |
全息誘捕探針,通過誘捕,檢測淪陷及僵尸主機,并進行數據采集 | |
數據處理 | 對安全數據、日志進行收集、存儲、查詢。。 |
數據檢索 | 1. 支持全文檢索功能。 2. 支持實時的搜索效果。 3. 支持檢索條件的載入、保存,靈活、復雜的條件過濾。 4. 支持基于時間點、時間段檢索。 5. 支持數據字段、事件字段的列表展示,支持字段別名功能。 6. 支持定時頁面刷新結果,時間序列結果展示。 |
高級關聯分析模塊 | |
網絡行為安全分析 | 網絡行為安全分析:對各探針采集的實時數據流進行關聯分析,含括網絡流量安全事件、日志安全事件、資產、安全信息配置、內網IP地址段等信息,采用關聯性分析,深度挖掘安全隱患 |
主動式探測安全分析 | 對資產采取主動式探測,讓安全隱患提前暴露 |
Web威脅感知分析 | 1. 支持攻擊趨勢分析展示功能,取值精確到分鐘,并能完成任意時間段的趨勢展示。 2. 支持任意時間段的攻擊總數匯總,并支持根據攻擊來源進行地理位置的匯總展示。 3. 支持實時的動態攻擊展示,并支持可根據攻擊威脅級別在動態圖中進行區分。 4. 支持攻擊類型分布、威脅等級分布、攻擊來源地理位置、被攻擊資產排行等進行展示 5. 支持針對性攻擊發現,支持對針對性攻擊的攻擊者IP、地理位置、攻擊波次、攻擊總數、攻擊發起時間、最后一次攻擊時間等進行展示 6. 支持人為攻擊發現,支持對針對性攻擊的攻擊者IP、地理位置、攻擊波次、攻擊總數、攻擊發起時間、最后一次攻擊時間等進行展示 7. 支持根據時間、規則類別、威脅等級、來源IP、來源端口、目的IP、目的端口、URL包含、HTTP/HTTPS請求及數據類型等進行詳細日志的查詢 |
決策管理模塊 | |
事件展示 | 支持不同維度的事件展示以及多條件檢索 |
事件還原 | 支持對事件以時間軸的形式進行還原 |
歷史數據關聯 | 支持將主機歷史事件數據進行關聯,綜合評定主機的整體風險情況 |
歷史決策 | 支持查看歷史的決策情況,各種策略操作的歷史紀錄 |
決策窗口 | 可支持對不同類型的事件進行決策配置 |
資產管理模塊 | |
資產管理模塊 | 資產總覽情況 |
資產操作 | |
安全報告管理 | |
管理領導層決策安全匯報報告 | 領導匯報安全成果:整體安全狀況概述、安全態勢分析、重點安全事件報告 |
安全運營報告 | 安全設備評估統計、數據歷史同環比、數據源質量分析 |
大屏展示模塊 | |
威脅大屏 | 安全實時攻擊大屏、安全威脅感知大屏、其他定制大屏 |
二、安全大屏
采用大屏的方式,將安全威脅感知系統上的攻擊威脅數據進行實時呈現。通過“全局安全態勢”和“安全事件分析”兩個安全維度視角,將安全狀況通俗易懂的展示出來,讓安全分析不再只是專業安全工程師的專利。
