威胁情报解决方案

2021-12-13 18:52:38

在新的网络环境下,面对层出不穷的网络攻击,也对网络安全产品提出了新的要求。中国工程院院士沈昌祥曾言,在新的网络安全环境下,杀病毒、防火墙、入侵检测这传统的“老三样”,已经难以应对人为攻击,且容易被攻击者利用,因此,找漏洞、打补丁的传统思路已不利于整体安全。在目前的安全运营工作中,安全运营人员面临以下问题:整体安全态势无法确定,不能评估管辖系统的安全等级;安全告警信息冗余复杂,无法集中精力,消灭真实威胁;维护主机成千上万,无法追踪失陷主机;传统安全产品缺失结果判断,无法甄别成功攻击;系统资产千头万绪,无法梳理,同时缺少对应的风险排查;安全运营工作没有汇报标准,上传下达信息混乱,处置流程无法闭环。

面对全新网络安全环境之下的安全挑战,推出威胁情报解决方案。威胁情报能够对系统整体安全态势进行评估,帮助决策者快速感知系统的安全情况等级,提供清晰明了的安全态势大屏,帮助重大安全决策以及日常安全运营;由于大部分被外部攻击者控制的主机,都需要跟黑客控制端进行网络通讯,由于微步在线拥有业界领先的威胁情报,所以可以支持威胁情报精准发现连接黑客端的主机,从而精准定位失陷主机;与此同时,微步在线采用旁路双向流量检测的模式,能够精确识别是否攻击成功,安全运营人员只需要聚焦成功攻击,从而节约安全管理人员宝贵时间,提供安全运营效率;威胁情报还能够为用户提供资产梳理功能,以及风险排查功能,帮助用户建立全局视角,明确自身弱点。最后,威胁情报提供了科学的安全报告,报告类型丰富,满足多种场景,同时能够提供安全事件处置流程,帮助用户完成安全事件处置闭环。

威胁情报通过采集骨干双向网络流量、API接口、域名分析等方式,利用流量分析和数据还原技术,提取IP、邮箱、域名、URL、文件等关键特征,关联云端威胁情报,识别针对性的攻击,及时判断攻击的成功失败情况,包括失陷主机、可疑与敏感等行为,还原黑客攻击路径,并通过多视角与可视化呈现威胁态势,提供了不同类型的的安全分析报告,满足多种场景,以及提供安全事件处置流程,帮助用户完成安全事件处置闭环,节约安全管理人员时间,提高安全运营效率。具备以下技术特点:


双向全流量检测, 覆盖全场景

和传统的IDS、IPS只检测单向流量不同,TDP对双向流量进行检测,不仅覆盖请求流量,而且对返回流量进行检测。同时检测向外请求。利用流量分析和数据还原模块,可以在 IPv4/IPv6 网络环境下,支持多种主流协议进行高性能分析。以覆盖全场景,如支持办公场景下载和向外请求,支持办公网生产网的反连和回包检测,支持对生产网/业务网的直接攻击检测。双向全流量检测的另一个优势是可以对攻击是否成功失败做出判定。


1.jpg

判断攻击成功失败

基于双向全流量做检测,能够从多个维度捕获攻击,并且自动化完成对后续攻击成功失败的判定。最大限度的减少"噪音"出现。做到准确报警。

识别针对性攻击

能够在很前期的时候,识别出针对性攻击。一方面可以结合威胁情报对攻击者画像和手法的分析,了解黑客的主要攻击目标和给猜测黑客最终意图提供更多信息输入。另一方面,通过对攻击者攻击目标的汇总和画像,让企业更早了解自身哪些关键设施是黑客的目标,从而尽早布防。

333.png

  内网渗透检测

威胁情报系统设备接入内网横向流量后,会围绕协议特征,流量大小和方向特征,目标主机特征等信息构建内网拓扑网络图模型,并结合机器学习模型识别、特征签名、文件内容分析等多项检测技术,发现攻击者在内网进行的扫描、爆破、弱密码、漏洞利用、权限维持、代理转发等一系列内网渗透行为。


针对域控环境的攻击检测


内置了域控威胁分析模块(Domain Threat Analysis, 简称DTA),用户可选择手动开启。通过深度分析对域控相关的Kerberos,SMB等协议和验证过程,并维护一套最新的设备、用户名、票据、服务信息的对应关系,DTA可对域控环境下的用户/用户组枚举、登录爆破、票据传递攻击、Hash传递攻击、加密降级、黄金票据、等横向移动、权限提升、域控制等攻击行为进行精准检测和发现。

优势特点

                  全面感知

ü  检测能力全面覆盖外部攻击、内网渗透、失陷破坏环节

ü  全面感知外部攻击面和业务资产风险态势

ü  绘制内网资产属性和活动画像

                  精准告警

ü  领先的高质量威胁情报准确定位失陷主机

ü  开箱即用的深度学习模型,捕获恶意流量特征

ü  双向流量验证和回溯,识别攻击成功以及针对性告警

                  化繁为简

ü  自动关联攻击活动,完整还原黑客攻击路径

ü  全面评估安全现状,及时产出行动建议

ü  多层次、多视角、可灵活定制的分析报告,提升运营线效率

                 处置闭环

ü  自动阻断恶意网络连接

ü  联动端点程序定位恶意进程

ü  一键专杀常见威胁

                  云端赋能

ü  联动云端沙箱和检测引擎,及时发现未知威胁

ü  获取全网威胁情报,增强分析溯源和威胁狩猎

ü  双向情报共享,重保活动联防联控

                  灵活部署

ü  部署灵活,可以按照需求以旁路的方式部署在任意网络节点

ü  支持单职场多设备横向扩展,和多地纵向级联,对威胁事件进行集中管理







友情链接: 工信部 网信办