深信服安全感知平臺
2019-12-04 11:46:38
來源:深信服科技
安全現狀
2017年,全球爆發WannaCry勒索病毒,國內大量高校醫院,甚至是認為網絡隔離做的很好的單位也被病毒感染。受影響的組織和個人造成的損失無法估量。
2013年,Target 被黑客從與供應商對接的外聯區入侵,如入無人之境,在內部迅速橫向滲透至POS管理區,最終造成1.1億用戶信息泄露,各項損失高達10億美元。CEO由于入侵事件引咎辭職。
2011年,老牌安全公司RSA被黑客通過釣魚郵件入侵,輕易進入內網,并利用0Day漏洞進入服務區,獲取數據后通過加密隧道進行回傳,最終盜取了大批雙因素認證SecurelD私鑰,直接經濟損失6600萬美元。
傳統安全防護體系的三個弊端
1.安不安全不知道
安全設備沒有告警,就沒有問題了?
‘敵暗我明’,不是看不到問題就沒有問題!
2.哪里不安全不知道
黑客到底是怎么黑進來的?
‘盲人摸象’,缺乏有效的手段檢測多變的攻擊!
3.造成了什么危害不知道
辦公室服務器被黑了,修復好它之后,問題就解決了嗎?
‘防不勝防’,跳板攻擊控制核心業務,信息泄露而不自知!
深信服安全感知解決方案
深信服安全感知平臺定位為客戶的安全大腦,是一一個檢測、預警、響應處置的大數據安全分析平臺。其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、機器學習、大數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與異常流量可視化、業務弱點與防御體系薄弱評估等,幫助客戶在高級威脅入侵之后、損失發生之前及時發現和定位威脅。
部署架構
安全感知系統(SIS)
負責收集匯總探針、NGAF等各類安全組件日志,通過人工智能、大數據關聯分析等技術,發現網絡的脆弱性、潛伏威脅,并簡單易懂地展示出來。
潛伏威脅探針(STA)
旁路部署在關鍵節點,對全流量進行檢測,提取有效數據上報給SIS。
下一代防火墻(NGAF )
網關部署在出口或邊界,一方 面負責安全防御,另一方面對全流量進行檢測,提取有效安全數據上報給SIS。
威脅情報
深信服云端威脅情報系統與SIS對接,實時下發情報數據給SIS,增加威脅識別效率和準確率。
其他可對接的安全組件
端點安全(EDR) :插件形式部署在硬件或虛擬化服務器操作系統上,負責采集服務器安全數據上報給SIS,同時對僵木蠕進行掃描和查殺。
上網行為管理(AC) :旁路或網橋部署在出口,一方面實現上網行為管理功能,一方面與 SIS對接,實現用戶身份的識別。
虛擬安全組件(VSS):實現虛擬化場景下,虛擬機之間東西向流量可視與檢測。
技術架構
方案優勢
更精準更廣泛的數據來源
大數據是勢感卻的越勢。牡對客戶網絡中關鍵節點上的原始流量數據,通過深信服自有布用深葉設備生動采集難以關聯分析等問題。原始流量的方式,保障了智能分析引擎檢測的準確性,規進了異構的第三方日志存在難以理解,自身誤報誤判。
最佳數據采集建議如下:
1.南北向:通過NGAF主動采集南北向有效數據;
2.東西向:通過探針( STA)、VSS等主動采集東西向有效數據;
3.終端層面:通過EDR來采集服務器和PC上的有效數據;
4.網絡外部:通過威脅情報、云眼、云盾主動采集互聯網與對外業務的有效數據;
5.第三方日志:通過syslog標準格式收集第三方設備日志。
更智能的檢測分析技術
深信服安全感知智能分析系統是通過海量數據收集與管理,利用人機共智,結合流量特征、行為分析建模、各類監督學習算法、機器學習、大數據關聯等技術,有效檢測APT攻擊和潛伏在網絡內部的未知威脅,從而提升整體網絡安全能力。
更簡單的安全可視
通過自動識別和梳理資產,實現全網業務資產的有效管控,依托于可視化技術,展示用戶、業務、互聯網之間的訪問關系,簡單清晰地展示業務關系和潛在的異常訪問風險。潛伏威脅黃金眼以多種維度對威脅影響面進行評估,以攻擊關聯性角度檢測到“我”攻擊了“誰”,“誰”攻擊了“我”,并以可視化的方式展示出來,便于威脅的處置。
有效的協同運維響應
一鍵阻斷:自動阻斷木馬與黑客通信;
端點查殺:端點執行掃描、查殺等動作;
用戶識別與提醒:識別用戶身份,封堵后進行頁面提醒;
高級人工服務:安全應急響應,解析網絡威脅現狀和威脅,并給出安全建設建議。
