隨著網(wǎng)絡(luò)安全形勢日益嚴峻,作為基礎(chǔ)電信業(yè)務(wù)經(jīng)營單位的運營商面臨著越來越大的壓力。運營商行業(yè)亟需通過提升網(wǎng)絡(luò)安全感知、網(wǎng)絡(luò)安全應(yīng)急處理、網(wǎng)絡(luò)安全防護等各項能力,保障運營商信息化安全。對此,運營商行業(yè)用戶通過部署傳統(tǒng)的訪問控制、接入控制及監(jiān)控處置類安全設(shè)備構(gòu)建了網(wǎng)絡(luò)安全基礎(chǔ)防護體系,但面對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)卻總會存在“手忙腳亂”的情況。
一
運營商行業(yè)網(wǎng)絡(luò)安全威脅檢測建設(shè)的不足
隨著信息與網(wǎng)絡(luò)安全技術(shù)的進步與用戶安全意識的提升,運營商行業(yè)用戶普遍已經(jīng)通過加強技術(shù)和管理的手段實現(xiàn)了對傳統(tǒng)網(wǎng)絡(luò)安全威脅的有效對抗,但針對繞過邊界防御潛入內(nèi)網(wǎng)的威脅(如APT攻擊)卻缺乏有效檢測手段,以下為運營商行業(yè)網(wǎng)絡(luò)安全威脅檢測建設(shè)的常見不足:
1.脆弱性發(fā)現(xiàn)和威脅感知能力薄弱
用戶可通過已構(gòu)建的SOC安全運營中心,采集全網(wǎng)的IDS/防火墻等安全設(shè)備日志進行分析,但由于這些設(shè)備只能檢測傳統(tǒng)網(wǎng)絡(luò)安全威脅,無法有效檢測APT、0Day等高級威脅與未知威脅,針對威脅的分析、研判和處置全過程自動化能力不足。
2.威脅監(jiān)測范圍不足
IT云、業(yè)務(wù)云、IDC、DCN網(wǎng)內(nèi)、DCN網(wǎng)互聯(lián)網(wǎng)出口等缺少基于全流量監(jiān)測的威脅處置手段,無法全面感知網(wǎng)絡(luò)安全風(fēng)險。
3.缺乏大數(shù)據(jù)、AI分析能力
不具備AI學(xué)習(xí)分析、大數(shù)據(jù)關(guān)聯(lián)分析能力,無法發(fā)現(xiàn)變種行為及“內(nèi)鬼”行為,基于資產(chǎn)信息、威脅信息、脆弱性的安全感知能力欠缺。
4.無法確定攻擊影響面
缺乏風(fēng)險預(yù)判與溯源能力,無法定位攻擊階段、路徑及影響面,難以評估受損情況。
二
深信服全流量監(jiān)測分析解決方案
深信服全流量監(jiān)測分析解決方案以全流量分析為核心,利用威脅情報、UEBA、機器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù),可以對DCN網(wǎng)內(nèi)、公網(wǎng)出口、業(yè)務(wù)云、IT云、IDC等關(guān)鍵節(jié)點處的真實流量進行實時監(jiān)測與分析,及時發(fā)現(xiàn)潛伏威脅和失陷主機,并通過全流量監(jiān)測分析平臺將分析結(jié)果對接至SOC安全運營中心,進行進一步綜合分析,同時可聯(lián)動安全組件或處置平臺進行快速響應(yīng),有效抵御各類已知威脅和APT攻擊等高級威脅。
1.多維智能分析,有效發(fā)現(xiàn)高級威脅
• 能夠?qū)Ω呒壨{常用攻擊行為、病毒行為、異常外聯(lián)行為等行為特征進行分析,同時結(jié)合大數(shù)據(jù)關(guān)聯(lián)分析引擎提供的聯(lián)動分析以及DGA域名判別,構(gòu)建融合檢測模型,從而及時發(fā)現(xiàn)失陷主機與高級威脅。針對APT攻擊的特點,為用戶提供多視角的檢測發(fā)現(xiàn)能力,及時發(fā)現(xiàn)針對用戶重要資產(chǎn)實施的多種形式的定向高級攻擊。
• 內(nèi)置深信服自研的SAVE安全智能檢測引擎,該引擎利用深度學(xué)習(xí)技術(shù)對數(shù)億維的原始特征進行分析,結(jié)合安全專家的領(lǐng)域知識,利用多種機器學(xué)習(xí)算法組合,實現(xiàn)對新型惡意樣本快速有效的檢測。
• 利用UEBA技術(shù)進行內(nèi)部用戶和資產(chǎn)的行為分析,對這些對象進行持續(xù)的學(xué)習(xí)和行為畫像構(gòu)建,以基線畫像的形式檢測異于基線的異常行為并將其作為入口點,結(jié)合計算處理模型發(fā)現(xiàn)異常用戶、資產(chǎn)行為,識別“內(nèi)鬼”行為和已入侵的潛伏威脅,提前預(yù)警。
2.綜合安全風(fēng)險可視,深度洞察高級威脅
• 以用戶關(guān)注的視角,將安全風(fēng)險以業(yè)務(wù)、終端、安全域等維度進行關(guān)聯(lián)展示,對安全事件進行詳細地舉證,讓用戶真正看懂安全風(fēng)險。
• 提供了基于影響面分析的可視化工具,用于分析風(fēng)險主機的影響面,了解風(fēng)險主機對內(nèi)、對外已經(jīng)影響了哪些資產(chǎn),需要在下一步對哪些資產(chǎn)進行處置,消除已產(chǎn)生的受損情況,并評估整體危害程度。
• 基于時間線的攻擊溯源,以回溯方式發(fā)現(xiàn)具體遭受的攻擊、疑似入口點情況、失陷時間點,最終推導(dǎo)最可能的攻擊者情況,為用戶提供快速分析、追溯能力。
3.高效協(xié)同聯(lián)動,閉環(huán)處置安全風(fēng)險
• 基于大數(shù)據(jù)關(guān)聯(lián)分析與深度挖掘技術(shù)快速定位出內(nèi)網(wǎng)失陷主機和高級威脅,對于來自于互聯(lián)網(wǎng)或邊界的攻擊行為,通過聯(lián)動邊界防火墻或一鍵封停平臺下發(fā)安全策略,及時阻斷相應(yīng)的攻擊行為。
• 對于服務(wù)器與終端的失陷主機,通過聯(lián)動終端檢測與響應(yīng)平臺下發(fā)一鍵掃描策略,快速查殺惡意程序,封堵主機的攻擊威脅,防止威脅風(fēng)險進一步擴大。
• 配套專家服務(wù),提供專業(yè)的威脅分析、威脅處置、溯源分析、安全加固等能力,配合用戶閉環(huán)處置安全風(fēng)險,提升安全運營能力。
4.匹配重保需求,支撐全流程安全閉環(huán)
• 具備專門的重保大屏,可實現(xiàn)外網(wǎng)暴露面、核心服務(wù)器梳理,并可進行實時攻擊分析與攻擊者分析。
• 支持手工與自動封鎖外部攻擊者,同時可支持云端與本地的威脅情報共享。
• 支持溯源及快速搜索,可通過IP檢索失陷主機溯源結(jié)果和攻擊者畫像信息。
三
深信服全流量監(jiān)測分析解決方案價值
深信服全流量監(jiān)測分析解決方案可以滿足運營商在APT高級可持續(xù)攻擊檢測、全網(wǎng)安全威脅監(jiān)測、重保等各個場景的威脅檢測與處置需求。
• 通過在互聯(lián)網(wǎng)出口部署探針,可以實現(xiàn)對外部攻擊的精準(zhǔn)檢測。
• 在DCN網(wǎng)內(nèi)部署探針,實現(xiàn)對內(nèi)網(wǎng)的威脅監(jiān)測與感知,同時可有效發(fā)現(xiàn)來自省DCN網(wǎng)側(cè)的攻擊。
• 在私網(wǎng)重要網(wǎng)元節(jié)點部署探針,可實現(xiàn)對核心系統(tǒng)進行網(wǎng)絡(luò)安全重點監(jiān)測。
• 在業(yè)務(wù)云、IT云部署探針,對云內(nèi)流量的全面監(jiān)測,可實現(xiàn)租戶級的威脅感知。
整體方案基于全流量監(jiān)測,可實現(xiàn)對復(fù)雜的網(wǎng)絡(luò)安全攻擊、攻擊事件之間的關(guān)聯(lián)分析,通過精準(zhǔn)檢測、全面可視、及時響應(yīng)彌補運營商網(wǎng)絡(luò)安全建設(shè)的短板。
四
優(yōu)選實踐案例
• 某省聯(lián)通:在省網(wǎng)管網(wǎng)、增值業(yè)務(wù)網(wǎng)、各資源池出口以及在各個地市IDC機房出口等關(guān)鍵節(jié)點部署探針,實現(xiàn)全網(wǎng)的威脅監(jiān)測與分析;同時,在網(wǎng)絡(luò)邊界部署下一代防火墻,與全流量監(jiān)測分析平臺聯(lián)動,實現(xiàn)對全網(wǎng)威脅的全面發(fā)現(xiàn)、立體處置、一鍵溯源。
• 某省電信:通過在省份DCN網(wǎng)互聯(lián)網(wǎng)出口、網(wǎng)管網(wǎng)、IT云、DMZ等接入核心節(jié)點部署探針,實現(xiàn)全流量采集,通過AI、大數(shù)據(jù)分析、行為分析建模等算法引擎,實現(xiàn)對全網(wǎng)流量的深度分析,可探測出全網(wǎng)東西、南北向整體安全狀況,并配合一鍵封停平臺進行威脅處置。
• 某省移動:通過在BOM三域部署全流量監(jiān)測分析平臺,監(jiān)控和發(fā)現(xiàn)來自外部的APT攻擊行為,再通過態(tài)勢感知系統(tǒng)及其他安全管控系統(tǒng),對異常和攻擊行為進行防護處理,通過對支撐域安全防護體系改造升級,重點補足了用戶當(dāng)前網(wǎng)絡(luò)對APT攻擊檢測分析的能力。
隨著運營商業(yè)務(wù)支撐系統(tǒng)云化與中臺改造的加速,運營商的安全建設(shè)正在從傳統(tǒng)的邊界防御向云端安全與終端安全延伸,從網(wǎng)絡(luò)安全向數(shù)據(jù)安全、應(yīng)用安全延伸,為此深信服致力于為運營商用戶構(gòu)建“可信接入、立體防護、全網(wǎng)感知、集中管控”的新一代安全架構(gòu),助力運營商行業(yè)信息化發(fā)展。
擬態(tài)分布式文件存儲設(shè)備
