datapot ais智能安全分析平台凯时kb88官方网站的解决方案
来源:
|
作者:proaa0518
|
发布时间: 2019-10-31
|
285 次浏览
|
分享到:
近年来,来自外部的攻击手段也变得更高级、更迅速、更隐蔽。it业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊;apt、0-day病毒、0-day漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的最佳手段;而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。随着当前网络安全形势与挑战日益严峻复杂,如何全方位感知网络安全态势、实时监控网络运行状况,已成为迫在眉睫的重大事项。
背景:传统安全防御体系的风险与不足
典型的apt攻击,通常会通过如下途径入侵到企业或组织网络当中:
-
通过sql注入等攻击手段突破面向外网的web server、邮件服务器等,然后以被入侵的服务器做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备;
-
通过给高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内网终端;
-
通过熟人给企业内部的员工发送具有针对性的恶意链接,诱骗用户访问这个链接之后并入侵内网终端;
-
通过连接到internet主机将恶意软件通过u盘摆渡到隔离网络,从而入侵到隔离网络实现攻击。
一旦用户被植入恶意软件,如木马、后门、downloader等,恶意软件会在内网建立与外网的c&c通信,并持续收集敏感数据,通过隐蔽通道等手段回传到攻击者手中。
以apt为代表的下一代威胁,综合利用aet、0-day漏洞、社交工程等多种高级技术手段,主要的攻击目标为高价值行业以及涉及国家国计民生的基础设施(能源、电信、交通等),存在攻击手段复杂、潜伏时间较长、检测难度较高等特点。
于特征检测的安全防御手段只能识别已知威胁,应对高级威胁响应周期漫长。以apt为代表的高级威胁使得“依靠特征检测的方法”失效,给业界带来前所未有的挑战,迫切需要新的威胁分析与检测技术。
攻击日志存在被改写的可能,单点防御存在漏检的风险,持续的流量数据分析更加全面、可信,采用基于网络流量数据、负载的智能分析、响应,能够有效防御apt攻击。
网络安全现状分析
企业通常已部署专业的防火墙、ips、终端安全软件、soc/siem等安全防护产品,能够针对传统或已知威胁实现防护。然而以安全策略、签名、日志分析为中心的传统安全防御手段只能识别已知威胁,且存在应对快速演进的威胁检出时间滞后的弱点。数据驱动安全协同,已在安全产业应对apt攻击方面达成了技术共识,尤其是针对高级威胁的发现,需要将多维度检测技术、大数据分析技术和威胁情报技术结合起来。datapot ais凯时kb88官方网站的解决方案针对网络行为进行分析,实现完整的网络可视化,借助机器学习和人工智能技术洞察网络中的高级威胁,旨在帮助客户解决以下问题:
1、全网安全态势感知
2、未知、已知恶意威胁分析及检测
3、apt攻击防御及多维调查取证
4、用户及机器行为分析
部署方式
datapot ais 采集器部署在财务系统的网络出入口;负责监控/还原财务系统的访入访出的全部流量。然后将流量数据实时传输给datapot ais大数据处理平台进行检测分析,将检测出的高级和未知威胁通过可视化的方式呈现给安全运维人员。当然需要结合考虑客户网络的实际业务情况及流量带宽等因素。部署要点如下:
1、 在财务系统的网络出入口部署sensor服务器,实现全流量采集,并结合客户网络情况灵活配置;
2、 在核心区部署datapot ais集群服务器,主要是实现全流量的分析及威胁检测,并通过可视化的方式呈现;
3、 系统采集的行为能与内置威胁情报库进行比对,如果发现异常实时反馈至集群服务器,然后通过可视化的方式呈现;
4、 通过机器学习、大数据分析手段,检测未知威胁;
5、 系统集成了自动化渗透测试模块,可以对财务系统进行自动化渗透测试;
6、 系统集成了漏洞扫描、端口扫描等弱点检测功能,实现一站式运维功能