AF-全網(wǎng)安全感知平臺(tái)方案彩頁(yè)

全網(wǎng)安全感知平臺(tái)網(wǎng)絡(luò)安全現(xiàn)狀根據(jù)Verizon的全球安全事件調(diào)查報(bào)告顯示，不計(jì)算前期偵察與信息獲取的過(guò)程，攻擊者從實(shí)施攻擊到入侵得手僅需要花費(fèi)數(shù)小時(shí)的時(shí)間。但是62%以上的安全部門(mén)需要花上數(shù)周甚至超過(guò)一個(gè)月的時(shí)間才能發(fā)現(xiàn)黑客攻擊，隨后還需要數(shù)天至數(shù)周的時(shí)間完成響應(yīng)和補(bǔ)救工作。在Mandiant最新的高級(jí)安全威脅報(bào)告中指出，企業(yè)或組織需要發(fā)現(xiàn)潛藏攻擊者的平均世間為229天，更為嚴(yán)重的是，僅有33%的企業(yè)或組織是自行發(fā)現(xiàn)攻擊事件的，更多的攻擊事件是在被監(jiān)管機(jī)構(gòu)通報(bào)、曝露在暗網(wǎng)甚至是互聯(lián)網(wǎng)上以后才被發(fā)現(xiàn)。PonemonInstitute針對(duì)全球252個(gè)機(jī)構(gòu)的1928起攻擊事件的統(tǒng)計(jì)發(fā)現(xiàn)，攻擊事件的平均解決時(shí)間為46天，而每延遲發(fā)現(xiàn)和解決攻擊事件一天的成本高達(dá)21155美元。針對(duì)目前的安全現(xiàn)狀，權(quán)威機(jī)構(gòu)Gartner更是大膽指出，到2020年，企業(yè)安全部門(mén)應(yīng)該將60%的預(yù)算投資到安全檢測(cè)與響應(yīng)中來(lái)，以應(yīng)對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境。 深信服認(rèn)為，企業(yè)和組織對(duì)自身業(yè)務(wù)及其對(duì)應(yīng)的安全威脅的感知與發(fā)現(xiàn)能力不足，是網(wǎng)絡(luò)安全問(wèn)題不斷、安全響應(yīng)和處置嚴(yán)重滯后的關(guān)鍵短板。現(xiàn)實(shí)防御的挑戰(zhàn)看不清業(yè)務(wù)隨著互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)的發(fā)展，IT已經(jīng)由過(guò)去的業(yè)務(wù)支撐部門(mén)轉(zhuǎn)變?yōu)橐I(lǐng)組織業(yè)務(wù)持續(xù)發(fā)展的重要驅(qū)動(dòng)力。IT業(yè)務(wù)的快速發(fā)展給IT部門(mén)提出了快速上線(xiàn)、快速更新的要求，也給IT資產(chǎn)的管理提出了更高的挑戰(zhàn)。無(wú)法保證100%安全的交付業(yè)務(wù)、無(wú)法及時(shí)發(fā)現(xiàn)資產(chǎn)、無(wú)法及時(shí)找到安全弱點(diǎn)，成為了IT風(fēng)險(xiǎn)管理的重要問(wèn)題。業(yè)務(wù)應(yīng)用的復(fù)雜性使得IT人員很難梳理業(yè)務(wù)系統(tǒng)之間的互聯(lián)與訪(fǎng)問(wèn)關(guān)系，IT應(yīng)用關(guān)系的不可視直接導(dǎo)致安全難以定義和落地，成為業(yè)務(wù)安全最大的挑戰(zhàn)?？床磺宓男略鲑Y產(chǎn)產(chǎn)生安全洼地關(guān)鍵IT資產(chǎn)的梳理和清單目錄是許多IT運(yùn)維人員最頭疼的問(wèn)題。今天的IT資產(chǎn)正在向虛擬化遷移，新增部署一臺(tái)虛擬機(jī)往往只需要數(shù)分鐘的時(shí)間。而在服務(wù)器上開(kāi)啟服務(wù)或者端口的管控機(jī)制也不健全。看不清的新增資產(chǎn)因?yàn)槿鄙侔踩珯z查與訪(fǎng)問(wèn)控制，成為攻擊者攻入關(guān)鍵業(yè)務(wù)區(qū)的跳板。看不清的資產(chǎn)配置信息及開(kāi)放的服務(wù)端口，由于缺乏安全訪(fǎng)問(wèn)規(guī)則的控制，成為遠(yuǎn)程接入的最佳途徑?？床磺宓馁Y產(chǎn)漏洞，由于沒(méi)有適當(dāng)?shù)陌踩庸蹋詈?jiǎn)單的攻擊代碼就能輕易攻陷這些機(jī)器。看不清的業(yè)務(wù)關(guān)系使業(yè)務(wù)安全防護(hù)失效目前大部分安全防護(hù)的重點(diǎn)均停留在網(wǎng)絡(luò)與應(yīng)用系統(tǒng)側(cè)，對(duì)業(yè)務(wù)與數(shù)據(jù)訪(fǎng)問(wèn)的防護(hù)還不健全。黑客在突破和繞過(guò)邊界以后，往往利用合法用戶(hù)的計(jì)算機(jī)與身份對(duì)數(shù)據(jù)庫(kù)、財(cái)務(wù)系統(tǒng)、客戶(hù)關(guān)系管理系統(tǒng)等關(guān)鍵資產(chǎn)進(jìn)行非法訪(fǎng)問(wèn)，數(shù)據(jù)竊取與資產(chǎn)破壞工作。而這些訪(fǎng)問(wèn)往往只是正常的增刪查改操作，并不需要借用攻擊代碼或惡意軟件，傳統(tǒng)基于網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的防御措置往往無(wú)法識(shí)別這類(lèi)攻擊行為。缺乏有效手段主動(dòng)識(shí)別新增業(yè)務(wù)過(guò)去的IT管理需要大量管理設(shè)備與專(zhuān)業(yè)人士進(jìn)行業(yè)務(wù)資產(chǎn)的識(shí)別與梳理，很多情況下要發(fā)現(xiàn)新增業(yè)務(wù)資產(chǎn)往往只能依賴(lài)定期的安全巡檢，效率不高且滯后。深信服認(rèn)為，通過(guò)自動(dòng)化的手段對(duì)新增業(yè)務(wù)資產(chǎn)及其開(kāi)放端口、使用協(xié)議、系統(tǒng)配置信息進(jìn)行識(shí)別，對(duì)關(guān)鍵業(yè)務(wù)訪(fǎng)問(wèn)關(guān)系及其流量模型的可視化呈現(xiàn)，是感知全網(wǎng)安全威脅的基礎(chǔ)?？床灰?jiàn)內(nèi)網(wǎng)潛藏威脅近年來(lái)，來(lái)自外部的攻擊手段也變得更高級(jí)、更迅速、更隱蔽。IT業(yè)務(wù)向互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、公有云的演進(jìn)為攻擊者提供了更多的攻擊向量，安全邊界變得越發(fā)模糊；APT、0-day病毒、0-day漏洞、惡意軟件欺騙與混淆、沙箱逃逸等技術(shù)的利用成為繞過(guò)傳統(tǒng)防御的最佳手段；而攻擊工具集、攻擊即服務(wù)的興起讓攻防的天平愈加失衡?？床灰?jiàn)的內(nèi)部橫向攻擊攻擊者繞過(guò)邊界防護(hù)后，發(fā)生在內(nèi)部的橫向移動(dòng)攻擊邊界防御設(shè)備無(wú)法進(jìn)行檢測(cè)，例如通過(guò)失陷主機(jī)向內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)或業(yè)務(wù)資產(chǎn)管理員發(fā)起的橫向移動(dòng)或者跳板攻擊，如內(nèi)網(wǎng)嗅探、內(nèi)網(wǎng)掃描、漏洞利用、遠(yuǎn)程控制、攻擊會(huì)話(huà)維持等，均很難被發(fā)現(xiàn)。看不見(jiàn)的違規(guī)操作攻擊者的行為往往不是以病毒、漏洞利用等明顯的惡意特征出現(xiàn)。攻擊者會(huì)通過(guò)社會(huì)工程學(xué)、釣魚(yú)、以失陷主機(jī)為跳板等手段獲取高級(jí)管理員的賬號(hào)與權(quán)限；內(nèi)部潛藏的惡意用戶(hù)也會(huì)通過(guò)竊取、窺探等手段獲得合法權(quán)限。傳統(tǒng)的安全設(shè)備對(duì)偽裝成合法用戶(hù)的攻擊者的檢測(cè)是失效的，如非授權(quán)用戶(hù)對(duì)關(guān)鍵資產(chǎn)的違規(guī)訪(fǎng)問(wèn)、授權(quán)用戶(hù)在非授權(quán)時(shí)間/地點(diǎn)對(duì)關(guān)鍵資產(chǎn)的違規(guī)訪(fǎng)問(wèn)、授權(quán)用戶(hù)對(duì)資產(chǎn)的非授權(quán)操作（如批量下載，批量加密，非法修改等），均不能被有效的發(fā)現(xiàn)與識(shí)別?？床灰?jiàn)的異常行為黑客在嗅探、突破、滲透、橫移、會(huì)話(huà)維持、捕獲占領(lǐng)的整個(gè)攻擊鏈條中，均會(huì)非常小心的隱藏自己的攻擊行為。攻擊者會(huì)將關(guān)鍵文件進(jìn)行打包加密甚至隱寫(xiě)，所有的網(wǎng)絡(luò)會(huì)話(huà)也會(huì)在加密通道上傳輸，而會(huì)話(huà)維持以及遠(yuǎn)程控制服務(wù)器的通信會(huì)夾雜在代理、VPN隧道、NTP、DNS等正常網(wǎng)絡(luò)協(xié)議中混淆視聽(tīng)。 深信服認(rèn)為，在看清業(yè)務(wù)的基礎(chǔ)上，企業(yè)和組織亟需加強(qiáng)對(duì)內(nèi)部的攻擊行為、違規(guī)操作和異常行為進(jìn)行持續(xù)檢測(cè)，并通過(guò)可視化平臺(tái)將這些潛在的問(wèn)題進(jìn)行展現(xiàn)，從而揪出潛伏隱秘在內(nèi)網(wǎng)的內(nèi)鬼和攻擊者，應(yīng)對(duì)各種攻擊變種與內(nèi)網(wǎng)安全威脅。深信服安全感知平臺(tái)方案 深信服安全感知平臺(tái)方案是一套基于行為和關(guān)聯(lián)分析技術(shù)對(duì)全網(wǎng)的流量進(jìn)行安全檢測(cè)的可視化預(yù)警檢測(cè)平臺(tái)。方案設(shè)計(jì)體現(xiàn)適用性、前瞻性、可行性的基本原則，實(shí)現(xiàn)安全效果可評(píng)估、安全態(tài)勢(shì)可視化。主要有以下技術(shù)特點(diǎn)：看清業(yè)務(wù) 1、對(duì)業(yè)務(wù)系統(tǒng)核心資產(chǎn)進(jìn)行識(shí)別，梳理用戶(hù)與資產(chǎn)的訪(fǎng)問(wèn)關(guān)系； 2、對(duì)業(yè)務(wù)資產(chǎn)存在的脆弱性進(jìn)行持續(xù)檢測(cè)，及時(shí)發(fā)現(xiàn)業(yè)務(wù)上線(xiàn)以及更新產(chǎn)生的漏洞及安全隱患；3、通過(guò)業(yè)務(wù)識(shí)別引擎主動(dòng)識(shí)別新增業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)訪(fǎng)問(wèn)關(guān)系；看見(jiàn)內(nèi)網(wǎng)潛在威脅4、對(duì)繞過(guò)邊界防御的進(jìn)入到內(nèi)網(wǎng)的攻擊進(jìn)行檢測(cè)，以彌補(bǔ)靜態(tài)防御的不足； 5、對(duì)內(nèi)部重要業(yè)務(wù)資產(chǎn)已發(fā)生的安全事件進(jìn)行持續(xù)檢測(cè)，第一時(shí)間發(fā)現(xiàn)已發(fā)生的安全事件； 6、對(duì)內(nèi)部用戶(hù)、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)的檢測(cè)，發(fā)現(xiàn)潛在風(fēng)險(xiǎn)以降低可能的損失； 7、將全網(wǎng)的風(fēng)險(xiǎn)進(jìn)行可視化的呈現(xiàn)，看到全網(wǎng)的風(fēng)險(xiǎn)以實(shí)現(xiàn)有效的安全處置。方案架構(gòu) 通過(guò)潛伏威脅探針、全網(wǎng)安全感知可視化平臺(tái)、深信服安全服務(wù)云平臺(tái)構(gòu)成持續(xù)檢測(cè)快速響應(yīng)的技術(shù)架構(gòu)：潛伏威脅探針：在核心交換層與內(nèi)部安全域部署潛伏威脅探針，通過(guò)網(wǎng)絡(luò)流量鏡像在內(nèi)部對(duì)用戶(hù)到業(yè)務(wù)資產(chǎn)、業(yè)務(wù)的訪(fǎng)問(wèn)關(guān)系進(jìn)行識(shí)別，基于捕捉到的網(wǎng)絡(luò)流量對(duì)內(nèi)部進(jìn)行初步的攻擊識(shí)別、違規(guī)行為檢測(cè)與內(nèi)網(wǎng)異常行為識(shí)別。安全感知平臺(tái)：在內(nèi)網(wǎng)部署安全感知平臺(tái)全網(wǎng)檢測(cè)系統(tǒng)對(duì)各節(jié)點(diǎn)安全檢測(cè)探針的數(shù)據(jù)進(jìn)行收集，并通過(guò)可視化的形式為用戶(hù)呈現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)及針對(duì)內(nèi)網(wǎng)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅；并通過(guò)該平臺(tái)對(duì)現(xiàn)網(wǎng)所有安全系統(tǒng)進(jìn)行統(tǒng)一管理和策略下發(fā)。深信服安全服務(wù)云：通過(guò)深信服云平臺(tái)，提供未知威脅、威脅情報(bào)、在線(xiàn)咨詢(xún)、快速響應(yīng)等安全服務(wù)。安全感知平臺(tái)方案特性全網(wǎng)業(yè)務(wù)資產(chǎn)可視化 主動(dòng)識(shí)別資產(chǎn)：通過(guò)安全檢測(cè)探針可主動(dòng)識(shí)別業(yè)務(wù)系統(tǒng)下屬的所有業(yè)務(wù)資產(chǎn)，可主動(dòng)發(fā)現(xiàn)新增資產(chǎn)，實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)資產(chǎn)的有效識(shí)別； 資產(chǎn)暴露面可視化：將已識(shí)別的資產(chǎn)進(jìn)行安全評(píng)估，將資產(chǎn)的配置信息與暴露面進(jìn)行呈現(xiàn)，包括開(kāi)放的端口、可登錄的web后臺(tái)等。全網(wǎng)業(yè)務(wù)訪(fǎng)問(wèn)關(guān)系可視化 業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)關(guān)系：通過(guò)訪(fǎng)問(wèn)關(guān)系學(xué)習(xí)展示用戶(hù)、業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)之間訪(fǎng)問(wèn)關(guān)系，通過(guò)顏色區(qū)分不同危險(xiǎn)等級(jí)用戶(hù)、業(yè)務(wù)系統(tǒng)，可視化的呈現(xiàn)以識(shí)別非法的訪(fǎng)問(wèn)； 業(yè)務(wù)系統(tǒng)應(yīng)用及流量可視化：業(yè)務(wù)系統(tǒng)的應(yīng)用、流量、會(huì)話(huà)數(shù)進(jìn)行可視化的呈現(xiàn)，并提供流量趨勢(shì)分析。內(nèi)部攻擊可視化內(nèi)部橫向攻擊行為檢測(cè)：對(duì)越過(guò)邊界防護(hù)，或以?xún)?nèi)部主機(jī)為跳板的橫向攻擊，進(jìn)行實(shí)時(shí)檢測(cè)與報(bào)警，包括對(duì)內(nèi)掃描、對(duì)內(nèi)利用漏洞進(jìn)行病毒傳播、對(duì)內(nèi)進(jìn)行L2-7的攻擊行為等。違規(guī)操作可視化違規(guī)訪(fǎng)問(wèn)行為檢測(cè)：結(jié)合全網(wǎng)的資產(chǎn)及訪(fǎng)問(wèn)關(guān)系可視，將違規(guī)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)的行為進(jìn)行可視化的呈現(xiàn)，防止進(jìn)一步可能存在的攻擊，并向管理員預(yù)警。異常行為可視化 業(yè)務(wù)資產(chǎn)異常行為檢測(cè)：包括業(yè)務(wù)資產(chǎn)在非正常時(shí)間主動(dòng)發(fā)起的請(qǐng)求、業(yè)務(wù)主動(dòng)向外發(fā)起非正常請(qǐng)求（如DNS請(qǐng)求）等異常行為預(yù)警可能存在的安全威脅； 潛在風(fēng)險(xiǎn)的訪(fǎng)問(wèn)路徑：將可能失陷的終端對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)路徑、存在異常流量及行為的終端/服務(wù)器的訪(fǎng)問(wèn)路徑進(jìn)行預(yù)警，幫助管理員及時(shí)響應(yīng)安全事件并進(jìn)行安全策略調(diào)整。全網(wǎng)安全態(tài)勢(shì)感知 整體安全態(tài)勢(shì)：結(jié)合攻擊趨勢(shì)、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性對(duì)全網(wǎng)安全態(tài)勢(shì)進(jìn)行整體評(píng)價(jià)，以業(yè)務(wù)系統(tǒng)的視角進(jìn)行呈現(xiàn)，可有效的把握整體安全態(tài)勢(shì)進(jìn)行安全決策分析； 全網(wǎng)態(tài)勢(shì)感知：展示內(nèi)網(wǎng)服務(wù)器被外網(wǎng)攻擊的實(shí)時(shí)動(dòng)態(tài)圖，實(shí)現(xiàn)全網(wǎng)安全攻擊態(tài)勢(shì)大屏展示；有效的攻擊事件：通過(guò)旁路鏡像的方式可將攻擊回包狀態(tài)進(jìn)行完整的檢測(cè)，結(jié)合業(yè)務(wù)系統(tǒng)的漏洞信息，可以識(shí)別攻擊成功的有效安全事件； 失陷業(yè)務(wù)系統(tǒng)/資產(chǎn)：通過(guò)外發(fā)異常流量、網(wǎng)頁(yè)篡改監(jiān)測(cè)、黑鏈檢測(cè)等檢測(cè)技術(shù)確定業(yè)務(wù)系統(tǒng)/資產(chǎn)是否已被攻擊，并將資產(chǎn)存在的后門(mén)進(jìn)行檢測(cè)，并向管理員告知已失陷的安全事件； 安全事件關(guān)聯(lián)分析：將下一代防火墻及安全檢測(cè)探針的安全事件進(jìn)行關(guān)聯(lián)分析，結(jié)合黑客攻擊鏈進(jìn)行關(guān)聯(lián)分析，并確定更加高級(jí)的安全威脅。我們?cè)诳蛻?hù)全網(wǎng)發(fā)現(xiàn)的攻擊非法接入數(shù)據(jù)庫(kù)潛伏威脅探針識(shí)別出公司的數(shù)據(jù)庫(kù)服務(wù)器正在接受來(lái)自辦公區(qū)一臺(tái)電腦的頻繁訪(fǎng)問(wèn)，該電腦并沒(méi)有接入數(shù)據(jù)庫(kù)的業(yè)務(wù)需求。潛伏威脅探針的分析結(jié)果顯示這些訪(fǎng)問(wèn)傳輸?shù)臄?shù)據(jù)大部分為高密級(jí)數(shù)據(jù)。對(duì)關(guān)鍵數(shù)據(jù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)的非法訪(fǎng)問(wèn)是內(nèi)網(wǎng)遭受攻擊的一個(gè)明顯信號(hào)。內(nèi)網(wǎng)端口掃描潛伏威脅探針發(fā)現(xiàn)公司內(nèi)網(wǎng)的一臺(tái)電腦正在向內(nèi)網(wǎng)IP段進(jìn)行端口掃描，似乎在偵測(cè)內(nèi)網(wǎng)特定服務(wù)端口。這臺(tái)電腦是一臺(tái)蘋(píng)果電腦，但是安裝了舊版本的Windows操作系統(tǒng)，從過(guò)往行為來(lái)看該電腦的日常工作不需要進(jìn)行端口掃描操作。最終發(fā)現(xiàn)該電腦已經(jīng)被黑客控制，并在進(jìn)行進(jìn)一步滲透前的偵測(cè)行為。異常內(nèi)部文件傳輸在分支機(jī)構(gòu)的其中一臺(tái)電腦從共享空間上持續(xù)下載了1GB的共享文件，從過(guò)往的行為模型看該用戶(hù)間或會(huì)從共享文件夾下載文件，而如此大的下載量是首次。該異常行為提醒管理部門(mén)重新審視員工的合法接入權(quán)限。勒索軟件感染某天早上公司一位內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)了一個(gè)歸類(lèi)為惡意鏈接的網(wǎng)站，從該網(wǎng)站下載的可執(zhí)行文件繞過(guò)了邊界防病毒引擎和沙箱的檢測(cè)。幾小時(shí)后，潛伏威脅探針發(fā)現(xiàn)該用戶(hù)電腦有針對(duì)網(wǎng)絡(luò)共享文件夾以及網(wǎng)絡(luò)共享的文件系統(tǒng)進(jìn)行大量