AF-全網(wǎng)安全感知平臺方案彩頁

全網(wǎng)安全感知平臺網(wǎng)絡(luò)安全現(xiàn)狀根據(jù)Verizon的全球安全事件調(diào)查報告顯示，不計算前期偵察與信息獲取的過程，攻擊者從實施攻擊到入侵得手僅需要花費數(shù)小時的時間。但是62%以上的安全部門需要花上數(shù)周甚至超過一個月的時間才能發(fā)現(xiàn)黑客攻擊，隨后還需要數(shù)天至數(shù)周的時間完成響應(yīng)和補(bǔ)救工作。在Mandiant最新的高級安全威脅報告中指出，企業(yè)或組織需要發(fā)現(xiàn)潛藏攻擊者的平均世間為229天，更為嚴(yán)重的是，僅有33%的企業(yè)或組織是自行發(fā)現(xiàn)攻擊事件的，更多的攻擊事件是在被監(jiān)管機(jī)構(gòu)通報、曝露在暗網(wǎng)甚至是互聯(lián)網(wǎng)上以后才被發(fā)現(xiàn)。PonemonInstitute針對全球252個機(jī)構(gòu)的1928起攻擊事件的統(tǒng)計發(fā)現(xiàn)，攻擊事件的平均解決時間為46天，而每延遲發(fā)現(xiàn)和解決攻擊事件一天的成本高達(dá)21155美元。針對目前的安全現(xiàn)狀，權(quán)威機(jī)構(gòu)Gartner更是大膽指出，到2020年，企業(yè)安全部門應(yīng)該將60%的預(yù)算投資到安全檢測與響應(yīng)中來，以應(yīng)對日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境。 深信服認(rèn)為，企業(yè)和組織對自身業(yè)務(wù)及其對應(yīng)的安全威脅的感知與發(fā)現(xiàn)能力不足，是網(wǎng)絡(luò)安全問題不斷、安全響應(yīng)和處置嚴(yán)重滯后的關(guān)鍵短板?，F(xiàn)實防御的挑戰(zhàn)看不清業(yè)務(wù)隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等技術(shù)的發(fā)展，IT已經(jīng)由過去的業(yè)務(wù)支撐部門轉(zhuǎn)變?yōu)橐I(lǐng)組織業(yè)務(wù)持續(xù)發(fā)展的重要驅(qū)動力。IT業(yè)務(wù)的快速發(fā)展給IT部門提出了快速上線、快速更新的要求，也給IT資產(chǎn)的管理提出了更高的挑戰(zhàn)。無法保證100%安全的交付業(yè)務(wù)、無法及時發(fā)現(xiàn)資產(chǎn)、無法及時找到安全弱點，成為了IT風(fēng)險管理的重要問題。業(yè)務(wù)應(yīng)用的復(fù)雜性使得IT人員很難梳理業(yè)務(wù)系統(tǒng)之間的互聯(lián)與訪問關(guān)系，IT應(yīng)用關(guān)系的不可視直接導(dǎo)致安全難以定義和落地，成為業(yè)務(wù)安全最大的挑戰(zhàn)?？床磺宓男略鲑Y產(chǎn)產(chǎn)生安全洼地關(guān)鍵IT資產(chǎn)的梳理和清單目錄是許多IT運(yùn)維人員最頭疼的問題。今天的IT資產(chǎn)正在向虛擬化遷移，新增部署一臺虛擬機(jī)往往只需要數(shù)分鐘的時間。而在服務(wù)器上開啟服務(wù)或者端口的管控機(jī)制也不健全?？床磺宓男略鲑Y產(chǎn)因為缺少安全檢查與訪問控制，成為攻擊者攻入關(guān)鍵業(yè)務(wù)區(qū)的跳板?？床磺宓馁Y產(chǎn)配置信息及開放的服務(wù)端口，由于缺乏安全訪問規(guī)則的控制，成為遠(yuǎn)程接入的最佳途徑?？床磺宓馁Y產(chǎn)漏洞，由于沒有適當(dāng)?shù)陌踩庸?，最簡單的攻擊代碼就能輕易攻陷這些機(jī)器?？床磺宓臉I(yè)務(wù)關(guān)系使業(yè)務(wù)安全防護(hù)失效目前大部分安全防護(hù)的重點均停留在網(wǎng)絡(luò)與應(yīng)用系統(tǒng)側(cè)，對業(yè)務(wù)與數(shù)據(jù)訪問的防護(hù)還不健全。黑客在突破和繞過邊界以后，往往利用合法用戶的計算機(jī)與身份對數(shù)據(jù)庫、財務(wù)系統(tǒng)、客戶關(guān)系管理系統(tǒng)等關(guān)鍵資產(chǎn)進(jìn)行非法訪問，數(shù)據(jù)竊取與資產(chǎn)破壞工作。而這些訪問往往只是正常的增刪查改操作，并不需要借用攻擊代碼或惡意軟件，傳統(tǒng)基于網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的防御措置往往無法識別這類攻擊行為。缺乏有效手段主動識別新增業(yè)務(wù)過去的IT管理需要大量管理設(shè)備與專業(yè)人士進(jìn)行業(yè)務(wù)資產(chǎn)的識別與梳理，很多情況下要發(fā)現(xiàn)新增業(yè)務(wù)資產(chǎn)往往只能依賴定期的安全巡檢，效率不高且滯后。深信服認(rèn)為，通過自動化的手段對新增業(yè)務(wù)資產(chǎn)及其開放端口、使用協(xié)議、系統(tǒng)配置信息進(jìn)行識別，對關(guān)鍵業(yè)務(wù)訪問關(guān)系及其流量模型的可視化呈現(xiàn)，是感知全網(wǎng)安全威脅的基礎(chǔ)?？床灰妰?nèi)網(wǎng)潛藏威脅近年來，來自外部的攻擊手段也變得更高級、更迅速、更隱蔽。IT業(yè)務(wù)向互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、公有云的演進(jìn)為攻擊者提供了更多的攻擊向量，安全邊界變得越發(fā)模糊；APT、0-day病毒、0-day漏洞、惡意軟件欺騙與混淆、沙箱逃逸等技術(shù)的利用成為繞過傳統(tǒng)防御的最佳手段；而攻擊工具集、攻擊即服務(wù)的興起讓攻防的天平愈加失衡。看不見的內(nèi)部橫向攻擊攻擊者繞過邊界防護(hù)后，發(fā)生在內(nèi)部的橫向移動攻擊邊界防御設(shè)備無法進(jìn)行檢測，例如通過失陷主機(jī)向內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)或業(yè)務(wù)資產(chǎn)管理員發(fā)起的橫向移動或者跳板攻擊，如內(nèi)網(wǎng)嗅探、內(nèi)網(wǎng)掃描、漏洞利用、遠(yuǎn)程控制、攻擊會話維持等，均很難被發(fā)現(xiàn)?？床灰姷倪`規(guī)操作攻擊者的行為往往不是以病毒、漏洞利用等明顯的惡意特征出現(xiàn)。攻擊者會通過社會工程學(xué)、釣魚、以失陷主機(jī)為跳板等手段獲取高級管理員的賬號與權(quán)限；內(nèi)部潛藏的惡意用戶也會通過竊取、窺探等手段獲得合法權(quán)限。傳統(tǒng)的安全設(shè)備對偽裝成合法用戶的攻擊者的檢測是失效的，如非授權(quán)用戶對關(guān)鍵資產(chǎn)的違規(guī)訪問、授權(quán)用戶在非授權(quán)時間/地點對關(guān)鍵資產(chǎn)的違規(guī)訪問、授權(quán)用戶對資產(chǎn)的非授權(quán)操作（如批量下載，批量加密，非法修改等），均不能被有效的發(fā)現(xiàn)與識別?？床灰姷漠惓Ｐ袨楹诳驮谛崽?、突破、滲透、橫移、會話維持、捕獲占領(lǐng)的整個攻擊鏈條中，均會非常小心的隱藏自己的攻擊行為。攻擊者會將關(guān)鍵文件進(jìn)行打包加密甚至隱寫，所有的網(wǎng)絡(luò)會話也會在加密通道上傳輸，而會話維持以及遠(yuǎn)程控制服務(wù)器的通信會夾雜在代理、VPN隧道、NTP、DNS等正常網(wǎng)絡(luò)協(xié)議中混淆視聽。 深信服認(rèn)為，在看清業(yè)務(wù)的基礎(chǔ)上，企業(yè)和組織亟需加強(qiáng)對內(nèi)部的攻擊行為、違規(guī)操作和異常行為進(jìn)行持續(xù)檢測，并通過可視化平臺將這些潛在的問題進(jìn)行展現(xiàn)，從而揪出潛伏隱秘在內(nèi)網(wǎng)的內(nèi)鬼和攻擊者，應(yīng)對各種攻擊變種與內(nèi)網(wǎng)安全威脅。深信服安全感知平臺方案 深信服安全感知平臺方案是一套基于行為和關(guān)聯(lián)分析技術(shù)對全網(wǎng)的流量進(jìn)行安全檢測的可視化預(yù)警檢測平臺。方案設(shè)計體現(xiàn)適用性、前瞻性、可行性的基本原則，實現(xiàn)安全效果可評估、安全態(tài)勢可視化。主要有以下技術(shù)特點：看清業(yè)務(wù) 1、對業(yè)務(wù)系統(tǒng)核心資產(chǎn)進(jìn)行識別，梳理用戶與資產(chǎn)的訪問關(guān)系； 2、對業(yè)務(wù)資產(chǎn)存在的脆弱性進(jìn)行持續(xù)檢測，及時發(fā)現(xiàn)業(yè)務(wù)上線以及更新產(chǎn)生的漏洞及安全隱患；3、通過業(yè)務(wù)識別引擎主動識別新增業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)訪問關(guān)系；看見內(nèi)網(wǎng)潛在威脅4、對繞過邊界防御的進(jìn)入到內(nèi)網(wǎng)的攻擊進(jìn)行檢測，以彌補(bǔ)靜態(tài)防御的不足； 5、對內(nèi)部重要業(yè)務(wù)資產(chǎn)已發(fā)生的安全事件進(jìn)行持續(xù)檢測，第一時間發(fā)現(xiàn)已發(fā)生的安全事件； 6、對內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)的檢測，發(fā)現(xiàn)潛在風(fēng)險以降低可能的損失； 7、將全網(wǎng)的風(fēng)險進(jìn)行可視化的呈現(xiàn)，看到全網(wǎng)的風(fēng)險以實現(xiàn)有效的安全處置。方案架構(gòu) 通過潛伏威脅探針、全網(wǎng)安全感知可視化平臺、深信服安全服務(wù)云平臺構(gòu)成持續(xù)檢測快速響應(yīng)的技術(shù)架構(gòu)：潛伏威脅探針：在核心交換層與內(nèi)部安全域部署潛伏威脅探針，通過網(wǎng)絡(luò)流量鏡像在內(nèi)部對用戶到業(yè)務(wù)資產(chǎn)、業(yè)務(wù)的訪問關(guān)系進(jìn)行識別，基于捕捉到的網(wǎng)絡(luò)流量對內(nèi)部進(jìn)行初步的攻擊識別、違規(guī)行為檢測與內(nèi)網(wǎng)異常行為識別。安全感知平臺：在內(nèi)網(wǎng)部署安全感知平臺全網(wǎng)檢測系統(tǒng)對各節(jié)點安全檢測探針的數(shù)據(jù)進(jìn)行收集，并通過可視化的形式為用戶呈現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)及針對內(nèi)網(wǎng)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅；并通過該平臺對現(xiàn)網(wǎng)所有安全系統(tǒng)進(jìn)行統(tǒng)一管理和策略下發(fā)。深信服安全服務(wù)云：通過深信服云平臺，提供未知威脅、威脅情報、在線咨詢、快速響應(yīng)等安全服務(wù)。安全感知平臺方案特性全網(wǎng)業(yè)務(wù)資產(chǎn)可視化 主動識別資產(chǎn)：通過安全檢測探針可主動識別業(yè)務(wù)系統(tǒng)下屬的所有業(yè)務(wù)資產(chǎn)，可主動發(fā)現(xiàn)新增資產(chǎn)，實現(xiàn)全網(wǎng)業(yè)務(wù)資產(chǎn)的有效識別； 資產(chǎn)暴露面可視化：將已識別的資產(chǎn)進(jìn)行安全評估，將資產(chǎn)的配置信息與暴露面進(jìn)行呈現(xiàn)，包括開放的端口、可登錄的web后臺等。全網(wǎng)業(yè)務(wù)訪問關(guān)系可視化 業(yè)務(wù)系統(tǒng)訪問關(guān)系：通過訪問關(guān)系學(xué)習(xí)展示用戶、業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)之間訪問關(guān)系，通過顏色區(qū)分不同危險等級用戶、業(yè)務(wù)系統(tǒng)，可視化的呈現(xiàn)以識別非法的訪問； 業(yè)務(wù)系統(tǒng)應(yīng)用及流量可視化：業(yè)務(wù)系統(tǒng)的應(yīng)用、流量、會話數(shù)進(jìn)行可視化的呈現(xiàn)，并提供流量趨勢分析。內(nèi)部攻擊可視化內(nèi)部橫向攻擊行為檢測：對越過邊界防護(hù)，或以內(nèi)部主機(jī)為跳板的橫向攻擊，進(jìn)行實時檢測與報警，包括對內(nèi)掃描、對內(nèi)利用漏洞進(jìn)行病毒傳播、對內(nèi)進(jìn)行L2-7的攻擊行為等。違規(guī)操作可視化違規(guī)訪問行為檢測：結(jié)合全網(wǎng)的資產(chǎn)及訪問關(guān)系可視，將違規(guī)訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行可視化的呈現(xiàn)，防止進(jìn)一步可能存在的攻擊，并向管理員預(yù)警。異常行為可視化 業(yè)務(wù)資產(chǎn)異常行為檢測：包括業(yè)務(wù)資產(chǎn)在非正常時間主動發(fā)起的請求、業(yè)務(wù)主動向外發(fā)起非正常請求（如DNS請求）等異常行為預(yù)警可能存在的安全威脅； 潛在風(fēng)險的訪問路徑：將可能失陷的終端對業(yè)務(wù)系統(tǒng)的訪問路徑、存在異常流量及行為的終端/服務(wù)器的訪問路徑進(jìn)行預(yù)警，幫助管理員及時響應(yīng)安全事件并進(jìn)行安全策略調(diào)整。全網(wǎng)安全態(tài)勢感知 整體安全態(tài)勢：結(jié)合攻擊趨勢、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性對全網(wǎng)安全態(tài)勢進(jìn)行整體評價，以業(yè)務(wù)系統(tǒng)的視角進(jìn)行呈現(xiàn)，可有效的把握整體安全態(tài)勢進(jìn)行安全決策分析； 全網(wǎng)態(tài)勢感知：展示內(nèi)網(wǎng)服務(wù)器被外網(wǎng)攻擊的實時動態(tài)圖，實現(xiàn)全網(wǎng)安全攻擊態(tài)勢大屏展示；有效的攻擊事件：通過旁路鏡像的方式可將攻擊回包狀態(tài)進(jìn)行完整的檢測，結(jié)合業(yè)務(wù)系統(tǒng)的漏洞信息，可以識別攻擊成功的有效安全事件； 失陷業(yè)務(wù)系統(tǒng)/資產(chǎn)：通過外發(fā)異常流量、網(wǎng)頁篡改監(jiān)測、黑鏈檢測等檢測技術(shù)確定業(yè)務(wù)系統(tǒng)/資產(chǎn)是否已被攻擊，并將資產(chǎn)存在的后門進(jìn)行檢測，并向管理員告知已失陷的安全事件； 安全事件關(guān)聯(lián)分析：將下一代防火墻及安全檢測探針的安全事件進(jìn)行關(guān)聯(lián)分析，結(jié)合黑客攻擊鏈進(jìn)行關(guān)聯(lián)分析，并確定更加高級的安全威脅。我們在客戶全網(wǎng)發(fā)現(xiàn)的攻擊非法接入數(shù)據(jù)庫潛伏威脅探針識別出公司的數(shù)據(jù)庫服務(wù)器正在接受來自辦公區(qū)一臺電腦的頻繁訪問，該電腦并沒有接入數(shù)據(jù)庫的業(yè)務(wù)需求。潛伏威脅探針的分析結(jié)果顯示這些訪問傳輸?shù)臄?shù)據(jù)大部分為高密級數(shù)據(jù)。對關(guān)鍵數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的非法訪問是內(nèi)網(wǎng)遭受攻擊的一個明顯信號。內(nèi)網(wǎng)端口掃描潛伏威脅探針發(fā)現(xiàn)公司內(nèi)網(wǎng)的一臺電腦正在向內(nèi)網(wǎng)IP段進(jìn)行端口掃描，似乎在偵測內(nèi)網(wǎng)特定服務(wù)端口。這臺電腦是一臺蘋果電腦，但是安裝了舊版本的Windows操作系統(tǒng)，從過往行為來看該電腦的日常工作不需要進(jìn)行端口掃描操作。最終發(fā)現(xiàn)該電腦已經(jīng)被黑客控制，并在進(jìn)行進(jìn)一步滲透前的偵測行為。異常內(nèi)部文件傳輸在分支機(jī)構(gòu)的其中一臺電腦從共享空間上持續(xù)下載了1GB的共享文件，從過往的行為模型看該用戶間或會從共享文件夾下載文件，而如此大的下載量是首次。該異常行為提醒管理部門重新審視員工的合法接入權(quán)限。勒索軟件感染某天早上公司一位內(nèi)網(wǎng)用戶訪問了一個歸類為惡意鏈接的網(wǎng)站，從該網(wǎng)站下載的可執(zhí)行文件繞過了邊界防病毒引擎和沙箱的檢測。幾小時后，潛伏威脅探針發(fā)現(xiàn)該用戶電腦有針對網(wǎng)絡(luò)共享文件夾以及網(wǎng)絡(luò)共享的文件系統(tǒng)進(jìn)行大量