深信服安全感知平台
2019-12-04 11:46:38
来源:深信服科技
安全现状
2017年,全球爆发WannaCry勒索病毒,国内大量高校医院,甚至是认为网络隔离做的很好的单位也被病毒感染。受影响的组织和个人造成的损失无法估量。
2013年,Target 被黑客从与供应商对接的外联区入侵,如入无人之境,在内部迅速横向渗透至POS管理区,最终造成1.1亿用户信息泄露,各项损失高达10亿美元。CEO由于入侵事件引咎辞职。
2011年,老牌安全公司RSA被黑客通过钓鱼邮件入侵,轻易进入内网,并利用0Day漏洞进入服务区,获取数据后通过加密隧道进行回传,最终盗取了大批双因素认证SecurelD私钥,直接经济损失6600万美元。
传统安全防护体系的三个弊端
1.安不安全不知道
安全设备没有告警,就没有问题了?
‘敌暗我明’,不是看不到问题就没有问题!
2.哪里不安全不知道
黑客到底是怎么黑进来的?
‘盲人摸象’,缺乏有效的手段检测多变的攻击!
3.造成了什么危害不知道
办公室服务器被黑了,修复好它之后,问题就解决了吗?
‘防不胜防’,跳板攻击控制核心业务,信息泄露而不自知!
深信服安全感知解决方案
深信服安全感知平台定位为客户的安全大脑,是一一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与异常流量可视化、业务弱点与防御体系薄弱评估等,帮助客户在高级威胁入侵之后、损失发生之前及时发现和定位威胁。
部署架构
安全感知系统(SIS)
负责收集汇总探针、NGAF等各类安全组件日志,通过人工智能、大数据关联分析等技术,发现网络的脆弱性、潜伏威胁,并简单易懂地展示出来。
潜伏威胁探针(STA)
旁路部署在关键节点,对全流量进行检测,提取有效数据上报给SIS。
下一代防火墙(NGAF )
网关部署在出口或边界,一方 面负责安全防御,另一方面对全流量进行检测,提取有效安全数据上报给SIS。
威胁情报
深信服云端威胁情报系统与SIS对接,实时下发情报数据给SIS,增加威胁识别效率和准确率。
其他可对接的安全组件
端点安全(EDR) :插件形式部署在硬件或虚拟化服务器操作系统上,负责采集服务器安全数据上报给SIS,同时对僵木蠕进行扫描和查杀。
上网行为管理(AC) :旁路或网桥部署在出口,一方面实现上网行为管理功能,一方面与 SIS对接,实现用户身份的识别。
虚拟安全组件(VSS):实现虚拟化场景下,虚拟机之间东西向流量可视与检测。
技术架构
方案优势
更精准更广泛的数据来源
大数据是势感却的越势。牡对客户网络中关键节点上的原始流量数据,通过深信服自有布用深叶设备生动采集难以关联分析等问题。原始流量的方式,保障了智能分析引擎检测的准确性,规进了异构的第三方日志存在难以理解,自身误报误判。
最佳数据采集建议如下:
1.南北向:通过NGAF主动采集南北向有效数据;
2.东西向:通过探针( STA)、VSS等主动采集东西向有效数据;
3.终端层面:通过EDR来采集服务器和PC上的有效数据;
4.网络外部:通过威胁情报、云眼、云盾主动采集互联网与对外业务的有效数据;
5.第三方日志:通过syslog标准格式收集第三方设备日志。
更智能的检测分析技术
深信服安全感知智能分析系统是通过海量数据收集与管理,利用人机共智,结合流量特征、行为分析建模、各类监督学习算法、机器学习、大数据关联等技术,有效检测APT攻击和潜伏在网络内部的未知威胁,从而提升整体网络安全能力。
更简单的安全可视
通过自动识别和梳理资产,实现全网业务资产的有效管控,依托于可视化技术,展示用户、业务、互联网之间的访问关系,简单清晰地展示业务关系和潜在的异常访问风险。潜伏威胁黄金眼以多种维度对威胁影响面进行评估,以攻击关联性角度检测到“我”攻击了“谁”,“谁”攻击了“我”,并以可视化的方式展示出来,便于威胁的处置。
有效的协同运维响应
一键阻断:自动阻断木马与黑客通信;
端点查杀:端点执行扫描、查杀等动作;
用户识别与提醒:识别用户身份,封堵后进行页面提醒;
高级人工服务:安全应急响应,解析网络威胁现状和威胁,并给出安全建设建议。
