随着网络安全形势日益严峻,作为基础电信业务经营单位的运营商面临着越来越大的压力。运营商行业亟需通过提升网络安全感知、网络安全应急处理、网络安全防护等各项能力,保障运营商信息化安全。对此,运营商行业用户通过部署传统的访问控制、接入控制及监控处置类安全设备构建了网络安全基础防护体系,但面对日益复杂的网络安全挑战却总会存在“手忙脚乱”的情况。
一
运营商行业网络安全威胁检测建设的不足
随着信息与网络安全技术的进步与用户安全意识的提升,运营商行业用户普遍已经通过加强技术和管理的手段实现了对传统网络安全威胁的有效对抗,但针对绕过边界防御潜入内网的威胁(如APT攻击)却缺乏有效检测手段,以下为运营商行业网络安全威胁检测建设的常见不足:
1.脆弱性发现和威胁感知能力薄弱
用户可通过已构建的SOC安全运营中心,采集全网的IDS/防火墙等安全设备日志进行分析,但由于这些设备只能检测传统网络安全威胁,无法有效检测APT、0Day等高级威胁与未知威胁,针对威胁的分析、研判和处置全过程自动化能力不足。
2.威胁监测范围不足
IT云、业务云、IDC、DCN网内、DCN网互联网出口等缺少基于全流量监测的威胁处置手段,无法全面感知网络安全风险。
3.缺乏大数据、AI分析能力
不具备AI学习分析、大数据关联分析能力,无法发现变种行为及“内鬼”行为,基于资产信息、威胁信息、脆弱性的安全感知能力欠缺。
4.无法确定攻击影响面
缺乏风险预判与溯源能力,无法定位攻击阶段、路径及影响面,难以评估受损情况。
二
深信服全流量监测分析解决方案
深信服全流量监测分析解决方案以全流量分析为核心,利用威胁情报、UEBA、机器学习、大数据关联分析等技术,可以对DCN网内、公网出口、业务云、IT云、IDC等关键节点处的真实流量进行实时监测与分析,及时发现潜伏威胁和失陷主机,并通过全流量监测分析平台将分析结果对接至SOC安全运营中心,进行进一步综合分析,同时可联动安全组件或处置平台进行快速响应,有效抵御各类已知威胁和APT攻击等高级威胁。
1.多维智能分析,有效发现高级威胁
• 能够对高级威胁常用攻击行为、病毒行为、异常外联行为等行为特征进行分析,同时结合大数据关联分析引擎提供的联动分析以及DGA域名判别,构建融合检测模型,从而及时发现失陷主机与高级威胁。针对APT攻击的特点,为用户提供多视角的检测发现能力,及时发现针对用户重要资产实施的多种形式的定向高级攻击。
• 内置深信服自研的SAVE安全智能检测引擎,该引擎利用深度学习技术对数亿维的原始特征进行分析,结合安全专家的领域知识,利用多种机器学习算法组合,实现对新型恶意样本快速有效的检测。
• 利用UEBA技术进行内部用户和资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测异于基线的异常行为并将其作为入口点,结合计算处理模型发现异常用户、资产行为,识别“内鬼”行为和已入侵的潜伏威胁,提前预警。
2.综合安全风险可视,深度洞察高级威胁
• 以用户关注的视角,将安全风险以业务、终端、安全域等维度进行关联展示,对安全事件进行详细地举证,让用户真正看懂安全风险。
• 提供了基于影响面分析的可视化工具,用于分析风险主机的影响面,了解风险主机对内、对外已经影响了哪些资产,需要在下一步对哪些资产进行处置,消除已产生的受损情况,并评估整体危害程度。
• 基于时间线的攻击溯源,以回溯方式发现具体遭受的攻击、疑似入口点情况、失陷时间点,最终推导最可能的攻击者情况,为用户提供快速分析、追溯能力。
3.高效协同联动,闭环处置安全风险
• 基于大数据关联分析与深度挖掘技术快速定位出内网失陷主机和高级威胁,对于来自于互联网或边界的攻击行为,通过联动边界防火墙或一键封停平台下发安全策略,及时阻断相应的攻击行为。
• 对于服务器与终端的失陷主机,通过联动终端检测与响应平台下发一键扫描策略,快速查杀恶意程序,封堵主机的攻击威胁,防止威胁风险进一步扩大。
• 配套专家服务,提供专业的威胁分析、威胁处置、溯源分析、安全加固等能力,配合用户闭环处置安全风险,提升安全运营能力。
4.匹配重保需求,支撑全流程安全闭环
• 具备专门的重保大屏,可实现外网暴露面、核心服务器梳理,并可进行实时攻击分析与攻击者分析。
• 支持手工与自动封锁外部攻击者,同时可支持云端与本地的威胁情报共享。
• 支持溯源及快速搜索,可通过IP检索失陷主机溯源结果和攻击者画像信息。
三
深信服全流量监测分析解决方案价值
深信服全流量监测分析解决方案可以满足运营商在APT高级可持续攻击检测、全网安全威胁监测、重保等各个场景的威胁检测与处置需求。
• 通过在互联网出口部署探针,可以实现对外部攻击的精准检测。
• 在DCN网内部署探针,实现对内网的威胁监测与感知,同时可有效发现来自省DCN网侧的攻击。
• 在私网重要网元节点部署探针,可实现对核心系统进行网络安全重点监测。
• 在业务云、IT云部署探针,对云内流量的全面监测,可实现租户级的威胁感知。
整体方案基于全流量监测,可实现对复杂的网络安全攻击、攻击事件之间的关联分析,通过精准检测、全面可视、及时响应弥补运营商网络安全建设的短板。
四
优选实践案例
• 某省联通:在省网管网、增值业务网、各资源池出口以及在各个地市IDC机房出口等关键节点部署探针,实现全网的威胁监测与分析;同时,在网络边界部署下一代防火墙,与全流量监测分析平台联动,实现对全网威胁的全面发现、立体处置、一键溯源。
• 某省电信:通过在省份DCN网互联网出口、网管网、IT云、DMZ等接入核心节点部署探针,实现全流量采集,通过AI、大数据分析、行为分析建模等算法引擎,实现对全网流量的深度分析,可探测出全网东西、南北向整体安全状况,并配合一键封停平台进行威胁处置。
• 某省移动:通过在BOM三域部署全流量监测分析平台,监控和发现来自外部的APT攻击行为,再通过态势感知系统及其他安全管控系统,对异常和攻击行为进行防护处理,通过对支撑域安全防护体系改造升级,重点补足了用户当前网络对APT攻击检测分析的能力。
随着运营商业务支撑系统云化与中台改造的加速,运营商的安全建设正在从传统的边界防御向云端安全与终端安全延伸,从网络安全向数据安全、应用安全延伸,为此深信服致力于为运营商用户构建“可信接入、立体防护、全网感知、集中管控”的新一代安全架构,助力运营商行业信息化发展。