國舜高級持續性威脅預警系統通過持續監測網絡流量、分析安全威脅,能夠幫助用戶實時了解自身網絡的安全運行態勢,發現潛在的惡意行為,找出受攻擊的辦公電腦,發現已知威脅變種、未知威脅和惡意加密傳輸的流量,讓網絡安全隱患無處遁形。
立即咨詢
安全挑戰
1. 高級持續性威脅愈演愈烈
企業和組織機構的內網安全,既關系到自身增值業務的高效運營,也關系到其基礎網絡和日常辦公的正常開展。隨著近幾年國家對網絡安全的重視程度在逐步提高,尤其是等級保護的強力推行,多數的企業和組織機構都部署了防火墻、IPS和防病毒軟件等常規的安全設備或軟件系統。然而,信息技術的飛速發展也讓黑客的攻擊手段變得更加高明,針對計算機和網絡系統的攻擊行為也在持續進化,層出不窮的新型高級惡意威脅仍然能夠輕易穿透這種基礎的網絡安全防護網,直達企業內部核心資產。此類攻擊手段復雜、潛伏時間較長、檢測難度很大,業界統稱為APT(Advanced Persistent Threat,高級持續性威脅)。一次成功的 APT攻擊,輕則造成公司核心商業機密泄漏,重則導致金融、能源、交通等涉及國計民生的行業陷入癱瘓。
2. 缺乏專崗安全運營人員
隨著網絡信息化的持續完善,企業信息系統的規模逐漸變大,網絡中每天都在發生的安全威脅事件也在持續增加,安全告警數據量每日成千上萬已是常態?,F實情況下只有較少的大型企業、政府機構或其他組織機構才會配備專業的網絡安全部門或個人,很多體量較小的企事業機構可能都不會有專職的安全運營人員,而且人員的專業技能更新往往也跟不上安全技術的快速發展。這種情況已經嚴重影響了企業網絡安全事件檢測、分析與處置的效率,無法保證高效的安全運營體系建設和管理。
3. 安全事件分析需要專業的技術手段
在日常安全監控、安全應急響應、攻防演練支撐、兩會重保、安全攻防演練等場景下,僅僅有人還不夠,必須要有一套專業的安全事件分析工具或專業的網絡安全產品來做支撐,提供基于流量的深度協議分析和基于文件的深度威脅檢測功能,同時要具備較強的流量處理性能、較高的準確率和較低的誤報率,能夠提供自動或半自動的檢測分析手段,允許用戶在一定程度上自定義分析流程或自定義檢測規則,能夠展示詳細的檢測結果和證據,有一套內容豐富的可視化呈現界面,方便投到大屏顯示設備,等等。
解決方案
1、系統架構
國舜高級持續性威脅預警系統架構如圖所示,監聽口接收鏡像/分光流量,通過流量采集引擎對數據包進行快速處理以及硬件資源調度。通過篩選引擎過濾不關注的數據,將過濾后的數據進行二次處理,分別進行特征檢測、元數據提取、文件提取、流量存儲處理等。通過特征檢測引擎檢測基于特征的已知攻擊,通過元數據、文件提取實現檢測數據預處理,通過流量存儲實現數據留存取證。之后通過中間件將元數據和事件進行泛化處理,將處理后的數據提交至AI檢測引擎、異常行為檢測引擎、文件檢測引擎、威脅情報檢測引擎、(Yara/JA3/SSL)檢測引擎,結合關聯引擎進行集中檢測,最后將檢測結果以日志/告警形式輸出,并以大屏的方式展現。
2、部署方案
國舜高級持續性威脅預警系統通過分光或鏡像網絡流量的方式,旁路部署在單位網絡進出口處,對流經的網絡流量進行監測,實時告警,發現潛在的高級威脅。系統部署方式如圖所示:
國舜高級持續性威脅預警系統通過持續監測網絡流量、分析安全威脅,能夠幫助用戶實時了解自身網絡的安全運行態勢,發現潛在的惡意行為,找出受攻擊的辦公電腦,發現已知威脅變種、未知威脅和惡意加密傳輸的流量,讓網絡安全隱患無處遁形。
方案特點
1.豐富
國舜高級持續性威脅預警系統內置多種檢測引擎,覆蓋已知威脅檢測和未知威脅檢測、流量威脅檢測和文件威脅檢測、靜態威脅檢測和動態威脅檢測,既可檢測實時流量,也能回放歷史報文,還可對接其他文件來源,多種檢測技術能夠完整覆蓋APT攻擊的整個攻擊鏈,在不同的階段可以使用不同的檢測技術來有效應對。
2.專業
系統集成了多個AV檢測引擎,能夠保證文件檢出率;集成十幾種人工智能檢測技術,包括文件基因圖譜檢測、惡意加密流量檢測、暗網(Tor)通信檢測、ShadowSocks通信檢測、隱蔽隧道檢測(ICMP、HTTP、DNS)、DGA域名檢測、web攻擊檢測等,有效克服傳統安全檢測技術難以企及的諸多領域難題。
3.靈活
系統提供了豐富的自定義功能,可以在界面上靈活開啟和關閉各種檢測開關,可以自定義系統模式,自定義沙箱運行種類、數量和檢測參數;可以自定義各類檢測策略和引擎規則,比如文件類型、IP信譽、文件白名單、流量白名單等;針對加密https協議,系統可以通過自定義網站和私鑰對的方式來解密流量;針對網絡異常行為和郵件異常行為,系統可以通過自定義規則來靈活匹配和告警,等等。
4.高效
系統提供了多種可視化分析面板,將客戶日常運營中各類常見的高頻關注事件分別進行多維度可視化展示。同時,針對攻防演練和重保等重點應用場景,系統提供了一站式工作臺,預置十幾種快速查詢條件,提供豐富的事件搜索、關聯查詢和元數據追溯等功能。配合國舜安全運營平臺和大數據分析系統,有效提升安全事件分析和溯源取證的效率。
客戶價值
1.持續監控網絡攻擊,時刻把握安全態勢 國舜高級持續性威脅預警系統部署在網絡出入口處,能夠持續監控網絡流量,利用各類檢測引擎實時監控內外部網絡攻擊,幫助安全運營人員時刻把握網絡安全態勢。 2.多元檢測高級威脅,及時修補安全隱患 利用沙箱技術和人工智能檢測技術全面檢測各種高級威脅,可以及時發現自身網絡中各類信息系統存在的網絡安全隱患,提醒用戶修補漏洞加固系統。 3.深入洞察安全事件,高效追溯攻擊來源 系統提供的各類可視化分析面板,能夠協助用戶深入洞察各類網絡安全事件,同時,利用系統內置的關聯分析和深入鉆取等功能,可以高效追溯攻擊來源。 4.有效滿足監管要求,助力合法合規建設 系統留存了詳實的網絡流量數據和文件樣本數據,在等保合規建設中能夠有效滿足日志審計和網絡行為分析等各類監管要求,助力單位實現合法合規建設。
北京國舜科技股份有限公司
Beijing Guoshun Technology Co., Ltd.
北京市海淀區上地信息路7號弘源首著大廈5層
安全產品
開發安全
SOAR
業務安全
網頁防篡改
安全服務
安全培訓
安全咨詢
攻防演練
安全評估
解決方案
開發安全
實戰攻防演練
城市安全運營
銀行行業
關于我們
企業介紹
榮譽認可
加入我們
聯系我們
聯系我們
熱線:400-696-8096
電話:010-82838085
郵編:100044
郵箱:contact@unisguard.com
關注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網安備110108000272號