Top
首页 > 正文

经纬信安自适应主动防御产品体系

自动分析攻击者采用的战术、技术和步骤,对攻击行为回放,分析攻击路径,还原整个攻击链,预测攻击者的意图,评估攻击者下一步将采取的技术手段,预测预防。
发布时间:2023-10-18 17:59        来源:赛迪网        作者:

见未形·听无声·防未然

随着云计算、大数据、物联网、5G、AI等新技术的发展,各个行业的核心业务已实现高度信息化,网络安全面临的挑战前所未有。针对信息系统的安全威胁不断升级,尤其是针对关键信息基础设施的威胁。传统的安全防御措施在面对新的网络构架和新的攻击类型时显得力不从心,构建新安全防御体系应对复杂网络安全问题十分必要。

01 主动防御

面对复杂多变的安全形势,需要逐渐转变防护思路,从采用单一技术措施的信息保护时代,走向多点联动的立体化自适应纵深防御体系的联动防御时代,到如今进入了可以不依赖已知威胁知识,不依靠通过传统防护系统,重点对抗未知威胁攻击的主动防御时代。

为了更好维护国家网络安全,2023年5月1日出台了《信息安全技术 关键信息基础设施安全保护要求》提出主动防御活动以应对攻击行为的监测,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。大概内容可以概括为三大基本原则和六大安全维度。

三大基本原则

▶以关键业务为核心的整体防控

▶以风险管理为导向的动态防护

▶以信息共享为基础的协同联防

六大安全维度

●分析识别                ●安全防护

●检测评估                ●监测预警

●主动防御                ●事件处置

和传统被动防御相比,主动防御可实现全局立体防护和实时智能检测,并对检测到的网络攻击进行实时响应,而后对其分析、取证、溯源、反击。改变了传统防御落后于攻击的被动局面。因此,由被动防御向主动防护的转变,是网络安全产业发展的必然趋势。

02 自适应主动防御

自适应架构

Gartner在2017年发布的《在高级威胁的时代使用“持续自适应风险与可信评估”的方法来拥抱数字商业机会》报告中提到了持续自适应风险与可信评估,并把原有的自适应安全架构2.0升级到3.0。

自适应安全防御产品的逻辑架构应包含防御、检测、响应、预测四个外环模块以及访问安全代理内环,通过持续处理与循环形成安全防控双层闭环,可通过细粒度、全方位、实时不间断的安全威胁分析处理,自适应地适配多种网络威胁环境,动态调整安全防护策略,优化自身安全防护机制,形成智能集成联动的安全防御体系。

经纬信安自适应主动防御

经纬信安以PPDR自适应安全架构为核心,通过对云、网、端的攻击感知,生成安全事件,形成综合分析的攻击链路,映射ATT&CK的攻击者战术和技术。通过对攻击指标的持续监控分析,实现安全加固、联动防御,威胁检测、行为分析、溯源取证、主动响应,自适应闭环解决网络威胁等功能,实时资源统一分配、日志统一运维、风险统一分析、安全统一编排的弹性防御体系,形成包含事前主动发现和预防、事中主动检测和响应、事后主动溯源和取证的主动防御体系。帮助客户在数字化转型中,更早发现攻击、精准检测、主动防御,既有深度,也有广度,让信息更安全,让安全更高效。

其中:

★防御能力:制定安全防御策略与机制,降低信息系统的攻击面,形成动态主动防御能力,在形成有效攻击前拦截动作,并将情报反馈到检测、响应和预测功能。

★检测能力:对现有系统中的安全信息进行分析并发现系统中可能存在的攻击事件,确认事件的安全风险及其风险级别,及时遏止攻击事件,减少安全威胁带来的影响及损失,并将情报反馈到响应、预测和防护功能。

★响应能力:通过智能化的分析获取此类攻击特征、来源、路径、方式以及最终目标,相应地更改安全防护措施,制定有效的预防机制防止类似攻击,并将情报反馈到防御、检测和预测功能。

★预测能力:通过防护、检测、响应结果持续智能优化基线系统,主动预测对现有信息系统将要发生的攻击,优先调整防御策略,并将预知的结果不断反馈至防御、检测、响应模块,形成整个自适应安全防御体系的闭环。

03 产品介绍

经纬信安自适应主动防御体系以纬将主动防御平台(XDR)为核心,以见未形风险评估系统(ASM)、经纬信安威胁情报中心(XTI)、戍将攻击诱捕平台(IDH)、经兵端点检测响应平台(EDR)、纬将网络检测与响应(NDR)、纬将自动化编排与响应(SOAR)为支撑,构建“预测、预防、监控、分析和响应”于一体的自适应网络安全闭环防御平台,实现智能驱动、自动响应和集约管控应对网络攻击。

纬将主动防御平台

纬将采用自上而下的设计思路,深度洞察攻击面,以攻击视角进行深度资产威胁建模,通过动态运营,发现易受攻击点,找出攻击关键路径。基于多源数据采集,深度关联再研判,可快速发现失陷事件,令全局风险可视。分析业务场景,狩猎潜在的安全威胁,定制对应规则,保证安全威胁无所遁形。以PPDR自适应安全架构,实现预测攻击、主机入侵检测 、流量入侵检测、攻击诱捕、行为分析,可以更快发现威胁和自动化响应处置事件,以统一的解决方案,大大降低了安全运营的成本,自适应闭环解决网络威胁问题。

纬将具备独立检测和响应,以及扩展检测和响应。

纬将独立检测和响应:

纬将主动防御平台具备独立检测响应能力,通过内置流量检测、主机探针检测、蜜罐探针检测,结合内置威胁情报的智能化分析,具备不依赖其他产品的独立检测和响应能力,高效自动化运营。

纬将扩展检测和响应:

纬将主动防御平台通过API接口,无缝衔接经纬信安自身产品:经兵端点安全、戍将攻击诱捕平台、戍将WAF、以及经纬信安威胁情报中心,并可以通过API接口或纬将SOAR联动主流防火墙、WAF等安全产品,联防联控。

纬将主动防御平台自适应精准检测和自动化智能响应:

1.预防并提前阻止攻击

发生在智能检测攻击的每个阶段,可根据情报快速检测识别攻击,同时联动多种安全设备隔离威胁,阻止攻击发生。

2.跨越网络、云和端点进行分析,更快发现隐藏威胁

对端点、网络和云环境有更加全面的可视性和情境理解,有更长时间的数据保留以方便取证。具有广泛的威胁情报,同时与其它安全数据做关联整合,对攻击事件映射ATT&CK,完整清晰展现攻击链路。

3.对威胁的简化调查和响应

警报关联和分组,减少无意义的报警,具有简化的用户管理界面,同时具有丰富的数据透视功能。支持手动和自动搜寻威胁,进行威胁狩猎以及安全剧本编排以便对威胁启动联合响应。

4.自适应进化

使用可扩展的基础架构和人工智能,融合第三方情报的经验学习能力,将事件转化为情报,促进系统进化。

见未形风险评估系统

见未形提供丰富的自定义功能模板,用户可按照业务类型、时间周期、任务优先级自定义高级扫描,深入总览风险情况,持续攻击面管理,并提供闭环处置方案。

1. 资产清点

全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。精准资产识别,通过内置强大的协议库及指纹信息,快速准确的识别资产操作系统、服务类型、组件容器、脚本语言等指纹信息。

2. 漏洞扫描

基于模板的、插件化的快速扫描引擎,对测试目标的漏洞进行快速、深入扫描。深度的风险检测、模拟真实黑客攻击,从黑客视角,采用无伤的POC深入直观地获取站点的脆弱性情况。支持扫描操作系统漏洞、网络设备漏洞、WEB服务器漏洞、数据库服务器漏洞、邮件服务器漏洞、DNS漏洞、系统漏洞等类型的漏洞识别,提出整改方案。

3. 弱口令扫描

见未形风险评估系统利用字典文件加快破解速度,支持扫描RDP、FTP、SSH、Telnet、Mssql、Mysql、Oracle、SMB、VNC等20多种协议弱密码,且支持根据业务特点自定义用户名和密码字典、联动戍将。

戍将攻击诱捕平台

通过部署蜜罐诱使攻击方实施攻击,从而对攻击行为进行捕获和分析,形成本地定制威胁情报库。诱捕内网潜在威胁,检测内网横向移动,“深挖”风险资产,及时解决。联动戍将阻断系统,拦截阻隔攻击,自动化防御,高效响应,防患于未然。

1. 广布诱饵,丰富触角

经纬信安广布诱饵,在互联网、防火墙边界和内部端点采用无探针方式的蜜饵和蜜标,从攻击者探测阶段就开始收集大量情报,提前获取攻击者信息,预防攻击。部署方案采用大探针,一键获取外网和内网空闲IP,自动扩大映射。

2. 全链路深入诱捕

自研专利技术的基于ATT&CK攻击者全链路欺骗防御,在攻击者必经之路设置欺骗点诱使攻击者攻击仿真的业务系统,自动推送攻击者感兴趣的蜜罐,深入诱捕,使之流连忘返,记录攻击者完整的攻击链信息。

3. 拟态诱捕,高仿真

快速学习网络环境,自动模拟网络中的脆弱性环境,并能“真实”的仿真业务环境,形成孪生系统,记录攻击者细粒度行为,反馈真实业务。

4. 动态场景变换,增强迷惑性

根据环境场景情况智能部署适应性的蜜罐模板,并能够自动动态变化蜜罐场景,增强对攻击者的迷惑性。

5. 溯源反制,主动防御

通过溯源获取攻击者20余种社交信息、位置信息、设备信息;达到准确定位、溯源和反制攻击者。

经纬信安威胁情报中心

经纬信安威胁情报中心聚合了本地威胁情报回路、公网数据生成的云端威胁情报和第三方威胁情报机构提供的威胁情报,综合创建出了威胁情报库,为用户提供全面优质的情报服务。

1. 内生情报

通过戍将、经兵、纬将综合分析形成本部门、本单位内生的情报库。

2. 互联网情报

云上威胁情报中心集合第三方威胁情报机构提供的威胁情报和经纬信安情报,经纬信安情报丰富了攻击者的攻击工具、攻击手法及指纹信息,收集、加工、整理后形成经纬信安威胁情报库。

3. 情报联动

戍将、经兵、纬将内置经纬信安威胁情报,对攻击事件自动匹配情报信息,丰富判断依据,提高决策效率,为自动化响应提供数据支持。

经兵端点检测响应平台

经兵通过探针全面采集端点内部各项资产信息,基于主机和终端资产,在海量威胁事件中快速精准发现会真正影响用户的真实潜在威胁和入侵事件,及时提供安全预警信息和灵活高效的响应处置。其功能覆盖事前、事中、事后全流程。提供灵活高效的问题解决能力,为企业构筑安全防线。

1. 基于安全视角的资产发现与管理

结合业务优先级、强合规等要求,从更高的安全敏感度考虑资产重要性,对发现的资产进行分类分级、统一管理。

2. 结合脆弱性检测的多锚点入侵检测技术

针对资产的薄弱环节,精准检测出潜在受到威胁的主机资产,实时准确感知入侵事件,发现失陷主机,提供常态化响应。

3. 一键任务化检测基线结果

提供了基于国家安全规范的合规检测能力,支持一键检测,让基线结果可视化,帮助用户快速掌握服务器资产对于安全资产情况。

4. 精准持续的漏洞扫描

支持多种漏洞类型识别,可根据扫描结果定期更新漏洞扫描规则,实现精准高效的持续检测。

5. 安全事件快速响应

自动关联资产数据,根据资产重要程度和风险危险程度,智能提取需要优先处理的风险,快速定位并有效解决风险问题。     

6. 灵活的部署方式

可部署在任何网络可达的环境中,支持物理实体机、虚拟化主机和云主机等不同环境下部署。各系统可独立部署,也可以模块化进行统一管理。

网络安全综合服务

为客户提供安全咨询、渗透测试、攻防演练、安全培训、重保保障、安全运维、风险评估等多种网络安全的综合性服务。

1.安全咨询

包括安全管理体系建设、安全等级保护规划、信息系统风险管理、安全保障体系规划,建立和维护全面、有效、合规的信息安全管理体系,整体提升信息安全管理成熟度,保障业务运营和战略达成。

2.渗透测试

包括高级渗透测试服务和持续跟踪问题修复状态的企业安全巡检服务,为用户提供全面的“安全体检”报告和专业的修复建议,形成安全风险从发现到解决的闭环管控。

3.攻防演练

制定网络安全攻防演练实施细则,明确攻防演练中所涉及到的系统、IT基础设施、安全防护能力、安全管理、安全运营的责任单位的职责分工。制定攻防演练脚本,实施攻防演练。

4.安全培训

安全培训包括安全意识、安全技术及安全管理培训;同时也根据不同行业需求,为客户提供安全知识培训,通过培训使客户最终达到强化安全意识,理解安全理论,掌握安全技术。

5.重保保障

制定重保时期安全保障实施细则,明确重保前对现有网络运行服务进行安全检查与整改,制定重保安全检查与加固标准规范,明确安全检查后实施整改的流程和操作规范。实施重保期间安全防护工作。

6.安全运维

对网络设备、安全设备、主机系统进行安全巡检,及时修补系统中发现的安全漏洞和隐患,并针对该漏洞和隐患进行相关的安全加固和优化服务。

7.风险评估

了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。

04 核心功能

经纬信安一体化主动防御解决方案以风险评估、威胁情报、攻击诱捕、主机安全、入侵检测为核心,实施模块化管理,与传统安全产品进行联动响应,同时提供常规安全巡检,构成主动防御安全服务方案,实现对主动防御的检测防御和日常安全能力建设目标。

主动防御以攻击者视角,在攻击链的关键节点设计检测和防御产品,变被动为主动。按照“发现早、管理严、及时堵、快处置”的总原则。达到“实战化安全运行、常态化安全防护、生态化安全协作”网络安全保障能力,全面提升网络信息系统攻击事前预警、事中处置和事后管控能力。

事前主动预防

以用户资产为核心,梳理用户的资产情况以及漏洞、弱口令、恶意代码等风险问题,事前进行风险评估,见风险于无形,并对风险资产进行安全加固,帮助安全管理人员先于攻击者发现安全问题,及时进行修补,收敛攻击面,做到主动预防。

通过攻击诱捕在攻击者侦查阶段就能第一时间有效感知入侵行为,引诱、干扰攻击者,转移攻击目标,提前预警并为防御提供决策支持。

可智能配置响应策略,结合威胁情报,提前加入防火墙黑名单,主动防御。

事中主动检测

主动防御平台综合感知云、网、端的攻击行为,实时准确捕获入侵事件,清晰描述当前事件的攻击杀伤链。

通过部署高仿真蜜罐,诱捕内网潜在威胁,提供几乎无缺陷的检测,高效快速识别威胁。

提供多锚点的主机入侵检测,能够实时、准确地感知入侵事件,发现失陷主机。

事中主动响应

精准识别检测安全威胁和入侵事件,及时提供安全预警信息和灵活高效的响应处置,不仅能自身旁路阻断IP连接,并能进行文件隔离、查杀、进程终止、IP/DNS封堵、主机隔离和失陷断网,还能联动防火墙阻断。

结合资产重要程度和风险威胁程度、业务影响、修复影响等因素,智能提取需要优先处理的风险。

事后主动溯源

围绕攻击链完整回溯攻击事件,定位攻击者指纹信息(IP地址、MAC地址、操作系统版本、设备型号等),追踪攻击者;以自适应安全架构,综合分析攻击者的攻击全链路,提供详细的日志分析,溯源取证。

有效解决“谁进来了不知道、是敌是友不知道、干了什么不知道”的问题,并能反制攻击者。

自动分析攻击者采用的战术、技术和步骤,对攻击行为回放,分析攻击路径,还原整个攻击链,预测攻击者的意图,评估攻击者下一步将采取的技术手段,预测预防。

每日必读

专题访谈

合作站点