资源描述
XX单位
安全感知平台项目建设方案
1
目 录
1 项目概况 1
1.1 项目名称 1
1.2 编制依据 1
1。3 项目立项依据 2
1.4 项目建设的必要性 3
1.5 项目建设目标 4
1。6 总投资估算 5
2 需求分析 5
2。1 信息化和安全建设现状分析 5
2。2 行业现状和攻防对抗需求分析 6
2。2。1 传统威胁有增无减,新型威胁层出不穷 6
2.2.2 已有检测技术难以应对新型威胁 7
2.2.3 未知威胁检测能力已经成为标配 8
2。3 现有安全体系的不足分析 8
2.3。1 看不清自身业务逻辑 9
2。3.2 看不见潜藏威胁隐患 10
2.3.3 缺乏整体安全感知能力 11
3 方案理念 13
3.1 看清业务逻辑 13
3。2 看见潜在威胁 14
3。3 看懂安全风险 15
3。4 辅助分析决策 16
4 解决方案 16
4.1 方案概述 16
4。2 安全感知系统 17
4。2。1 系统架构 17
4.2.2 部署拓扑 18
4.2.3 组件实现 19
4。2。4 主要功能 28
4。3 监测响应服务 39
4.3。1 安全事件监测、预警和通报 39
4。3。2 安全事件应急响应处置 40
4.3。3 重要时期信息安全保障 42
4。3.4 常规驻场值守服务 42
5 方案价值和主要技术优势 42
5。1 全网业务资产可视化 42
5。2 全网访问关系可视化 43
5。3 多维度威胁检测能力 44
5.4 安全风险告警和分析 46
5.5 全局视角态势可感知 47
6 价格估算表 48
2
1 项目概况
1.1 项目名称
XX市局网络安全态势感知项目
1.2 编制依据
《中华人民共和国网络安全法》
《“十三五”国家信息化规划》(国发〔2016〕73号)
《信息系统安全等级保护基本要求》(GB/T 22239—2008)
《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)
《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术信息系统安全工程管理要求》(GB/T 20282—2006)
《信息安全技术网络基础安全技术要求》(GB/T 20270—2006)
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《市、县两级机关“云上、智能防控"第一战略建设第一批任务清单》(浙公办〔2017〕157号)
1.3 项目立项依据
习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”,将网络安全的思维模式从单纯强调防护,转变到注重预警、检测、响应的格局,安全能力从“防范”为主转向“持续检测和快速响应”,实时防御将以威胁为中心,以数据为驱动解决安全问题.
2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》,再次强调了态势感知的重要性,“十大任务"中的最后一项,“完善网络空间治理体系和健全网络安全保障体系”,再次提出“全天候全方位感知网络安全态势”.
2017年6月1日正式实施《中华人民共和国网络安全法》,明确指出国家建立网络安全监测预警和信息通报制度,相关部门应加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全检查信息,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;.
2017年7月28日,XX省厅下发《市、县两级机关“云上、智能防控"第一战略建设第一批任务清单》(浙公办〔2017〕157号)文件要求,开展网(含视频专网)网络流量还原取证系统建设,通过流量镜像方式记录关键网络节点的网络流量数据,能够在网(含视频专网)发生异常网络攻击和入侵后,能够通过倒查还原网络流量数据及时进行准确定位和取证,流量还原审计数据应保存6个月以上;
1.4 项目建设的必要性
随着网络信息化工作的不断深入,信息主导警务的趋势日益明显,信息通信网同外部接入单位之间的数据交换量逐渐增大,网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大,信息通信网上信息的完整性、安全性面临的挑战越来越多。
1、安全事件分析难度大,安全威胁处理陷入困局
随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多,网络中的关键安全设备和业务服务器产生了大量的安全事件日志,安全运维人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患。
2、网络攻击越来越复杂,安全问题难以检测
云计算技术的发展将IT资产不断向虚拟化迁移,业务的增删查改变化大,IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊,而传统的安全防御模式还停留在网络与应用系统,导致看不清资产变化,看不清业务访问关系,更看不清内部的横向攻击、异常访问与违规操作,黑客一旦突破边界以后,往往利用合法用户身份渗透内部其他业务系统,窃取核心数据。
3、贯彻落实政策文件要求,全面加强信息安全建设
根据习主席“419讲话"精神和 《网络安全法》等相关政策文件要求,结合我局安全建设需求,形成一套符合我局防御、监测、响应为一体的安全体系,对于全面推进我局安全建设具有指导意义。一方面消除高危安全隐患,提高抵御攻击能力,从整体上提高安全防护与监测水平;另一方面,通过建立快速的事件响应与处理机制,配合专业安全专家团队,防止因为响应能力不足导致安全威胁扩散,提升响应速度,提升响应效果,形成最佳实践。
1.5 项目建设目标
本项目的建设目标是:强化XX市局网络信息安全监测预警能力,主要解决当前网网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高网突发安全事件监测和预警能力,实现市级结点和地市结点安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理.
通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果.实现以下效果:
Ø 从防御层次向“持续检测、快速响应”步进,打造一站式的“预防,检测,响应,加固"的四维服务,真正做到“安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”
Ø 对现有业务系统核心资产进行识别,梳理用户与资产的访问关系;
Ø 对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足,第一时间发现已发生的安全事件;
Ø 对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失;
Ø 对业务资产存在的脆弱性进行持续检测,及时发现业务上线以及更新产生的漏洞及安全隐患;
Ø 对全市网的风险进行可视化的呈现,看到全网的风险以实现有效的安全处置;
1.6 总投资估算
本项目总投资估算110万元,其中软硬件设备投资105万,集成和服务费5万。
2 需求分析
2.1 信息化和安全建设现状分析
内网建设是业务信息化建设的先导工程,XX市局按照部和省厅的网络安全和信息化发展的工作要求,结合本地的业务建设规模和特色,以统筹协调全市机关单位全面提升网基础网络建设、安全建设、业务建设为目标,构建XX市体系信息化建设,已建成警用地理平台、城市视频监控系统、警务综合平台、综合查询等关键业务系统系统.从2013年开展网网络信息安全保障体系的规划设计及建设工作,目前项目各项建设工作进展正常。近年来重点完成了两方面的工作:一是有效支撑了全市各分局网络信息安全建设方向和保密检查工作;二是构建全市网信息安全服务支撑体系.初步形成了我局网络与信息安全工作推进的长效机制,实现了信息安全保障工作的体系化和常态化,全面提高了网内网业务安全水平。
为了进一步加快我局网络安全体系建设,推动各部门利用网络便捷安全的开展各类应用,充分发挥网的作用和效能,根据部和省厅相关政策文件精神,提升我局网络网络信息安全保障体系的服务能力,增加网信息安全基础设施及技术手段,加强安全威胁监测能力和预警能力,确保我局网安全运行和健康发展是我局网安全建设的主要课题。
2.2 行业现状和攻防对抗需求分析
2.2.1 传统威胁有增无减,新型威胁层出不穷
随着网承载的业务越来越多,边界越来越多,信息安全的问题也随之越来越严峻.目前,木马、勒索病毒、僵尸网络等新型攻击层出不穷,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等网络攻击愈演愈烈。
以APT攻击为例,传统的安全防御工具已无法进行有效的防御.APT攻击不是一个整体,而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法,可以在很长一段时间内逐步完成突破、渗透、窃听、偷取数据等任务,其体现出两方面的特点—-“针对性"和“持久性"。APT攻击的主要目标行业有政府、军队、金融机构、电信等行业,主要途径是通过电子邮件、社交网站、系统漏洞、病毒等一系列方式入侵用户电脑.
2.2.2 已有检测技术难以应对新型威胁
传统的防御措施主要是依靠防火墙技术、入侵检测技术以及防病毒技术,任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这三样,传统的防御虽然起到了很大的作用,但还是面临着许多新的问题.
首先,用户系统虽然部署了防火墙,但仍然避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。并且未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间.
其次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然传统的防御仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处,因为它已经无法检测和防御新型攻击。简单的说,网络攻击技术已经超过了目前大多数企业使用的防御技术。
2.2.3 未知威胁检测能力已经成为标配
Gartner公司的2016年信息安全趋势与总结中提出,当前我们所知道的关于安全的一切都在变化:常规路线逐渐失控;所有的实体需要识别潜在的攻击者;大量的资源将会组合使用;常规安全控制手段逐渐失效;需要从以堆叠来保护信息的方式进行改变;入侵、高级持续性攻击极难被发现.
在《Gartner 2016年信息安全趋势与总结》中提出:传统的安全手段无法防范APT等高级定向攻击;随着云计算、BYOD的兴起,用户的IT系统将不在属于用户自己所有或维护管理;仅仅靠防范措施是不能够应对安全威胁,安全监控和响应能力是安全能力的一个关键点;没有集体共享的威胁和攻击的情报,单个企业将无法保卫自己。报告中还发表了一个数据,预测2020年,60%的信息安全预算的将用于快速检测和响应方面,而2013还不到10%。
2.3 现有安全体系的不足分析
目前,之所以难以及时发现黑客入侵的主要原因可以总结为“三个看不清”和“三个看不见”,继而由此产生了的安全技术保障体系和安全治理管理体系的脱节,简单堆砌的防火墙、入侵检测、防病毒等产品无法提供管理决策所需的数据支撑,而管理决策体系确定的安全策略也缺乏对应的抓手却检测是否真正实现和落地了.
2.3.1 看不清自身业务逻辑
信息安全保障的是核心业务和数据资产,如果我们都不清楚被保护的主体包含了哪些系统、哪些资产以及他们之间是如何交互、如何互相访问的,那么就谈不上建立针对性的安全保障体系。越来越多的黑客攻击已经开始基于业务逻辑和业务流开始构建自己的攻击过程,例如著名的孟加拉央行劫案,都不是通用安全防护设备能够应对的;而来自恶意内部员工的窃密和攻击,多数时候甚至都不是严格意义上的网络攻击行为,更加无法依赖标准化交付的安全产品实现。
而 “看不清"自身业务主要包括以下三个维度:
Ø 看不清的新增资产产生安全洼地
关键IT资产的梳理和清单目录是许多IT运维人员最头疼的问题,特别是随着IT资产逐步向虚拟化迁移,新增部署一台虚拟机往往只需要数分钟的时间,而在服务器上开启服务或者端口的管控机制也不健全。
看不清的新增资产会因为缺少安全检查与访问控制,成为攻击者攻入关键业务区的跳板;看不清的资产配置信息及开放的服务端口,会由于缺乏安全访问规则的控制,成为远程接入的最佳途径;看不清的资产漏洞,会由于没有适当的安全加固,最简单的攻击代码就能轻易攻陷这些机器。
Ø 看不清的业务关系使业务安全防护失效
目前大部分安全防护的重点均停留在网络与应用系统侧,对业务与数据访问的防护还不健全.黑客在突破和绕过边界以后,往往利用合法用户的计算机与身份对数据库、财务系统、客户关系管理系统等关键资产进行非法访问、数据窃取与资产破坏行为。而这些访问往往只是正常的增删查改操作,并不需要借用攻击代码或恶意软件,传统基于网络和应用系统的防御措置往往无法识别.
Ø 缺乏有效手段主动识别新增业务
过去的IT管理需要大量管理设备与专业人士进行业务资产的识别与梳理,很多情况下要发现新增业务资产往往只能依赖定期的安全巡检,效率不高且滞后。如果不能通过自动化的手段对新增业务资产及其开放端口、使用协议、系统配置信息进行识别,以及对关键业务访问关系及其流量模型的可视化呈现,那么管理人员手里的资产台账永远都只是过去时态,难以应对安全事件分析的需求.
2.3.2 看不见潜藏威胁隐患
“三个看不见”,即看不见黑客发起的内网横向攻击、看不见内部人员的违规操作以及看不见内网异常行为,其中:
第一个看不见是指攻击者绕过边界防护后,发生在内网的横向移动攻击是无法检测到的,例如通过失陷主机向内网业务资产或业务资产管理员发起的横向移动或者跳板攻击,包括内网嗅探、内网扫描、漏洞利用、远程控制、攻击会话等都无法被边界设备检测;
第二个看不见是指攻击者的行为往往不是病毒、漏洞利用等明显恶意行为,而是通过社会工程学、钓鱼、跳板等更加隐蔽的手段获取高级管理员的账号与权限,同时,内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限;
第三个看不见是指攻击者在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链中,会将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在代理、VPN隧道、NTP、DNS等正常网络协议中混淆视听,从而隐藏自己的攻击行为.
在看不见的环境中与黑客较量无异于遮住眼睛与人搏斗,只有看清了全网业务和流量,对内部的攻击行为、违规操作和异常行为进行持续检测,利用威胁情报、流量监测、机器学习等核心技术有效识别内网中潜伏的威胁,才能通过可视化平台将这安全状态实时地展现给安全部门,从而让内鬼和黑客无所遁形。
2.3.3 缺乏整体安全感知能力
安全技术保障体系和安全治理管理体系的脱节,主要是指安全组件发现的安全问题缺乏相应的检测分析能力和追溯能力,无法提供有效的事件应对处置闭环;而安全治理所需系统状态、安全态势也缺乏相应的感知和可视手段,无法实现真正的看到和看懂。
图2—1 传统的安全体系缺乏看到看懂的感知环节
Ø 事后难以追溯取证
市面上绝大多数网络安全类产品只能保持HTTP、DNS等常见应用日志的记录,而ARP请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一,引起文件误报等行为,给用户决策带来干扰.其次,在追溯网络犯罪过程中没有原始的数据包作为支撑,当我们故障排查的时候很难准确定位问题环节,阻碍深入追溯分析的进行,给攻击目标带来无法挽回的损失。
Ø 单点检测管中窥豹
现如今的安全防御软件检测方式单一.如传统防火墙根据一定格式的协议对文件访问进行过滤,不能防范攻击者IP欺骗攻击;反病毒软件根据病毒特征或者黑白名单判断文件攻击性,无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能,能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀,最终侵入系统核心部位爆发。
这些新型攻击手段,显然需要防御者能够综合分析多维度的信息,进行综合判断才能进行及时的检测和处置。
3 方案理念
针对传统安全保障体系难以新型威胁和APT攻击,以及缺乏看到看懂的感知环节的不足,提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则,实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。
图3—1 安全感知平台整体逻辑架构
3.1 看清业务逻辑
信息安全的核心目标是解决组织和企业核心业务的安全、稳定运行,如果安全检测系统不了解信息系统的资产有哪些、业务逻辑关系如何,而是无论在哪一个客户的网络中都复用同一套安全判断准则,那么它提供的检测能力显然是脱离实际的.所以未知威胁检测和安全感知的首要需求就是看清业务逻辑,即:
Ø 能够对业务系统的核心资产进行识别,梳理用户与资产的访问关系;
Ø 对业务资产存在的脆弱性进行持续检测,及时发现新业务上线以及系统更新产生的漏洞及安全隐患,识别新增业务资产以及业务访问关系;
3.2 看见潜在威胁
信息安全是一个涉及多个领域的复杂问题,攻击者可能包括外部黑客、心怀不满的员工、以及内外勾结等各种情况,攻击途径更是包括了暴力攻击、社会工程学、恶意代码、APT、漏洞利用等等数百种不同手段.防御者需要全面监控,但攻击者只需要一点突破即可,如果没有系统的检测能力,即使别人告诉你被黑客攻击了,都找不出黑客是怎么攻击的.
而新一代的未知威胁检测和安全感知技术,正是由于其对现有业务及其逻辑关系具备深入的理解,就能够有别于传统检测系统,实现更加全面的潜伏威胁检测和安全态势感知分析能力:
Ø 传统的安全防御体系过于关注边界防护,对绕过边界防御的进入内网的攻击缺乏监测手段,需要对东西向流量和访问行为进行监测和分析,弥补传统边界和静态防御的不足;
Ø 黑客攻击过程特别是以窃取信息为目的的APT攻击,都具备较长的攻击链条,如果能够对网络内部信息资产已发生的安全事件进行持续检测,就能够通过对不同事件和告警之间的关联分析,真正还原整个攻击链从而及时遏止黑客进一步攻击,在产生实际危害前进行封堵;
Ø 对内部用户、业务资产的异常行为进行持续检测,通过建立合法行为基线,对传统入侵防御系统无能为力的内鬼作案和内外勾结窃取敏感信息行为进行监控;
Ø 针对新型威胁快速更新迭代的特点,就更加需要建立海量威胁情报关联体系,通过国内外权威情报库和云端关联强化新型威胁检测能力;
3.3 看懂安全风险
信息安全系统除了需要能够及时发现问题外,还需要保障系统的易用性,确保客户技术人员能够方便快速的发现安全问题、了解影响范围、定位问题源头,提供响应的展示告警和分析举证服务。只有人性化的安全事件分析告警和举证分析服务,才能真正为安全保障部门的事件分析和应急处置提供有效帮助:
Ø 打破传统的网络拓扑展示局限,采取基于系统业务逻辑的业务访问视图,安不安全、哪里不安全一目了然;
Ø 从运维和安全应急人员视角,在失陷业务、风险用户和有效攻击等不同维度分析和展示安全风险,方便定位安全问题;
3.4 辅助分析决策
除了专业的威胁检测和风险分析效果,安全感知的核心目标还是全面展示安全态势与辅助安全决策分析:
Ø 安全态势展示:可视化的形式呈现关键业务资产及针对关键业务资产的攻击与潜在威胁,通过全网攻击监测、分支机构监管、风险外联监测等多个不同视角的大屏展示,提供对失陷业务和主机的报告导出和分析服务,为信息安全主管提供驾驶舱式的辅助决策服务。
Ø 辅助决策分析:通过访问逻辑展示、主机威胁活动链分析、安全日志举证和查询、以及基于特定资产的深度业务逻辑分析和威胁攻击链钻取(潜伏威胁黄金眼),更是可以快速定位问题影响和源头,进行相应的分析研判;
4 解决方案
4.1 方案概述
基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路,安全感知解决方案主要通过技术监测平台和相关安全监测服务共同实现,由安全感知系统建立基本的潜伏威胁检测和安全感知能力,而专业的云端安全专家和应急响应专家团队则为客户提供系统的检测响应闭环服务.
4.2 安全感知系统
4.2.1 系统架构
图3-2 安全感知平台系统架构
安全感知平台是基于威胁建模、行为分析技术,对全网流量进行检测分析的可视化平台,支持模块化的方式逐步引入多种数据源,基于大数据分析和威胁情报共享技术提供全网安全感知和预警服务。
图3-3 安全感知平台数据流程
Ø 采集层基于探针/EDR/其他安全设备进行收据收集,数据来源更齐全。
Ø 核心处理层采用安全感知平台进行简单交付,应用最前沿的UEBA(用户和实体行为分析)、威胁建模、机器学习等新型技术,特征检测和行为检测相结合,威胁检测能力大幅度加强;
Ø 威胁情报源以的千里马实验室为核心,结合CNVD、CNCERT、CNNVD、MAPP、CVE等众多合作单位,提供数据最广的威胁情报来源.
Ø 展示/控制层面,提供资产状态、报表平台、全网可视化平台帮助用户直观的掌握现有业务安全风险.
结合安全服务云打造7*24小时的安全服务,主动发现未知威胁,对网业务进行持续安全监测与快速应急响应,解决安全黑洞与安全洼地的问题,做到快速及时的发现和处理网络安全事件。
4.2.2 部署拓扑
图3-4 安全感知平台部署逻辑拓扑图
在XX市局网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针,在市局部署安全感知平台进行综合分析和展示,分支大屏可以让市局管理人员全局把控和了解全市网的安全状态,对每个区县网络安全状态进行实时监测预警。
4.2.3 组件实现
全网安全感知平台核心主要由威胁潜伏探针、安全感知系统两部分组成,并提供基于安全服务云的深度分析、威胁关联和服务响应能力。威胁潜伏探针构筑在64位多核并发高速硬件平台之上,采用自主研发的并行操作系统(Sangfor OS),将转发平面、安全平面并行运行在多核平台上,多平面并发处理,紧密协作,极大的升了网络数据包的安全处理性能。安全感知系统利用大数据并行计算框架支撑关联分析、流量检测、机器学习等计算检测模块,从而实现海量数据分析协同的全方位检测服务。
4.2.3.1 威胁潜伏探针
图4-1 潜伏威胁探针数据采集架构
Ø 分离平面设计
威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理.
Ø 多核并行处理
威胁潜伏探针的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。
Ø 单次解析架构
威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配,有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。
Ø 跳跃式扫描技术
威胁潜伏探针利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP server—u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率.
Ø 流量记录
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。
Ø 报文检测引擎
可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
Ø Sangfor Regex正则引擎
正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了探针的整机速度的提高.为此,设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
威胁潜伏探针的Sangfor Regex大幅降低了CPU占用率,有效提高了威胁潜伏探针的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等.
4.2.3.2 安全感知平台
图4—2 安全感知平台实现架构
Ø 资产业务管理
按照功能划分,内网设备可分为资产和业务。安全感知平台可以主动识别内网资产,主动发现内网未被定义的设备资产的IP地址,无需用户进行繁琐的统计和录入,节省用户时间。资产配置详情展示模块,可以识别内网服务器资产的IP地址,操作系统,开放端口以及传输使用协议和应用.业务与资产关系展示模块,能够按资产IP地址/地址段,组合成为特定的业务组。
Ø 内网流量展示
访问关系展示模块,通过访问关系学习展示用户、业务系统、互联网之间访问关系,能够识别访问关系的who、what、when、how。通过颜色区分不同危险等级用户、业务系统。内网违规访问、攻击行为、异常流量的图形化展示,展示内网针对不同业务资产的正常访问、违规访问、攻击行为、异常流量,并用不同颜色加以区分,让用户查阅更直观.
Ø 监测识别知识库
安全感知平台内建的检测识别知识库,涵盖的应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力;知识库涵盖的入侵防护漏洞规则特征库数量超过4000条,入侵防护漏洞特征具备中文介绍,包括但不限于漏洞描述、漏洞名称、危险等级、影响系统、对应CVE编号、参考信息和建议的解决方案;知识库具备独立的僵尸主机识别特征库,恶意软件识别特征总数在50万条以上。
Ø 日志收集和关联
安全感知平台可以收集和分析公司的下一代防火墙(NGAF)、端点安全系统(EDR)相关日志和告警信息,并进行相应的分析和关联,同时对于平台分析发现的安全隐患,也可以迅速调用这些防护系统阻断和查杀响应的安全隐患和攻击代码.
对于支持syslog的第三方安全设备,平台同样支持相关日志的搜集、存储和查询服务.
Ø 可视化平台
全网攻击监测可视化平台支持安全态势感知,对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。可视化平台支持全网业务可视化,可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。支持用户自定义的业务资产管理的可视化。支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描).业务外连监控大屏,展示资产、业务被外网攻击的实时动态地图,图形化大屏展示。分支安全监测,能够以地图拓扑的形式展示分支机构/被监管机构的安全状态,对风险状态进行排名并罗列分支机构/被监管机构的安全趋势. 安全日志展示支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、IP、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。
Ø 风险可视化
基于等保部分要求,展示以用户组为粒度的风险详情及对业务系统的影响情况,风险用户可视化对高危用户进行可视化展示,对高危用户的风险操作、攻击行为、违规行为、影响业务进行可视化展现,并按确定性分类为失陷用户、高危用户、可疑用户。风险业务可视化,对高危业务进行可视化展示,对业务的有效攻击、篡改、后门的攻击路径进行图形化和可视化的展示,并按确定性分类为失陷业务、高危业务、可疑业务.
Ø 大数据分析引擎
大数据分析引擎负责实现各类检测能力及大数据关联分析能力。该引擎由数据预处理、数据融合、模型构建、模型融合、分析结果生成等主要模块构成,以MapReduce为底层计算框架、以MLib和Tensorflow作为主要机器学习框架,实现了SVM、贝叶斯网络、随机森林、LDA、DGA、马尔科夫聚类、iForest、RNN等关键机器学习算法,从而支撑UEBA、失陷主机检测、及大数据关联分析等安全能力.
Ø 管理功能
管理功能由多个模块组成.登录模块支持用户身份安全认证模式,多次登录失败将锁定账号5分钟内不得登录,支持用户初次登陆强制修改密码功能;升级模块支持在线升级和离线升级两种升级方式,并支持定时自动升级,平台统一管控探针的升级;用户管理模块支持新增并管理用户,可控制用户使用权限,权限包括读取和编辑;时间管理模块支持时间同步,支持NTP V4.0协议;网络管理模块提供网络管理功能,可进行静态路由配置;设备管理模块可实时监控设备的CPU、内存、存储空间使用情况,能够监控监听接口的实时流量情况;数据管理模块可以分析统计1天或1周时间内的文件还原数量情况及各个应用流量的大小和分布情况.
4.2.3.3 安全服务云
图4—3 安全服务实现架构
安全服务云是为VIP用户打造的专业安全服务体系,有别与传统被动应急响应服务。新安全理念下的闭环服务设计。旨在快速发现,主动响应问题。主要由深圳安全专家、全国各区域安全服务工程师、攻防研究和开发团队三大部分组成。由深圳安全专家团队运营大数据平台,根据事件分类做出主动响应安排。
Ø 安全威胁情报
安全云威胁情报中心不断的挖掘和监测业内高危漏洞事件,并分析漏洞危害及影响范围,快速向用户告警。当0Day漏洞事件爆发后,威胁情报预警与处置中心会在48小时内制作出针对该事件的热点事件库,事件库包含:事件内容、详细威胁说明、检测工具、防护规则。
图4-4 大数据威胁情报能力
Ø 权威的安全专家团
专家团队由业内权威专家组成,20人的安全服务专家团队,70人的安全实验室。其中有业内知名的白帽子,具有多年从事安全攻防对抗经验,为多个漏洞平台如乌云、补天等提供过众多重大漏洞。为服务过程中的重大决策和计划提供技术指导和咨询。
Ø 区域安全服务团队
依托公司的人才储备优势,技术队伍人员结构合理。目前安全服务团队拥有约200人的一线安全工程师队伍。分布围绕着为公司的人才核心目标,努力搭建一个有特色的学习型服务团队,提供一套完整的服务体系。
4.2.3.4 其他安全组件
Ø 下一代防火墙
下一代防火墙NGAF提供L2—L7层安全可视的全面防护,通过双向检测网络流量,有效识别来自网络层和应用层的内容风险,抵御来源更广泛、危害更明显的应用层攻击。
Ø 端点安全系统
很多管理人员都开始逐渐意识到,要想把恶意攻击者完全拦截在企业环境之外不像部署防火墙和防病毒软件那么简单.大多数黑客都能够利用定制的恶意软件绕过传统的防病毒解决方案,所以需要采取更为主动强大的方法来保护端点,兼备实时监控、检测、高级威胁分析及响应等多种功能。
4.2.4 主要功能
从企业网络安全建设的角度看,过去的网络流量可以说是非黑即白,黑即风险流量,白即安全流量,防火墙类边界防护设备的黑白名单过滤配合基于特征的方法就能拦截大多数威胁.然而随着互联网接入设备的日益增加、网络结构的日益复杂,网络环境出现了越来越多的可利用弱点,黑客攻击的方式也在不断改进和变异,形成了黑和白之间的灰色区域,并且规模仍在不断扩大。
传统方法难以有效发现灰色区域中潜在的风险,对此我们采取了一种应对未知威胁的关键技术,通过这些技术可以更快更准的发现黑客入侵的踪迹,从而将黑客的攻击计划扼杀在摇篮之中。针对黑客攻击特点的设计实现,统筹考虑黑客攻击链的每个环节,是在黑客攻击手段不断升级的今天监护内网安全态势、保障企业网络安全的不可或缺的关键能力.
4.2.4.1 威胁检测和攻防对抗
1) 基础检测能力
黑客之所以能入侵企业内网,有时并不是凭借多么高明技巧,相反,对网络安全事件进行复盘总结发现,许多黑客入侵企业内网给企业造成损失,凭借的仅是一些传统的、简单的手段。对于企业的网络安全建设而言,检测技术由简单和复杂之分,但对于检测黑客入侵而言,基础检测能力同样是至关重要的.基础检测能力是指针对那些传统的、常见的异常流量进行检测的能力,主要包括异常会话检测、Web应用安全检测、敏感数据泄密检测。
异常会话检测可实现外联行为分析、间歇会话连接、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为的分析检测,而Web应用安全检测针对B/S架构应用,应用范围包括ASP、PHP、JSP等主流脚本语言编写的webshell后门脚本上传,检测SQL注入、XSS、系统命令等注入、CSRF攻击、恶意爬虫攻击、文件包含、目录遍历、信息泄露攻击等攻击,对主流网站内容管理系统CMS进行安全防护,如dedecms,phpcms,phpwind等。而敏感数据泄密检测能力则是通过对敏感信息的自定义,根据文件类型和敏感关键字进行信息过滤和检测。
2) 深度检测能力
图4—5 失陷业务深度检测
黑客绕过传统防护措施之后,往往是先选择潜伏和隐藏,比如病毒是黑客入侵内网的常用工具之一,病毒程序进入系统之后一般不会马上发作,而是在几周或者几个月甚至几年内隐藏在合法文件中,对其他系统进行传染且不被发现,大部分病毒的发作是通过HTTP协议访问特定的URL来获取或提交信息来完成的,还有病毒会通过DNS查询出某个域名的IP,然后再与该IP建立连接交互数据.再比如,僵尸网络为了同C&C服务器通信,会通过请求DNS来获取C&C服务器对应的IP,这些URL地址和域名对应IP的主机通常就是为病毒提供交互信息的关键所在,有效识别出这些主机就能够阻断内网病毒和外界的连接.这些攻击方式比传统的攻击方式更加复杂和隐蔽,而深度检测能力就是针对这种具有隐蔽性的恶意行为进行检测。
安全感知平台的深度检测能力可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描、端口扫描、ARP欺骗。同时深度检测能力还包含口令暴力破解检测、弱密码扫描检测、黑链检测、终端病毒/恶意软件检测.针对僵尸机、病毒程序的发作需要通过和外界C&C服务器通信来实现发作的特点,安全感知平台独有的融合马尔科夫模型和信息熵的DGA检测算法,利用机器学习的方法识别域名是否由算法生成,根据随机性估计域名信誉值,从而检测出与恶意IP地址相关的流量。
3) UEBA和访问异常检测
在企业网络环境中,当某员工没有值夜班的情况下,该员工主机在凌晨4点对业务服务器进行访问就属于的访问异常.过去用户业务访问控制和Web业务访问控制主要靠规则实现,但由于个体行为模式存在较大差异,同时黑客的攻击越来越倾向于伪装成正常用户行为从而避开访问规则,因此基于规则的控制策略已经难以有效应对访问异常。而机器学习算法恰恰能够对多样化的用户行为模式和Web访问模式进行建模,从而达到更好的检测效果.
安全感知平台的用户业务访问异常检测基于用户历史行为和用户之间的行为相似性,相似性作统计分析,利用机器学习进行建模,从而对用户和主机等实体进行分析(UEBA)、识别出用户对业务系统的异常访问,进而发现客户凭据被盗、用户主机失陷等潜在威胁.而Web业务访问异常检测使用马尔科夫随机过程和贝叶斯递归估计,结合其它机器学习算法对Web业务的交互行为进行分析和建模,从而检测出Web业务的各类攻击,如数据泄漏、Web Shell
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
