案例概述:
在不影响网络拓扑、不需要流量分光镜像、不需要部署流量探针、不需要在终端设备安装代理程序、不依赖于其它安全设备的日志的情况下,一站式地解决了传统工控环境下关键网络东西向攻击难管控、虚拟化设备内部行为难管控、新型攻击行为难监测、脆弱性端口难全天候排查、通信日志存在盲区、威胁源头无法区分轻重缓急等诸多问题与难题,并可对所有威胁事件进行溯源取证。
应用行业:某核电站、某运营商、某银行、某高校
客户网络安全系统诊断:
作为“新基建”的重要部分,“工业互联网”是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。但新技术带来新机遇的同时,也带来了新问题:
1、现有大部分安全产品基本都是针对互联网入口及关键服务器设备南北向的异常行为进行管控,对东西向异常行为难以管控;
2、按照时间、空间维度通过降低攻击频次,采用分布式、自动化攻击等绕过安全设备检测的新型网络攻击行为难以管控;
3、虚拟化平台、云桌面、超融合等平台的异常行为难以管控,内部某台设备一旦被入侵,现有的安全措施将形同虚设;
4、现有安全措施只能对互联网出口、关键节点上的网络通信行为进行记录,一旦发生安全事件,日志的留存将无法满足《网络安全法》通信日志保存六个月以上的安全要求。
5、目前仅能通过漏扫等设备对网络脆弱性端口开放情况进行阶段性定期地扫描排查,排期之间尚存在大量的空档期。对于在空档期间开放使用的网络脆弱性端口难以管控。
6、事件的溯源需要跨平台多级排查,难以在一个平台上完成对所有安全事件的溯源取证工作。
7、网络中部署的各类网络安全监控及预警平台,大都是孤立的安全事件驱动,针对各种安全事件,难以区分轻重缓急,处置难度大。
案例应用成效:
1、“全方位”安全监管:异常行为无死角监管
采用自主原创的大数据及人工智能技术,对核心层、汇聚层、甚至接入层的全端口流量进行统一分析及管控,实现包括东西向网络异常行为、新型网络攻击行为、虚拟化平台内外部的异常行为、办公设备内外部异常行为在内的全网异常行为无死角的安全监管!
2、“全方位”日志留存:通信日志全方位记录
全方位地对所有安全区域、各IT资产之间的网络通信日志进行记录及溯源,满足《网络安全法》日志留存的要求!
3、“精细化”运营管控:精细到应用级+端口级
流量管控精细到应用+端口级,不仅对各个应用对应的网络架构的合理性、合规性一目了然,对第三方平台或自研程序违规外联、越权扫描、隐蔽后台服务等行为均能一一发现!同时,实时监控设备与脆弱性端口之间的通信情况,为数据/业务非法访问提供证据,为网络应用规范化及标准化提供参考依据。
4、“一站式”事件溯源:一个平台完成事件溯源
对平台发现的所有安全事件均可在一个平台上实现逐级溯源取证。
5、“指数化”威胁处置:威胁源头分级管理
按照威胁类别、攻击频率、影响范围等对威胁源头进行多维度的威胁指数综合评分,并进一步按照威胁指数的高低判断事件的轻重缓急,对威胁资产进行有序处置。同时,结合各类事件进行态势分析、趋势分析,可为下一步安全决策提供依据。
平台创新性
1、整体系统架构的创新:
不影响网络拓扑结构、无需分光镜像、不需要安装客户端程序,避免了引入新系统导致新的安全风险,节省了因端口镜像而产生新的硬件投入及后期运维成本;
数据源采用通信设备普遍采用的、标准化的Netflow、sFlow、IPFix等格式数据,核心层、汇聚层、接入层通信设备甚至虚拟化平台都已经普遍支持,在逻辑网络互通的情况下,只需少量的配置命令即可把数据接入平台;
不依赖于其它安全平台、安全设备的日志,可节约跨系统对接所产生的时间及人力成本,规避因跨系统数据对接导致的不可控风险;
2、核心检测原理的创新:
摆脱了传统网络安全产品对包特征的依赖,从通信规律而不是数据特征的层面来检测网络中存在的风险。(“术”上升到“道”)
3、AI阈值自动优化技术:
通过AI技术实现对检测阈值的智能调整及优化。
4、杜绝通信数据泄密:
传统安全产品,网络上传输的内容甚至本地的文件都要被它全方位地“体检”一遍,关键系统密码、敏感信息等都逃不过它的“法眼”。存在对这些内容进行管控的需求,但大部分情况下大家都不希望甚至不允许通信的具体内容被第三方应用所监控。
本方案所采用的数据源,不涉及通信的具体内容,排除了安全产品本身成为数据泄密最大风险点的情况。