隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,作為基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)單位的運(yùn)營(yíng)商面臨著越來(lái)越大的壓力。運(yùn)營(yíng)商行業(yè)亟需通過(guò)提升網(wǎng)絡(luò)安全感知、網(wǎng)絡(luò)安全應(yīng)急處理、網(wǎng)絡(luò)安全防護(hù)等各項(xiàng)能力,保障運(yùn)營(yíng)商信息化安全。對(duì)此,運(yùn)營(yíng)商行業(yè)用戶(hù)通過(guò)部署傳統(tǒng)的訪問(wèn)控制、接入控制及監(jiān)控處置類(lèi)安全設(shè)備構(gòu)建了網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)體系,但面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)卻總會(huì)存在“手忙腳亂”的情況。

運(yùn)營(yíng)商行業(yè)網(wǎng)絡(luò)安全威脅檢測(cè)建設(shè)的不足

隨著信息與網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與用戶(hù)安全意識(shí)的提升,運(yùn)營(yíng)商行業(yè)用戶(hù)普遍已經(jīng)通過(guò)加強(qiáng)技術(shù)和管理的手段實(shí)現(xiàn)了對(duì)傳統(tǒng)網(wǎng)絡(luò)安全威脅的有效對(duì)抗,但針對(duì)繞過(guò)邊界防御潛入內(nèi)網(wǎng)的威脅(如APT攻擊)卻缺乏有效檢測(cè)手段,以下為運(yùn)營(yíng)商行業(yè)網(wǎng)絡(luò)安全威脅檢測(cè)建設(shè)的常見(jiàn)不足:

1.脆弱性發(fā)現(xiàn)和威脅感知能力薄弱

用戶(hù)可通過(guò)已構(gòu)建的SOC安全運(yùn)營(yíng)中心,采集全網(wǎng)的IDS/防火墻等安全設(shè)備日志進(jìn)行分析,但由于這些設(shè)備只能檢測(cè)傳統(tǒng)網(wǎng)絡(luò)安全威脅,無(wú)法有效檢測(cè)APT、0Day等高級(jí)威脅與未知威脅,針對(duì)威脅的分析、研判和處置全過(guò)程自動(dòng)化能力不足。

2.威脅監(jiān)測(cè)范圍不足

IT云、業(yè)務(wù)云、IDC、DCN網(wǎng)內(nèi)、DCN網(wǎng)互聯(lián)網(wǎng)出口等缺少基于全流量監(jiān)測(cè)的威脅處置手段,無(wú)法全面感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

3.缺乏大數(shù)據(jù)、AI分析能力

不具備AI學(xué)習(xí)分析、大數(shù)據(jù)關(guān)聯(lián)分析能力,無(wú)法發(fā)現(xiàn)變種行為及“內(nèi)鬼”行為,基于資產(chǎn)信息、威脅信息、脆弱性的安全感知能力欠缺。

4.無(wú)法確定攻擊影響面

缺乏風(fēng)險(xiǎn)預(yù)判與溯源能力,無(wú)法定位攻擊階段、路徑及影響面,難以評(píng)估受損情況。  

深信服全流量監(jiān)測(cè)分析解決方案

深信服全流量監(jiān)測(cè)分析解決方案以全流量分析為核心,利用威脅情報(bào)、UEBA、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù),可以對(duì)DCN網(wǎng)內(nèi)、公網(wǎng)出口、業(yè)務(wù)云、IT云、IDC等關(guān)鍵節(jié)點(diǎn)處的真實(shí)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)與分析,及時(shí)發(fā)現(xiàn)潛伏威脅和失陷主機(jī),并通過(guò)全流量監(jiān)測(cè)分析平臺(tái)將分析結(jié)果對(duì)接至SOC安全運(yùn)營(yíng)中心,進(jìn)行進(jìn)一步綜合分析,同時(shí)可聯(lián)動(dòng)安全組件或處置平臺(tái)進(jìn)行快速響應(yīng),有效抵御各類(lèi)已知威脅和APT攻擊等高級(jí)威脅。

1.多維智能分析,有效發(fā)現(xiàn)高級(jí)威脅

能夠?qū)Ω呒?jí)威脅常用攻擊行為、病毒行為、異常外聯(lián)行為等行為特征進(jìn)行分析,同時(shí)結(jié)合大數(shù)據(jù)關(guān)聯(lián)分析引擎提供的聯(lián)動(dòng)分析以及DGA域名判別,構(gòu)建融合檢測(cè)模型,從而及時(shí)發(fā)現(xiàn)失陷主機(jī)與高級(jí)威脅。針對(duì)APT攻擊的特點(diǎn),為用戶(hù)提供多視角的檢測(cè)發(fā)現(xiàn)能力,及時(shí)發(fā)現(xiàn)針對(duì)用戶(hù)重要資產(chǎn)實(shí)施的多種形式的定向高級(jí)攻擊。

內(nèi)置深信服自研的SAVE安全智能檢測(cè)引擎,該引擎利用深度學(xué)習(xí)技術(shù)對(duì)數(shù)億維的原始特征進(jìn)行分析,結(jié)合安全專(zhuān)家的領(lǐng)域知識(shí),利用多種機(jī)器學(xué)習(xí)算法組合,實(shí)現(xiàn)對(duì)新型惡意樣本快速有效的檢測(cè)。

利用UEBA技術(shù)進(jìn)行內(nèi)部用戶(hù)和資產(chǎn)的行為分析,對(duì)這些對(duì)象進(jìn)行持續(xù)的學(xué)習(xí)和行為畫(huà)像構(gòu)建,以基線畫(huà)像的形式檢測(cè)異于基線的異常行為并將其作為入口點(diǎn),結(jié)合計(jì)算處理模型發(fā)現(xiàn)異常用戶(hù)、資產(chǎn)行為,識(shí)別“內(nèi)鬼”行為和已入侵的潛伏威脅,提前預(yù)警。

2.綜合安全風(fēng)險(xiǎn)可視,深度洞察高級(jí)威脅

以用戶(hù)關(guān)注的視角,將安全風(fēng)險(xiǎn)以業(yè)務(wù)、終端、安全域等維度進(jìn)行關(guān)聯(lián)展示,對(duì)安全事件進(jìn)行詳細(xì)地舉證,讓用戶(hù)真正看懂安全風(fēng)險(xiǎn)。

提供了基于影響面分析的可視化工具,用于分析風(fēng)險(xiǎn)主機(jī)的影響面,了解風(fēng)險(xiǎn)主機(jī)對(duì)內(nèi)、對(duì)外已經(jīng)影響了哪些資產(chǎn),需要在下一步對(duì)哪些資產(chǎn)進(jìn)行處置,消除已產(chǎn)生的受損情況,并評(píng)估整體危害程度。

基于時(shí)間線的攻擊溯源,以回溯方式發(fā)現(xiàn)具體遭受的攻擊、疑似入口點(diǎn)情況、失陷時(shí)間點(diǎn),最終推導(dǎo)最可能的攻擊者情況,為用戶(hù)提供快速分析、追溯能力。

3.高效協(xié)同聯(lián)動(dòng),閉環(huán)處置安全風(fēng)險(xiǎn)

基于大數(shù)據(jù)關(guān)聯(lián)分析與深度挖掘技術(shù)快速定位出內(nèi)網(wǎng)失陷主機(jī)和高級(jí)威脅,對(duì)于來(lái)自于互聯(lián)網(wǎng)或邊界的攻擊行為,通過(guò)聯(lián)動(dòng)邊界防火墻或一鍵封停平臺(tái)下發(fā)安全策略,及時(shí)阻斷相應(yīng)的攻擊行為。

對(duì)于服務(wù)器與終端的失陷主機(jī),通過(guò)聯(lián)動(dòng)終端檢測(cè)與響應(yīng)平臺(tái)下發(fā)一鍵掃描策略,快速查殺惡意程序,封堵主機(jī)的攻擊威脅,防止威脅風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大。

配套專(zhuān)家服務(wù),提供專(zhuān)業(yè)的威脅分析、威脅處置、溯源分析、安全加固等能力,配合用戶(hù)閉環(huán)處置安全風(fēng)險(xiǎn),提升安全運(yùn)營(yíng)能力。

4.匹配重保需求,支撐全流程安全閉環(huán)

具備專(zhuān)門(mén)的重保大屏,可實(shí)現(xiàn)外網(wǎng)暴露面、核心服務(wù)器梳理,并可進(jìn)行實(shí)時(shí)攻擊分析與攻擊者分析。

支持手工與自動(dòng)封鎖外部攻擊者,同時(shí)可支持云端與本地的威脅情報(bào)共享。

支持溯源及快速搜索,可通過(guò)IP檢索失陷主機(jī)溯源結(jié)果和攻擊者畫(huà)像信息。

深信服全流量監(jiān)測(cè)分析解決方案價(jià)值

深信服全流量監(jiān)測(cè)分析解決方案可以滿足運(yùn)營(yíng)商在APT高級(jí)可持續(xù)攻擊檢測(cè)、全網(wǎng)安全威脅監(jiān)測(cè)、重保等各個(gè)場(chǎng)景的威脅檢測(cè)與處置需求。

通過(guò)在互聯(lián)網(wǎng)出口部署探針,可以實(shí)現(xiàn)對(duì)外部攻擊的精準(zhǔn)檢測(cè)。

在DCN網(wǎng)內(nèi)部署探針,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的威脅監(jiān)測(cè)與感知,同時(shí)可有效發(fā)現(xiàn)來(lái)自省DCN網(wǎng)側(cè)的攻擊。

在私網(wǎng)重要網(wǎng)元節(jié)點(diǎn)部署探針,可實(shí)現(xiàn)對(duì)核心系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全重點(diǎn)監(jiān)測(cè)。

在業(yè)務(wù)云、IT云部署探針,對(duì)云內(nèi)流量的全面監(jiān)測(cè),可實(shí)現(xiàn)租戶(hù)級(jí)的威脅感知。