概述:防御者又該如何做到全時(shí)、全網(wǎng)、全面?
當(dāng)前,眾多組織機(jī)構(gòu)都必須針對——由其網(wǎng)絡(luò)中成千上萬個(gè)潛在的可利用攻擊向量組成的——網(wǎng)絡(luò)攻擊面進(jìn)行防御。隨著新應(yīng)用和技術(shù)的不斷推出、新漏洞的不斷發(fā)現(xiàn),攻擊面的規(guī)模和復(fù)雜性也在不斷擴(kuò)大。
在這樣的情況下,攻擊者具有壓倒性的優(yōu)勢,他們可以在任一時(shí)間、任一地點(diǎn)、利用任一漏洞發(fā)動(dòng)攻擊,而防御者必須做到全時(shí)、全網(wǎng)、全面。如何實(shí)現(xiàn)網(wǎng)絡(luò)攻擊面的監(jiān)測、評估與收斂是防御者亟需解決的問題。
以攻擊面可視化技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)攻擊面可視化平臺采用 Gartner 提出的自適應(yīng)安全架構(gòu),將安全基礎(chǔ)架構(gòu)建模與脆弱性評估技術(shù)相結(jié)合,計(jì)算給定網(wǎng)絡(luò)系統(tǒng)的安全拓?fù)洌瑢?shí)現(xiàn)資產(chǎn)、網(wǎng)絡(luò)拓?fù)洹踩L問控制、漏洞與威脅等要素的關(guān)聯(lián)分析。
平臺能夠 對給定網(wǎng)絡(luò)系統(tǒng)脆弱性的暴露程度進(jìn)行評估,進(jìn)而對其安全狀態(tài)做出客觀評價(jià),并運(yùn)用數(shù)據(jù)可視化技術(shù)對攻擊面狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控與分類指標(biāo)呈現(xiàn) ,實(shí)現(xiàn):
安全路徑與資產(chǎn)安全狀態(tài)關(guān)聯(lián),安全拓?fù)涠说蕉丝梢暬?
重要資產(chǎn)與脆弱性定位,攻擊面收斂與防御體系優(yōu)化;
脆弱性關(guān)聯(lián)網(wǎng)絡(luò)暴露面,漏洞優(yōu)先級精確評估;
網(wǎng)絡(luò)異常與攻擊事件定位,事件路徑分析與溯源。
通過提高網(wǎng)絡(luò)自身免疫力,增強(qiáng)對內(nèi)部、外部威脅的防御能力,將企業(yè)對各種威脅的被動(dòng)防御上升為主動(dòng)部署,打造全面清晰的網(wǎng)絡(luò)安全防御體系作戰(zhàn)地圖。攻擊面可視化技術(shù)能夠有效解決傳統(tǒng)防御的被動(dòng)處境,為防御體系增加強(qiáng)大的實(shí)時(shí)監(jiān)控和響應(yīng)能力,幫助企業(yè)和機(jī)構(gòu)有效預(yù)測風(fēng)險(xiǎn),精準(zhǔn)感知威脅。
平臺分為數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用三個(gè) 層級。 數(shù)據(jù)采集層 分別通過SSH、Telnet、TCP等協(xié)議以模擬登陸、分光鏡像及Agent的方式采集設(shè)備配置、網(wǎng)絡(luò)流量、敏感信息、服務(wù)器日志等數(shù)據(jù)。這些數(shù)據(jù)存儲到數(shù)據(jù)處理層 的分布式文件系統(tǒng)和分布式列存儲數(shù)據(jù)庫中,以數(shù)據(jù)建模、機(jī)器學(xué)習(xí)、網(wǎng)格計(jì)算、關(guān)聯(lián)分析等方法進(jìn)行數(shù)據(jù)的融合分析計(jì)算。其結(jié)果為數(shù)據(jù)應(yīng)用層 提供數(shù)據(jù)支撐,通過監(jiān)控大屏、Web門戶兩種方式提供攻擊面分析與控制、攻擊面態(tài)勢監(jiān)控服務(wù)。同時(shí)提供第三方接口,支持與其他安全管理產(chǎn)品進(jìn)行功能結(jié)合。
平臺從六個(gè)維度的可視化出發(fā),對它們進(jìn)行智能關(guān)聯(lián)和綜合分析 ,全面提升安全防御能力,為用戶的核心業(yè)務(wù)安全保駕護(hù)航。
1 、網(wǎng)絡(luò)安全策略可視化
針對防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的安全訪問控制策略進(jìn)行優(yōu)化、檢查、分析,梳理出空策略、過期策略、隱藏策略、冗余策略、寬松策略、可合并策略六種可優(yōu)化策略,協(xié)助運(yùn)維人員對其進(jìn)行精簡和優(yōu)化。收縮網(wǎng)絡(luò)訪問權(quán)限,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
其中,隱藏策略即 一條范圍較寬的允許策略將后續(xù)配置的一條禁止策略隱藏,這意味著需要關(guān)閉的一條通道未關(guān)閉,那這條通道就有可能被攻擊者利用。寬松策略意味著開放的網(wǎng)絡(luò)端口或允許的網(wǎng)絡(luò)對象范圍大,極有可能開放了一些不必要的網(wǎng)絡(luò)權(quán)限,被攻擊者利用的可能性增大。平臺 可對隱藏策略 和 寬松策略做到有效 篩查 ,從而規(guī)避 由其 引發(fā)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2 、安全基礎(chǔ)架構(gòu)可視化
實(shí)現(xiàn)防火墻、路由器、交換機(jī)等設(shè)備配置信息的自動(dòng)提取與解析,解析內(nèi)容包括對安全訪問路徑產(chǎn)生影響的路由信息、訪問控制、NAT策略。運(yùn)用可視化技術(shù)生成網(wǎng)絡(luò)安全拓?fù)洌w現(xiàn)安全域劃分及安全域內(nèi)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備節(jié)點(diǎn)、網(wǎng)絡(luò)邏輯的連接關(guān)系和安全訪問關(guān)系,從而實(shí)現(xiàn)全網(wǎng)安全基礎(chǔ)架構(gòu)的可視化展示。
通過基礎(chǔ)架構(gòu)的可視化展示,管理者可以清晰看到核心業(yè)務(wù)資產(chǎn)在網(wǎng)絡(luò)中的分布、業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)對象之間的邏輯連接與訪問控制關(guān)系,在此基礎(chǔ)上看清當(dāng)前安全域的劃分與安全控制設(shè)置是否合理 ; 在發(fā)生安全事件時(shí),還 可以為 事件處置提供決策依據(jù) 。如當(dāng)某一區(qū)域某一主機(jī)中毒時(shí),可以從網(wǎng)絡(luò)拓?fù)渖戏治鋈绾螌@個(gè)主機(jī)進(jìn)行隔離,防止病毒近一步蔓延,為病毒查殺工作爭取時(shí)間。
3 、網(wǎng)絡(luò)暴露面可視化
支持以某一業(yè)務(wù)或服務(wù)器為目的,進(jìn)行安全訪問關(guān)系的查詢,直觀展現(xiàn)網(wǎng)絡(luò)中哪些源對象可以通過什么端口、協(xié)議訪問目的。反之,支持以某一安全域、網(wǎng)段、主機(jī)等為源,展示此源對象能夠通過什么端口、協(xié)議訪問網(wǎng)絡(luò)中的哪些對象。
基于以上功能,可以發(fā)現(xiàn)網(wǎng)絡(luò)安全控制存在的風(fēng)險(xiǎn),全面掌握重要信息系統(tǒng)與核心關(guān)鍵數(shù)據(jù)的安全性和風(fēng)險(xiǎn)點(diǎn) 。比如,以某一重要業(yè)務(wù)主機(jī)為目的進(jìn)行查詢,網(wǎng)絡(luò)中哪些對象能夠通過高危端口訪問此主機(jī),由此發(fā)現(xiàn)網(wǎng)絡(luò)中的危險(xiǎn)訪問通道。再如,基于某一終端域?yàn)樵催M(jìn)行查詢,此終端可以通過哪些端口訪問網(wǎng)絡(luò)對象,由此分析病毒在網(wǎng)絡(luò)中的傳播路徑。
結(jié)合業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)等網(wǎng)絡(luò)現(xiàn)狀,在安全基礎(chǔ)架構(gòu)圖層上查詢與展示安全路徑,實(shí)現(xiàn)從源到目的多條網(wǎng)絡(luò)路徑的可視化。當(dāng)通過暴露面分析功能發(fā)現(xiàn)網(wǎng)絡(luò)對象間存在含風(fēng)險(xiǎn)的訪問關(guān)系后,可通過此功能進(jìn)一步查詢具體路徑細(xì)節(jié),為網(wǎng)絡(luò)路徑風(fēng)險(xiǎn)處置提供依據(jù) 。
通過業(yè)務(wù)訪問關(guān)系的梳理,設(shè)定安全域間、業(yè)務(wù)間、用戶與業(yè)務(wù)間的網(wǎng)絡(luò)安全訪問控制策略矩陣,并對基線矩陣進(jìn)行持續(xù)監(jiān)控,當(dāng)發(fā)生安全訪問關(guān)系的非法、非授權(quán)修改時(shí),相關(guān)區(qū)域閃紅 告警 ,提示運(yùn)維人員及時(shí)處置。
4 、重要主機(jī)資產(chǎn)可視化
幫助用戶從安全角度自動(dòng)構(gòu)建細(xì)粒度資產(chǎn)信息庫,支持對業(yè)務(wù)層資產(chǎn)精準(zhǔn)識別和動(dòng)態(tài)感知,讓保護(hù)對象清晰可見 。使用 Agent-Server 架構(gòu),提供 10 余類主機(jī)關(guān)鍵資產(chǎn)清點(diǎn), 200 余類業(yè)務(wù)應(yīng)用自動(dòng)識別 ,并擁有良好的擴(kuò)展能力。
自動(dòng)化構(gòu)建資產(chǎn)信息,資產(chǎn)清晰可見
可在 15 秒內(nèi),不打擾正常運(yùn)行的情況下,自動(dòng)構(gòu)建主機(jī)業(yè)務(wù)資產(chǎn)結(jié)構(gòu),集中統(tǒng)一管理。隨時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境內(nèi)沒有納入安全保護(hù)的主機(jī),確保安全覆蓋無死角。對高價(jià)值、高敏感業(yè)務(wù)資產(chǎn)進(jìn)行針對性建模,與風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測功能配合提供保護(hù)。
資產(chǎn)變化實(shí)時(shí)通知,安全不再落后于業(yè)務(wù)
平臺對資產(chǎn)持續(xù)監(jiān)控,保證監(jiān)控?cái)?shù)據(jù)與實(shí)際業(yè)務(wù)數(shù)據(jù)的一致。對一些需要特殊關(guān)注的敏感資產(chǎn),發(fā)生變化可實(shí)時(shí)或定時(shí)通知,實(shí)現(xiàn)資產(chǎn)動(dòng)態(tài)保護(hù)。
靈活的檢索方式,快速定位關(guān)鍵
結(jié)合通用安全檢查規(guī)范與安全事件的數(shù)據(jù)需求,形成細(xì)粒度資產(chǎn)清點(diǎn)體系。利用多維度視圖,引導(dǎo)用戶輕松獲得需要的資產(chǎn)信息;借助多角度搜索工具,幫助用戶快速定位關(guān)鍵資產(chǎn)信息。
5 、脆弱性風(fēng)險(xiǎn)可視化
幫助用戶精準(zhǔn)發(fā)現(xiàn)內(nèi)部風(fēng)險(xiǎn),幫助安全團(tuán)隊(duì)快速定位問題并有效解決安全風(fēng)險(xiǎn),并提供詳細(xì)的資產(chǎn)信息、風(fēng)險(xiǎn)信息以供分析和響應(yīng)。
提高攻擊門檻,有效縮減 90% 攻擊面
在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上,持續(xù)、全面地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)及安全薄弱點(diǎn)。根據(jù)多維度的風(fēng)險(xiǎn)分析和精確到命令行的處理建議,用戶可及時(shí)處置重要風(fēng)險(xiǎn),從而大大提高系統(tǒng)的攻擊門檻。
企業(yè)風(fēng)險(xiǎn)可視化,安全價(jià)值清晰可衡量
持續(xù)監(jiān)測所有主機(jī)的安全狀況,圖形化展現(xiàn)企業(yè)風(fēng)險(xiǎn)場景。為安全決策者動(dòng)態(tài)展示企業(yè)安全指標(biāo)變化、安全走勢分析,使安全狀況的改進(jìn)清晰可衡量;為安全運(yùn)維人員實(shí)時(shí)展示風(fēng)險(xiǎn)分析結(jié)果、風(fēng)險(xiǎn)處理進(jìn)度,提供專業(yè)可視化的風(fēng)險(xiǎn)分析報(bào)告,使運(yùn)維工作價(jià)值得到可視化呈現(xiàn)。
持續(xù)性監(jiān)控分析,及時(shí)發(fā)現(xiàn)最重要的風(fēng)險(xiǎn)
主動(dòng)、持續(xù)地監(jiān)控所有主機(jī)上的軟件漏洞、弱密碼、應(yīng)用風(fēng)險(xiǎn)、資產(chǎn)暴露性風(fēng)險(xiǎn)等,并結(jié)合資產(chǎn)的重要程度,準(zhǔn)確定位最緊急的風(fēng)險(xiǎn),幫助企業(yè)快速有效解決潛在威脅。另外,不斷增加最新漏洞的檢測能力,實(shí)現(xiàn)緊急安全事件快速響應(yīng)。
6 、網(wǎng)絡(luò)入侵可視化
提供多錨點(diǎn)的檢測能力,能夠?qū)崟r(shí)、準(zhǔn)確地感知入侵事件,發(fā)現(xiàn)失陷主機(jī),并提供對入侵事件的響應(yīng)手段。
多錨點(diǎn)的檢測能力,實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)
通過多維度的感知能力疊加,對攻擊路徑的每個(gè)節(jié)點(diǎn)都進(jìn)行監(jiān)控,并提供跨平臺多系統(tǒng)的支持能力,保證能夠?qū)崟r(shí)發(fā)現(xiàn)失陷主機(jī),對入侵行為進(jìn)行告警。
不依賴對漏洞和黑客工具的了解,有效發(fā)現(xiàn)未知黑客攻擊
結(jié)合專家經(jīng)驗(yàn),威脅情報(bào)、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法,通過對用戶主機(jī)環(huán)境的實(shí)時(shí)監(jiān)控和深度了解,有效發(fā)現(xiàn)包括“0day”在內(nèi)的各種未知黑客攻擊。
對業(yè)務(wù)系統(tǒng)“零”影響
Agent 以其輕量高效的特性,在保證對用戶主機(jī)安全監(jiān)控的前提下,不對其業(yè)務(wù)系統(tǒng)產(chǎn)生影響,為用戶的主機(jī)安全提供高效可靠的保護(hù)。
結(jié)合資產(chǎn)信息,為響應(yīng)提供最準(zhǔn)確的一線信息
在獨(dú)有的資產(chǎn)管理能力支持下,不只能發(fā)現(xiàn)入侵,更能夠提供深入詳細(xì)的入侵分析和響應(yīng)手段,從而讓用戶精準(zhǔn)有效地解決問題。
關(guān)于安博通
北京安博通科技股份有限公司(簡稱“安博通”),成立于2011年,以“看透安全,體驗(yàn)價(jià)值”理念為核心,是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺,是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)來源。
更多詳情,敬請查閱:www.abtnetworks.com
深入了解,歡迎垂詢
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!