2016年����,我國提出了“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”的基本要求�����。今年�����,人民銀行發(fā)文要求地方性銀行業(yè)機(jī)構(gòu)和非銀行支付機(jī)構(gòu)接入“金融行業(yè)態(tài)勢感知與信息共享平臺”����,通過統(tǒng)一監(jiān)管及安全賦能,提升金融機(jī)構(gòu)應(yīng)對威脅風(fēng)險的能力�。經(jīng)過近十年的認(rèn)知和摸索,網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)已經(jīng)被提升到戰(zhàn)略高度����,眾多行業(yè)及大型企業(yè)用戶都開始倡導(dǎo)、建設(shè)和積極應(yīng)用態(tài)勢感知系統(tǒng)���,以應(yīng)對網(wǎng)絡(luò)空間安全的嚴(yán)峻挑戰(zhàn)。
態(tài)勢感知的核心技術(shù)分為“態(tài)勢”和“感知”兩部分�。態(tài)勢是指,首先要了解所有的情況��,這樣才能幫助決策���。網(wǎng)絡(luò)安全態(tài)勢感知過程可以分為以下四個過程�。
數(shù)據(jù)采集:
通過各種檢測工具,對各種影響系統(tǒng)安全性的要素進(jìn)行檢測采集獲取�����,這一步是態(tài)勢感知的前提���。
態(tài)勢理解:
對各種網(wǎng)絡(luò)安全要素進(jìn)行分類���、歸并、關(guān)聯(lián)分析并進(jìn)行處理融合��,對融合的信息進(jìn)行綜合分析�����,得出網(wǎng)絡(luò)的整體安全狀況���,這一步是態(tài)勢感知基礎(chǔ)��。
態(tài)勢評估:
定性����、定量分析當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)和薄弱環(huán)節(jié),并給出相應(yīng)的應(yīng)對措施��,這一步是態(tài)勢感知的核心���。
態(tài)勢預(yù)測:
通過態(tài)勢評估輸出的數(shù)據(jù)�,預(yù)測網(wǎng)絡(luò)安全狀況的發(fā)展趨勢����,這一步是態(tài)勢感知的目標(biāo)。
最后��,根據(jù)評估結(jié)果聯(lián)動或人工進(jìn)行威脅處置����,形成安全閉環(huán)。
然而�,在態(tài)勢感知系統(tǒng)的實際應(yīng)用中,受限于對態(tài)勢感知理解����、數(shù)據(jù)采集融合能力、服務(wù)保障人員等因素影響��,很多企業(yè)在巨大投入之后發(fā)現(xiàn)���,態(tài)勢感知僅僅成為展示匯報的工具�,缺乏有效運營���,應(yīng)用效果與期望有很大差距����,沒有真正解決安全問題���。
當(dāng)前企業(yè)安全建設(shè)中的痛點
1�����、受限于單設(shè)備的處理和分析能力��,無法實現(xiàn)全面的檢測與分析����、防護(hù)能力���。
2����、傳統(tǒng)設(shè)備報警多,誤報高�����,使得企業(yè)安全運營人員被海量報警淹沒��,安全運營失效��。
3���、多職場多分支���,移動辦公的場景,使得網(wǎng)絡(luò)邊界更加復(fù)雜�,實現(xiàn)統(tǒng)一安全管控難度大。
4��、缺乏有經(jīng)驗的安全分析人員�,現(xiàn)有產(chǎn)品沒有形成閉環(huán),缺乏有效的分析模型���、處置和響應(yīng)工具�。
金融機(jī)構(gòu)建設(shè)態(tài)勢感知系統(tǒng),首先要明確建設(shè)的目標(biāo)和范圍�,梳理清晰需要監(jiān)測與防護(hù)的最關(guān)鍵的業(yè)務(wù)資產(chǎn),然后應(yīng)用合適的技術(shù)獲取完整的安全數(shù)據(jù)���,再結(jié)合態(tài)勢感知系統(tǒng)平臺以及大數(shù)據(jù)威脅情報,分析數(shù)據(jù)�、發(fā)現(xiàn)威脅和異常,合理運用安全服務(wù)來落地安全能力�。
態(tài)勢感知建設(shè)與應(yīng)用的幾點建議
1、運營對態(tài)勢感知平臺的價值發(fā)揮來講尤為重要���,后期應(yīng)充分發(fā)揮廠商遠(yuǎn)程支持和駐場服務(wù)的作用���;
2、數(shù)據(jù)采集探針數(shù)量不足���,數(shù)據(jù)采集探針的部署位置不準(zhǔn)確����,將會導(dǎo)致很多網(wǎng)絡(luò)流量采集不到�,需要在前期規(guī)劃時給予足夠重視;
3����、態(tài)勢感知平臺的機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析能力非常有價值�,專業(yè)的安全分析師難得但是非常必要���;
4���、前期應(yīng)投入足夠的資源進(jìn)行模型規(guī)則的梳理整合,磨刀不誤砍柴工�����;
5�����、要做好日志規(guī)范�����,做好日志數(shù)據(jù)及相應(yīng)的授權(quán)規(guī)則����;消除日志誤報干擾,呈現(xiàn)的大屏數(shù)據(jù)才是準(zhǔn)確有效的����;
解決方案
一����、威脅感知平臺TDP:
基于旁路流量的攻擊感知與威脅阻斷
部署方式:TDP同時接入生產(chǎn)網(wǎng)雙向鏡像流量和辦公網(wǎng)核心流量鏡像�����,可對企業(yè)全網(wǎng)威脅進(jìn)行全面檢測���,對企業(yè)資產(chǎn)風(fēng)險點和攻擊面進(jìn)行全面梳理,幫助安全運營人員全面掌握企業(yè)網(wǎng)絡(luò)安全態(tài)勢�,做出有效響應(yīng)。
功能一:事前預(yù)防��,攻擊面與資產(chǎn)梳理
1�����、有效發(fā)現(xiàn)影子資產(chǎn)���,查缺補(bǔ)漏
2���、全面了解資產(chǎn)暴露面�����,心中有數(shù)
3����、做好安全加固�,提前防范
功能二:事中檢測,雙向全流量檢測���,有效判定攻擊是否成功�����,覆蓋全場景��;
南北向:有效識別針對性攻擊���,定位失陷主機(jī);
東西向:內(nèi)網(wǎng)滲透檢測�����,橫向發(fā)現(xiàn)���,主機(jī)提權(quán)����,竊密
功能三:事后智能聚合攻擊事件;
威脅取證定位����、處置與清理
二、威脅情報管理平臺TIP:
高價值的威脅情報的情報管理平臺����,幫助客戶構(gòu)建威脅情報管理��、生產(chǎn)和共享中心����,并從多個維度對情報進(jìn)行可視化展示,幫助客戶應(yīng)用威脅情報進(jìn)行威脅檢測���、應(yīng)急響應(yīng)��、溯源分析和攻擊預(yù)測���。
典型部署場景:
與DNS���、FW聯(lián)動的失陷檢測與自動化阻斷
與態(tài)感平臺對接阻斷外網(wǎng)攻擊與內(nèi)網(wǎng)失陷主機(jī)
功能:
1、本地多源情報接入與整合��;
2�����、第三方設(shè)備聯(lián)動功��;
3�����、私有情報挖掘生產(chǎn)�;
4、威脅情報檢測與分析API�;
5、業(yè)務(wù)威脅評估與攻擊團(tuán)伙檔案���;
6���、威脅情報級聯(lián)與共享
三、基于DNS的統(tǒng)一威脅防護(hù)平臺OneDNS
0硬件無需實施:設(shè)置(個人PC����、DNS服務(wù)器或網(wǎng)絡(luò)設(shè)備)DNS服務(wù)地址即可 實現(xiàn)部署�����;
統(tǒng)一管控多職場:對多職場�����、多分支��、漫游終端實現(xiàn)統(tǒng)一管控�����;
全面威脅防護(hù):全面防護(hù):惡意軟件、勒索病毒��、釣魚��、非法站點���;
穩(wěn)定高效解析服務(wù):覆蓋全國十個片區(qū)����,三大運營商的全加速網(wǎng)絡(luò),故障后自動秒級切換客戶無感知���。
態(tài)勢感知不僅可以賦能金融機(jī)構(gòu)建立防御體系�,還可以賦能監(jiān)管部門實現(xiàn)檢測通報預(yù)警能力����。未來,隨著態(tài)勢感知系統(tǒng)更加廣泛的應(yīng)用�����,或?qū)⒊蔀榻鹑谛袠I(yè)安全防護(hù)的“大腦”���,為金融機(jī)構(gòu)更好地加強(qiáng)縱深防御���,實現(xiàn)主動防御、持續(xù)檢測���、應(yīng)急響應(yīng)��、溯源取證����、風(fēng)險預(yù)警等安全能力,為保障網(wǎng)絡(luò)信息安全發(fā)揮出更大效能����。