2021年公安部護網行動,福建雷盾信息安全有限公司專家團隊參與多個關鍵基礎設施領域的防護工作。在護網過程中發現,關鍵基礎設施領域雖然安全防護體系比較完善,通用的安全措施也基本具備,但還普遍存在以下五大“難”題。
一、五大共性“難”題
01 入侵防范“難”:“四大”管控盲區
現有大部分安全產品基本都是針對互聯網入口及關鍵服務器設備南北向的異常行為進行管控,對東西向異常行為難以管控;
對于按照時間、空間維度通過降低攻擊頻次采用分布式、自動化攻擊等繞過安全設備檢測的新型網絡攻擊行為難以管控;
虛擬化平臺、云桌面、超融合等平臺的異常行為難以管控,內部某臺設備一旦被入侵,現有的安全措施將形同虛設;
與互聯網互通的辦公設備,存在被外部攻擊源高頻率攻擊探測、對外部的互聯網資產實施攻擊、實施大面積的橫向攻擊等風險。不僅自身網絡面臨著安全威脅,還可能存在被網絡監管單位通知整改甚至被處置的風險。
02 安全審計“難”:網絡通信日志難合規
現有安全措施只能對互聯網出口、關鍵節點上的網絡通信行為進行記錄,對上述提到的“四大”管控盲區”以及其他未被監管到的網絡節點上的網絡通信日志難以記錄,這些區域一旦發生安全事件,日志的留存將無法滿足《網絡安全法》通信日志保存六個月以上的安全要求。
03 安全運營管控“難”:網絡應用服務難規范
對大部分的IT資產都只能進行粗放式的管理,在大致確認其用途后對整個IP進行加白處置。一旦某些關鍵設備被入侵或偽造,由此引發的風險將無法想象!
目前僅能通過漏掃等設備對網絡脆弱性端口開放情況進行階段性定期地掃描排查,排期之間尚存在大量的空檔期。對于在空檔期間開放使用的網絡脆弱性端口難以管控。
04 事件溯源“難”:需要多個平臺配合完成
事件的溯源往往需要跨平臺多級層層排查,難以在一個平臺上完成對所有安全事件的溯源取證工作。
05 事件處置“難”:威脅源頭處置無重點
網絡中部署的各類網絡安全監控及預警平臺,大都是孤立的安全事件驅動,密密麻麻的安全事件,難以區分輕重緩急,處置難度大。網絡中部署的各類網絡安全監控及預警平臺,大都是孤立的安全事件驅動,密密麻麻的安全事件,難以區分輕重緩急,處置難度大。
二、雷盾信安解決方案
? ? ? ? “工欲善其事,必先利其器”,雷盾信安專家團隊經過多年的沉淀和研究,形成的《雷盾網絡異常行為分析管控平臺》,采用以下方案解決上述網絡安全面臨的難題。
01 “全方位”安全監管:異常行為無死角監管
采用自主原創的大數據及人工智能技術,對核心層、匯聚層、甚至接入層的全端口流量進行統一分析及管控,實現包括東西向網絡異常行為、新型網絡攻擊行為、虛擬化平臺內外部的異常行為、辦公設備內外部異常行為在內的全網異常行為無死角的安全監管!
02“全方位”日志留存:通信日志全方位記錄
全方位地對所有安全區域、各IT資產之間的網絡通信日志進行記錄及溯源,滿足《網絡安全法》日志留存的要求!
03“精細化”運營管控:精細到應用級+端口級
流量管控精細到應用+端口級,不僅對各個應用對應的網絡架構的合理性、合規性一目了然,對第三方平臺或自研程序違規外聯、越權掃描、隱蔽后臺服務等行為均能一一發現!同時,實時監控設備與脆弱性端口之間的通信情況,為數據/業務非法訪問提供證據,為網絡應用規范化及標準化提供參考依據。
04“一站式”事件溯源:一個平臺完成事件溯源
對平臺發現的所有安全事件均可在一個平臺上實現逐級溯源取證。
05“指數化”威脅處置:威脅源頭分級管理
按照威脅類別、攻擊頻率、影響范圍等對威脅源頭進行多維度的威脅指數綜合評分,并進一步按照威脅指數的高低判斷事件的輕重緩急,對威脅資產進行有序處置。同時,結合各類事件進行態勢分析、趨勢分析,可為下一步安全決策提供依據。
值得一提的是,本方案不僅適用于傳統的網絡應用場景,對跨地域部署的網絡、大型復雜的網絡、含虛擬化的混合網絡、安全設備比較少的網絡、需要對東西向網絡進行管控的網絡等傳統方案難以部署的網絡應用場景均能適用;在不改變網絡物理結構的情況下就能實現對全網絡異常行為一站式的管控分析,同時還能將項目的實施周期同比縮短90%以上。