一、建设意义
1、网络东西向威胁全方位管控
采用自主原创的大数据及人工智能技术,对核心层、汇聚层、甚至接入层的全端口流量进行全方位的分析及管控,解决了东西向(数据中心内部)管控问题。
2、新型攻击行为全天候管控
摆脱了传统网络安全产品对包特征的依赖,从通信规律而不是数据特征的层面来检测网络中存在的风险,以应对分布式协同攻击、自动化攻击、低频慢速攻击等新型攻击。
3、威胁事件指数化分级管理
按照威胁类别、攻击频率、影响范围等对威胁源头进行多维度的威胁指数综合评分,并进一步按照威胁指数的高低判断事件的轻重缓急,对威胁资产进行有序处置。
4、威胁事件一站式溯源
威胁事件检测不依赖各类不同的安全设备,对平台发现的所有安全事件均可在一个平台上实现逐级溯源取证。
5、网络应用精细化管理
威胁管控精细到应用+端口级,对各应用的合理性、合规性一目了然,对第三方平台或自研程序违规外联、越权扫描、隐蔽后台服务等行为,均能一一发现。
6、兼容主流虚拟化平台
兼容主流虚拟平台,涵盖了几乎所有的可管理交换机以及虚拟化场景,无缝兼容VMware等主流虚拟化平台。
二、建设主要任务
1、可以一站式管控全网的网络威胁情况,无需与其它安全设备进行对接。这不仅提高了效率,而且减少了不必要的麻烦。此外,该平台还可以对各种网络威胁进行全面分析,帮助企业及时发现并解决潜在的安全隐患。
2、当平台发现网络威胁时,结合威胁等级的高低进行有序的处置。对于不同威胁等级,需要采取不同的处置策略,确保问题的轻重缓急得到有效处理。对于高威胁等级的问题,需要立即采取行动,阻止威胁的进一步传播和扩散。同时,也需要加强对用户系统的监控和保护,防止类似威胁再次发生。对于低威胁等级的问题,可以采取较为缓和的处置措施,例如定期检查和修复漏洞、加强系统安全等。通过有序的处置,可以有效地保护平台的安全和稳定,确保用户的利益得到最大程度的保障。
3、平台发现的所有问题,均可通过点击问题详情,直接进入问题发生的源头进行查看,大大简化了问题的溯源过程。不再需要跨平台逐级溯源,省去了许多繁琐的步骤。用户只需在平台上一键操作,即可轻松追溯问题的根本原因。这种高效的溯源方式,不仅提高了解决问题的效率,也让用户更加方便快捷地获得问题的答案。
4、该平台不再只是局限于提供网络安全产品,其功能丰富多样,除了基本的网络安全管控、网络脆弱性端口管控之外,还涵盖了流量监控及分析、网络应用监控及分析、网络零信任管控等诸多功能。这些功能使得该平台能够更好地应对现代网络环境中的各种挑战,为用户提供更加全面、高效的网络管理解决方案。
5、随着网络技术的飞速发展,传统的网络边界已经逐渐消失,这使得对网络威胁的管控变得更加困难。然而,通过采用全新的全方位立体式管控方法,我们可以实现对网络威胁的有效管理。这种管控方式不再需要界定网络边界,而是通过东西向和南北向的双向管控,实现对网络中各种威胁的全面监测和应对。这种全方位立体式管控方式具有更高的灵活性和适应性,可以更好地应对不断变化的网络威胁。
6、我们不再需要依赖传统的威胁特征库来进行分析,而是从通信规律层面出发,进行深入的威胁分析。这种方法能够准确识别任何新型网络攻击行为,让它们无处遁形。我们通过独立研发的算法,对网络流量进行深度分析,挖掘出隐藏在其中的各种威胁。这种创新性的方法,让我们能够更好地保障网络安全,为客户带来更加稳定、可靠的网络环境。
三、产品主要内容
该管控平台实现了从流量到应用服务到威胁到脆弱性立体式、全方位的管控,可一站式地对恶意IP进行溯源定位,对IP等攻击源头进行阻断。通过我们自研的API系统,可与防火墙/交换机等进行联动处置,还能为第三方提供威胁情报服务。
1、威胁监控及分析
从攻击视角、防御视角等多种视角,对网络内外部的攻击源头、威胁目标、脆弱性端口等按照威胁等级的高低进行分析、监控、预警及溯源。其中攻击视角指以攻击源IP为分析对象,对攻击链展开分析;防御视角指以受攻击目标IP为分析对象,对攻击链展开分析。
1)可发现新型的、分布式的攻击行为(目前此类自动化攻击的占比越来越高),满足等保2.0相关条款的要求;
2)对威胁源/目标IP 而不是孤立的事件进行威胁指数评分,有助于按照威胁严重程度有序地处置相关问题;
3)攻击视角可从攻击者的角度发现威胁源头,有助于从源头控制威胁,而不仅仅是被动地对孤立的威胁事件进行防御;
4)对所有威胁事件均可溯源,可作为问题分析、安全策略调整、事件立案以及数据二次分析统计的依据。
2、脆弱性监控及分析
对上下行网络流量进行实时监控,动态掌控全网与脆弱性端口情况。
1)实时监控全局网络中端口及服务的风险情况,动态掌控全网的脆弱性端口情况。
2)脆弱性端口监控:通过对流量数据进行分析,即可发现所有数字资产通过脆弱性端口与其它目标进行交互的行为,决了传统端口扫描工具存在的实时性不高、工作量大等问题;
3)可对与脆弱性端口的交互流量进行溯源。
3、网络应用服务分析
可对全网的上下行网络应用情况,按照流量、数据包数、关联IP数等维度进行分析及统计,并可对相应的数据进行下钻分析。
1)可精确定位全网中网络资源利用率靠前的应用,有助于对网络结构进行优化、对网络资源占用异常的应用进行排查并提出相应的优化、整改建议及要求;
2)发现网络中不规范、不合理的应用服务,有助于对相关风险进行整改。
4、流量监控与分析
可对全网的网络流量,按照网段、IP等视角,根据上下行BPS/PPS等维度,进行分析、统计及趋势预测;可精确定位网络资源占用最高的网段、IP以及业务所发生的时点;可对任意IP、任意时点的流量情况进行分析及溯源。
1)可对网络资源需求趋势进行精确分析及预测,对网络的扩展及优化有据可依,满足等保2.0需求;
2)可按需设定全网网络通讯日志的保存时限,满足网络安全法的要求;
3)遇到网络流量异常时,可对故障源头及数据特征进行下钻分析,无须进行事前抓包、摆脱功能繁杂的抓包分析工具。
5、零信任态势管控
对IT资产访问、应用服务访问、业务访问等,进行一站式管控;对合法及越权访问行为进行多维度的分析、展现及溯源;通过多级信任级别机制,而非简单的黑白名单机制,实现对业务授权及数据权限的灵活控制;零信任相关功能与流量分析、溯源等相关功能,无缝衔接。
1)对IT资产访问、应用服务访问、业务访问等,进行一站式管控;
2)对合法及越权访问行为进行多维度的分析、展现及溯源;
3)通过多级信任级别机制,而非简单的黑白名单机制,实现对业务授权及数据权限的灵活控制;
4)零信任相关功能与流量分析、溯源等相关功能,无缝衔接。
6、威胁态势与趋势分析
提供威胁态势与趋势分析,从全局的角度准确把控网络安全最核心、重大、突出的问题,帮助监管单位或部门快速合理决策。
7、威胁管理与处置
目前已实现以下两种IP阻断功能:
通过自研的API接口,可与交换机、防火墙进行联动处置;
通过BGP协议,对威胁IP实现快速阻断。