網絡安全態勢感知平臺案例
客戶介紹
隨著電子信息技術的快速發展,因特網正日益發展壯大。世界大多數國家和地區已經與因特網接通。中國改革開放和經濟建設的不斷發展和需求,各行業相繼建設了相當規模的計算機網絡。伴隨著計算機網絡的高速發展計算機犯罪活動在中國也初露端倪。具有高技術含量的這種犯罪與以往的常見刑事犯罪有著一些不同之處,被稱之為“21世紀的犯罪”,某市公安局網安大隊為了維護網絡安定運營、有效的打擊網絡犯罪,需要一套先進的技術工具平臺通過互聯網、威脅情報、流量偵測等手段,幫助他們完成對不法份子的破壞活動的偵測與發現。
需求分析
轄區內大量的各類網站安全監管是一個比較大的任務,純靠人工及單機的安全檢查工具,一方面耗費人力物力,另一方面,也不能及時的發現網站的篡改,掛馬等行為,很多時候,網站的安全事件都是由上級部門或者其他安全組織通告后才知曉,非常被動,及時發現轄區網站的各類安全問題,有多少業務資產,網站是否備案,網站是否存在敏感內容,網站是否被篡改,網站是否存在漏洞也是一個非常大的需求。
解決方案
態勢感知平臺的搭建大致分為5個業務區域,分別是:互聯網監測區、流量監測分析區、態勢感知可視化展示區、重點網站監測區、數據通報中心區。
1.?互聯網監測區
該區域主要負責對互聯網上的網站及業務系統進行遠程監測,需要使用主動探測引擎,如:網絡空間探測引擎、網站安全監測引擎。對管轄內的資產進行全面的普查摸底,關于資產建模遵循相關主管單位的態勢感知要求和標準,對關鍵信息基礎設施及重要門戶網站、信息系統,進行探測摸底檢查和漏洞評估,準確的識別出資產的指紋及漏洞信息,完善資產畫像;
2.?流量監測分析區
在運營商方機房部署流量監測設備APT和僵木蠕監測引擎對轄區內的重保單位業務流量進行全量檢測,并且結合威脅情報平臺數據把高風險IP地址進行重點監控智能分析;
3.?態勢感知可視化展示區
集中化的管控平臺、調度平臺以及可視化展示,通過該區域對轄區內的資產風險、范圍進行全局性的管控,便于管理者對新安全態勢有所掌控,準確的下達預警以及處置指令;
4.?數據通報中心區
構建出一套完整的通告處置體系,借助于平臺對發現的安全事件進行處置通告,將發現的各種安全性隱患和事件問題進行通告處置下發,并且通過專網進行數據接口對接,與省級數據通報中心聯動配合,能夠接收以及上傳相關的隱患及事件,形成省市縣三層整體的通告處置閉環體系。
平臺主要分為主動探測和被動探測兩方面。
1.主動探測引擎
◆?全棧安全檢測:安全漏洞評估不能只關注Web應用程序漏洞,現在滲透入侵手段繁多,常常是通過從應用層漏洞到中間件漏洞再到操作系統層面的漏洞均能有效的進行監測,不會形成掃描監測的短板;
◆?多維度的內容監測:暗鏈、敏感詞都是黑客篡改網站常用的體現方式,實時主動探測、準確的把相關敏感信息發現是減小損害影響面的直接、有效的方式;
◆?孤島文件發現:通過主動探測引擎采用圖譜分析法分析,快速準確的發現可疑文件,如“后臺管理頁面、敏感測試頁面、框架插件文件、孤島后門文件等”。
2.被動探測引擎
◆?APT流量監測:自身強大的流量分析模型,對流量內的各種威脅攻擊有效的識別判斷,并且結合威脅情報平臺數據把高風險IP地址進行重點監控智能分析;
◆?僵木蠕流量監測:遵循公安部標準,監測種類多,其中包含9大類46個子類別共20000多條規則。如針對服務器、PC客戶端的后門木馬,僵尸程序檢測;具備檢測入侵攻擊事件,如針對主機系統漏洞的惡意攻擊,針對WEB的注入攻擊等。
案例價值
基于此態勢感知平臺的建設和使用,實現對管轄內的重點網站的安全監測,建立相關的安全監測機制。實現對轄區重點網站的整體安全監測,安全事件快速響應;實現整個網站安全監管水平、安全防護水平、事件處置能力的快速提升,保證各個網站的有效合規運行;有效實現便民、利民、高效,推動當地社會及經濟發展。