经过多年的信息安全建设,企业已经投资部署了大量安全产品,特别是安全防护类别的产品,但随着攻击态势的不断演进,很多用户依然是安全事故频出。这让我们越来越清晰的认识到无论安全防护体系如何建设,也不可能完全防止安全事件的产生,如何解决这些问题?需要将传统大量投资建设防护型体系,逐渐过渡到加强检测和响应维度,在安全事件发生的全过程进行监测与发现。但面对海量数据如何监测又带来了很多难题。
◆ 传统的安全监测方法大都是基于已知规则库进行监测,可检测出已知的安全威胁,但对未知威胁却没有事前的预知,并且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。
◆ 安全维护人员往往不需要关注安全事件的具体细节,但需要对企业的安全态势有全局性的把控。这将需要系统能将采集到的数据和威胁检测、分析结果能按照企业的网络、业务逻辑结构实时的呈现出来。另外系统还需要满足能根据不同时段、不同场景下的安全态势展示需求,以不同的视图给不同的安全管理角色展示不同维度的威胁数据,使其能够对所关注的内容一目了然。
◆ 现阶段主流的安全产品基本上都是单兵作战,只能对自己所负责的区域的流量信息进行分析处理,只能对已知的威胁进行有效防护,但是对于未知威胁的处理能力则非常弱。
齐杉科技安全态势感知解决方案,通过部署流量安全可视化系统,基于专业的数据捕捉,存储,网络全流量安全分析等技术。将各类安全数据进行关联分析,并利用可视化技术,将各种已知安全威胁进行可视化呈现,准确、高效地感知整个网络的安全状态以及变化趋势,从而对外部的攻击与危害行为可以及时的发现。实现对系统安全的整体展示、态势感知、攻击事件溯源、及对潜在威胁的预警功能。
将网络探针采集到的数据分散的存储于多**立的机器设备上,采用可扩展的系统结构,利用多台存储服务器分担存储负荷,利用位置服务器定位存储信息。
齐杉科技流量安全可视化系统基于态势感知的信息,为客户提供精准的安全服务。
防御现在:进行入侵检测。通过旁路采集、分析和存储所有网络流量,利用威胁感知系统检测已知威胁。
回溯过去:进行溯源取证。从黑客发起攻击到攻破系统,进行数据盗取的全过程还原。借助全流量存储分析能力,支持基于1秒、10秒、1分钟、10分钟几种颗粒度进行回溯展示。通过回溯分析数据包特征、异常网络行为,加强对潜伏已久的高级未知攻击的检测。
一方面通过可视化技术的利用,将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化,形成多维度的可视化方案,以便于用户理解;另一方面可以通过可视化技术将威胁事件与企业业务进行有机结合,将系统能采集到的数据和威胁检测、分析的结果按照企业的网络、业务逻辑结构实时的呈现出来,将安全态势真正的可视化。
管理员可以通过监测平台快速查看全网的整体安全状态,对信息资产以及安全事件进行全方位把控,实现了网络安全可视化,快速发现和定位安全事故,缩小攻击影响时间,及时消除现网中的安全威胁,实现主动防御,降低攻击损失的作用。
通过高效,多路流量的数据捕捉,全量、实时地采集行为数据,进行全流量数据的多维度回溯分析,为故障的排障和取证提供,任意时段、细粒度的流量数据。并将数据进行分类,支持对任意时间段的数据进行查看,并提供行为日志、会话日志、流量日志,采用数据关联,筛选过滤、挖掘分析等手段进行大数据分析,利用数据分析产生深层次有价值的理解。
在检测到系统有攻击行为或违规访问等安全威胁时能够及时进行响应,能够在第一时间利用邮件、短信等方式向管理员发出告警。
基于应用层/网络层探测,如ICMP、TCP、Tracert网络层探测,HTTP探测以及DNS解析时延、TCP三次握手时延,HTTP下载时延等,判断整个业务各个阶段交互时延、抖动、丢包,智能分析网络故障及业务故障,准确定位故障节点。
◆ 齐杉科技态势感知方案能让企业网络全面提升网络安全态势感知能力,做到全天候全方位实时感知网络威胁,建立网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。达到《国家信息化发展战略纲要》和《中华人民共和国网络安全法(草案)》的相关要求。
◆ 方案帮助用户解决安全运营管理中网络安全监控和分析能力不足的难题,尤其针对网络新常态下,入侵行为检测、高级威胁监控、失陷主机发现、攻击溯源、威胁情报管理等多种高价值安全业务和场景的监控与管理。
◆ 帮助用户解决网络设备、安全设备、主机资产等各类形态IT资产,所产生的安全信息难以形成威胁情报的难题。方案利用数据多维钻取、实时或准实时等检测技术手段,分析和发现攻击行为、异常流量等安全威胁,通过捕捉各系统间产生的安全数据,转化为安全情报,弥补用户在信息安全数据整合能力、威胁行为预判能力上可能存在的短板。
◆ 及时止损,快速响应,通过安全事件关联分析,完整采集各类事件数据,判断告警的准确性、严重性及威胁事件的结果,帮助用户进行影响面评估,发现安全弱点和盲点,并及时采取相应处置措施,阻止事态继续发展。