攻擊面視覺化技術如何解決傳統網路防禦的被動處境?
當前,眾多組織機構都必須針對——由其網路中成千上萬個潛在的可利用攻擊向量組成的——網路攻擊面進行防禦。隨著新應用和技術的不斷推出、新漏洞的不斷髮現,攻擊面的規模和複雜性也在不斷擴大。
在這樣的情況下,攻擊者具有壓倒性的優勢,他們可以在任一時間、任一地點、利用任一漏洞發動攻擊,而防禦者必須做到全時、全網、全面。如何實現網路攻擊面的監測、評估與收斂是防禦者亟需解決的問題。
網路攻擊面視覺化平臺 採用 Gartner 提出的自適應安全架構,將安全基礎架構建模與脆弱性評估技術相結合,計算給定網路系統的安全拓撲,實現資產、網路拓撲、安全訪問控制、漏洞與威脅等要素的關聯分析。
平臺 能夠對給定網路系統脆弱性的暴露程度進行評估,進而對其安全狀態做出客觀評價,並運用資料視覺化技術對攻擊面狀態進行實時監控與分類指標呈現 ,實現:
· 安全路徑與資產安全狀態關聯,安全拓撲端到端視覺化;
· 重要資產與脆弱性定位,攻擊面收斂與防禦體系優化;
· 脆弱性關聯網路暴露面,漏洞優先順序精確評估;
· 網路異常與攻擊事件定位,事件路徑分析與溯源。
平臺旨在通過提高網路自身免疫力,增強對內部、外部威脅的防禦能力,將對各種威脅的被動防禦上升為主動部署,打造全面清晰的網路安全防禦體系作戰地圖。能夠有效解決傳統防禦的被動處境,為防禦體系增加強大的實時監控和響應能力,幫助企業和機構有效預測風險,精準感知威脅。
平臺分為資料採集、資料處理和資料應用三個層級。 資料採集層 分別通過SSH、Telnet、TCP等協議以模擬登陸、分光映象及Agent的方式採集裝置配置、網路流量、敏感資訊、伺服器日誌等資料。這些資料儲存到 資料處理層 的分散式檔案系統和分散式列儲存資料庫中,以資料建模、機器學習、網格計算、關聯分析等方法進行資料的融合分析計算。其結果為 資料應用層 提供資料支撐,通過監控大屏、Web門戶兩種方式提供攻擊面分析與控制、攻擊面態勢監控服務。同時提供第三方介面,支援與其他安全管理產品進行功能結合。
平臺從 六個維度的視覺化 出發,對它們進行智慧關聯和綜合分析,全面提升安全防禦能力,為使用者的核心業務安全保駕護航。
1 、網路安全策略視覺化
針對防火牆、路由器、交換機等網路節點裝置的安全訪問控制策略進行優化、檢查、分析,梳理出空策略、過期策略、隱藏策略、冗餘策略、寬鬆策略、可合併策略六種可優化策略,協助運維人員對其進行精簡和優化。 收縮網路訪問許可權,降低網路安全風險。
其中,隱藏策略即一條範圍較寬的允許策略將後續配置的一條禁止策略隱藏,這意味著需要關閉的一條通道未關閉,那這條通道就有可能被攻擊者利用。寬鬆策略意味著開放的網路埠或允許的網路物件範圍大,極有可能開放了一些不必要的網路許可權,被攻擊者利用的可能性增大。 平臺可對隱藏策略和寬鬆策略做到有效篩查,從而規避由其引發的網路風險。
、安全基礎架構視覺化
實現防火牆、路由器、交換機等裝置配置資訊的自動提取與解析,解析內容包括對安全訪問路徑產生影響的路由資訊、訪問控制、 NAT 策略。運用視覺化技術生成網路安全拓撲,體現安全域劃分及安全域內業務系統、網路、安全裝置節點、網路邏輯的連線關係和安全訪問關係,從而實現全網安全基礎架構的視覺化展示。
通過基礎架構的視覺化展示,管理者可以清晰看到核心業務資產在網路中的分佈、業務系統與網路物件之間的邏輯連線與訪問控制關係,在此基礎上 看清當前安全域的劃分與安全控制設定是否合理;在發生安全事件時,還可以為事件處置提供決策依據 。如當某一區域某一主機中毒時,可以從網路拓撲上分析如何對這個主機進行隔離,防止病毒近一步蔓延,為病毒查殺工作爭取時間。
3 、網路暴露面視覺化
支援以某一業務或伺服器為目的,進行安全訪問關係的查詢,直觀展現網路中哪些源物件可以通過什麼埠、協議訪問目的。反之,支援以某一安全域、網段、主機等為源,展示此源物件能夠通過什麼埠、協議訪問網路中的哪些物件。
基於以上功能,可以發現網路安全控制存在的風險, 全面掌握重要資訊系統與核心關鍵資料的安全性和風險點 。比如,以某一重要業務主機為目的進行查詢,網路中哪些物件能夠通過高危埠訪問此主機,由此發現網路中的危險訪問通道。再如,基於某一終端域為源進行查詢,此終端可以通過哪些埠訪問網路物件,由此分析病毒在網路中的傳播路徑。
結合業務流程、應用架構、資料架構等網路現狀,在安全基礎架構圖層上查詢與展示安全路徑,實現從源到目的多條網路路徑的視覺化。當通過暴露面分析功能發現網路物件間存在含風險的訪問關係後,可通過此功能進一步查詢具體路徑細節, 為網路路徑風險處置提供依據 。
通過業務訪問關係的梳理,設定安全域間、業務間、使用者與業務間的網路安全訪問控制策略矩陣,並對基線矩陣進行持續監控, 當發生安全訪問關係的非法、非授權修改時,相關區域閃紅告警 ,提示運維人員及時處置。
4 、重要主機資產視覺化
幫助使用者從安全形度自動構建細粒度資產資訊庫,支援對業務層資產精準識別和動態感知, 讓保護物件清晰可見 。使用Agent-Server 架構, 提供 10 餘類主機關鍵資產清點,200 餘類業務應用自動識別 ,並擁有良好的擴充套件能力。
· 自動化構建資產資訊,資產清晰可見
可在 15 秒內,不打擾正常執行的情況下,自動構建主機業務資產結構,集中統一管理。隨時發現網路環境內沒有納入安全保護的主機,確保安全覆蓋無死角。對高價值、高敏感業務資產進行鍼對性建模,與風險發現、入侵檢測功能配合提供保護。
· 資產變化實時通知,安全不再落後於業務
平臺對資產持續監控,保證監控資料與實際業務資料的一致。對一些需要特殊關注的敏感資產,發生變化可實時或定時通知,實現資產動態保護。
· 靈活的檢索方式,快速定位關鍵
結合通用安全檢查規範與安全事件的資料需求,形成細粒度資產清點體系。利用多維度檢視,引導使用者輕鬆獲得需要的資產資訊;藉助多角度搜索工具,幫助使用者快速定位關鍵資產資訊。
5 、脆弱性風險視覺化
幫助使用者精準發現內部風險,幫助安全團隊快速定位問題並有效解決安全風險,並提供詳細的資產資訊、風險資訊以供分析和響應。
· 提高攻擊門檻,有效縮減 90% 攻擊面
在資產細粒度清點的基礎上,持續、全面地發現潛在風險及安全薄弱點。根據多維度的風險分析和精確到命令列的處理建議,使用者可及時處置重要風險,從而大大提高系統的攻擊門檻。
· 企業風險視覺化,安全價值清晰可衡量
持續監測所有主機的安全狀況,圖形化展現企業風險場景。為安全決策者動態展示企業安全指標變化、安全走勢分析,使安全狀況的改進清晰可衡量;為安全運維人員實時展示風險分析結果、風險處理進度,提供專業視覺化的風險分析報告,使運維工作價值得到視覺化呈現。
· 持續性監控分析,及時發現最重要的風險
主動、持續地監控所有主機上的軟體漏洞、弱密碼、應用風險、資產暴露性風險等,並結合資產的重要程度,準確定位最緊急的風險,幫助企業快速有效解決潛在威脅。另外,不斷增加最新漏洞的檢測能力,實現緊急安全事件快速響應。
6 、網路入侵視覺化
提供多錨點的檢測能力,能夠實時、準確地感知入侵事件,發現失陷主機,並提供對入侵事件的響應手段。
· 多錨點的檢測能力,實時發現失陷主機
通過多維度的感知能力疊加,對攻擊路徑的每個節點都進行監控,並提供跨平臺多系統的支援能力,保證能夠實時發現失陷主機,對入侵行為進行告警。
· 不依賴對漏洞和黑客工具的瞭解,有效發現未知黑客攻擊
結合專家經驗,威脅情報、大資料、機器學習等多種分析方法,通過對使用者主機環境的實時監控和深度瞭解,有效發現包括“0day”在內的各種未知黑客攻擊。
· 對業務系統“零”影響
Agent 以其輕量高效的特性,在保證對使用者主機安全監控的前提下,不對其業務系統產生影響,為使用者的主機安全提供高效可靠的保護。
· 結合資產資訊,為響應提供最準確的一線資訊
在獨有的資產管理能力支援下,不只能發現入侵,更能夠提供深入詳細的入侵分析和響應手段,從而讓使用者精準有效地解決問題。