新基建下的威胁狩猎|看绿盟综合威胁分析系统
2020-12-08
随着数字经济的不断发展,在5G、大数据、人工智能、云计算、区块链、量子技术、物联网新技术的推动下,基础设施类型更加丰富、场景愈发多样,企业对整体威胁的感知、检测、防护、响应和处置变的越发复杂,其中人员变动、系统变更、基础设施升级改造、服务升级等场景带来的安全风险不断加大,内部安全事件逐渐增多,如违规的操作行为导致资产暴露风险、使用VPN等工具泄露敏感信息、非法操作数据库导致数据丢失等。
除此之外,DDoS、漏洞探测、溢出攻击、WEB攻击、0day攻击、网络钓鱼、鱼叉攻击、水坑攻击等攻击手段层出不穷,企业为了应对新形势下不同类型的攻击需要部署不同的安全防护产品,导致建设成本高、维护难度大。
为了更好的服务于新基建发展,贴合国家与行业客户安全需求,针对发展浪潮中的网络安全威胁,海王捕鱼研发出了一款可同时对系统漏洞和WEB漏洞相关攻击进行检测、应用威胁防护、恶意文件检测、敏感信息发现、异常行为检测的分析系统——绿盟综合威胁分析系统(简称:UTS)。该系统可实现对威胁快速精准发现;对威胁进行精准研判和分析,并留存原始数据;最终,利用自身策略和安全运维团队对威胁行为进行追踪溯源和封堵,从而提高安全事件的响应速度。
绿盟综合威胁分析系统(UTS)由采集层、数据层、检测层和业务层组成,同时提供对外接口与其他产品(态势感知、沙箱、大数据平台)组合形成联动方案。
- 采集层
采集层实现对实时流量和离线流量,采集与深度解析;
- 数据层
对采集和解析的数据进行存储,存储的数据类型有元数据、威胁pcap包、原始pcap包、恶意文件、资产数据(从流量中识别的资产数据)等;
- 检测层
集成入侵行为检测模块、Web应用检测模块、恶意文件检测模块、Webshell检测模块、APT检测模块、5G检测模块和异常行为检测模块等,可对威胁进行全面检测;
- 业务层
对检测结果进行二次分析和呈现,分析的模块包括:威胁态势、威胁事件分析、攻击者分析、失陷主机分析和漏洞分析。
绿盟UTS集IDS、WAF、威胁情报、全流量行为日志于一身,能够实现与第三方大数据平台对接的综合性威胁分析系统,采用旁路镜像部署,不影响用户现有网络架构。UTS具有入侵行为检测、Web应用检测、恶意文件检测、Webshell检测、APT检测、异常行为检测、5G检测等多功能引擎,从网络流量中识别安全威胁,实现资产、攻击者、异常行为、未知威胁和5G安全的威胁狩猎:
- 资产狩猎
UTS可主动探测和流量识别资产信息,结合威胁事件对资产进行风险评估,实现资产狩猎。资产信息包括资产IP、资产MAC、服务端口号、服务协议、设备类型、地理位置、操作系统、资产状态、资产描述、资产关联账号等。
- 攻击者狩猎
UTS通过静态规则库识别网络中的病毒、蠕虫、间谍软件、木马后门、扫描探测、Webshell、C&C等攻击行为,实现攻击者狩猎。
- 异常行为狩猎
UTS拥有多个检测模型(异地登录行为/爆破行为/弱口令/内网主机扫描行为/翻墙行为/违规访问行为/主动外联行为),可结合全量行为日志发现潜在威胁,并根据预定规格进行阻断。
- 未知威胁狩猎
UTS通过静态特征分析和动态行为捕获相结合的方式,利用内置威胁情报生成机读IOC快速发现未知威胁,同时结合内置沙箱能在Windows/Linux/Android环境下虚拟执行发现未知威胁,实现未知威胁狩猎。
- 敏感数据狩猎
敏感数据狩猎采用自定义敏感信息识别引擎,可结合全流量信息提取相关用户信息和用户具体业务,能快速发现敏感数据泄露、敏感数据操作以及核心用户操作等问题。
敏感信息识别内容包括:名称类(如姓名、账号)、地址类(如联系电话、邮箱、QQ号)、证件类(如身份证号、护照、驾驶证)、金融类(如银行卡、存折号)、资产类(如车牌号、房产证号)、数据库类(如数据库类型、用户、执行预计)。
- 5G安全狩猎
UTS能对信令协议(NGAP/NAS/GTP/PFCP/HTTP2)和上层应用协议(接口(N1-N40))做深度解析,发现其中的攻击行为,如信令风暴、信令攻击,结合解析日志绘制整个拓扑结构发现伪基站,实现5G安全狩猎。
绿盟UTS搭载多检测引擎,可以有效的识别网络中的已知和未知威胁,具有如下多方面的功能优势:
- 全流量采集和存储、回溯能力强
UTS在全流量数据采集方面应用了一系列关键机制来提高数据采集能力,最大限度地优化了数据捕获方式和数据包处理性能,使之既能满足大流量安全场景下各类数据采集的完整性并将其存储方便后续的0day、APT等高级入侵行为的回溯分析和取证。
- 威胁检测能力覆盖面广
UTS具有入侵行为检测引擎、Web应用检测引擎、恶意文件检测引擎、Webshell检测引擎、APT检测引擎、5G检测引擎等引擎,同时拥有多达9000+条签名特征库,且每周至少更新一次签名特征库,重大安全事件24小时内更新,可以有效的识别网络中的异常行为。
- 一体化运维,让运维更“简单”
UTS首先对威胁进行全面实时监测,其次快速研判并关联分析,对攻击者实现精准打击,还能自动生成内网事件报表,让运维变得如此简单。
- 可对接第三方大数据平台
UTS具有SYSLOG、SFTP和日志插件等标准化日志输出,不仅可对接海王捕鱼大数据平台也可对接第三方平台,方案组合灵活。
作为巨人背后的专家,海王捕鱼将一如既往以创新精神、领先技术、优质产品、专业服务,为用户提供基于自身核心竞争力的网络安全产品、安全解决方案和安全运营服务。集多功能为一体的绿盟威胁分析系统,能够以最小投入实现对新基建下的网络威胁事件快速研判,让威胁处置变得简单、可行。
