菜单
分类: 标签:

睿眼-网络攻击溯源系统

最近180天交易数:0

线下议价

用户点赞:

产品全球首创 VACL(虚拟访问控制策略)技术,通过捕获的流量来分析网络里不同系统或安全域之间的访问关系,构建『最小化』、『分权制衡』、『安全隔离』新型防护体系,辅于『攻击者视角』、『运维者视角』、 『资产视角』、『威胁情报视角』、『专家视角』五大视角,帮助用户构建『攻击发现、攻击还原、攻击追溯、应急响应』深度能力,站在黑客的视角以时间线的方式还原黑客所有操作,解决用户“摸清家底”、“业务态势”、“威胁预警”、“攻击溯源”及“威胁情报利用”的核心问题。

产品概述 

1、威胁与挑战

“家底不清”——IT业务飞速扩展,IT资产管理混乱

业务的快速发展给IT部门提出了快速上线、快速更新的要求,也给IT资产的管理提出了更高的挑战。由于现有手段无法及时有效发现资产、找到安全弱点,所以安全交付成为IT风险管理的重要问题。
“边界模糊”——资产关联错综复杂
IT业务由过去的内部使用,逐步延伸到合作伙伴、分支机构、第三方机构,这种互联互通的机制引入了更多的安全风险,移动办公的使用者安全意识薄弱,导致边界不可控。
“攻防力量不对等”——攻强守弱
高效的网络攻击手段成本低廉,并趋于工具化及爆发化。面对复杂的网络攻击手法,防御难度日益增大,在网络安全攻防较量中防御者已经处于下风。 
 “非法用户、合法使用”——攻击手段日益合法化
随着技术的发展,攻击者利用合法手段进行非法攻击已成趋势。“未授权API”已成热门攻击手段。此类攻击,利用合法API配合“爬虫”大量盗取用户数据,单次攻击与正常用户访问并无区别,因此可以绕开现有的公开防护手段。
 “业务安全防护”——现有防护体系的短板
“互联网+”时代,互联网业务急速丰富,业务安全迫在眉睫;对手不断利用电信诈骗、拖库、撞库、刷库手段挑战整个业务防护。然而传统的防护体系注重网络安全,对业务安全毫无帮助。

2、产品概述

睿眼-网络攻击溯源系统是一款以攻击溯源理念为核心研发的网络攻击威胁感知溯源系统。产品全球首创 VACL(虚拟访问控制策略)技术,通过捕获的流量来分析网络里不同系统或安全域之间的访问关系,构建『最小化』、『分权制衡』、『安全隔离』新型防护体系,辅于『攻击者视角』、『运维者视角』、 『资产视角』、『威胁情报视角』、『专家视角』五大视角帮助用户构建『攻击发现、攻击还原、攻击追溯、应急响应』深度能力,站在黑客的视角以时间线的方式还原黑客所有操作,解决用户“摸清家底”、“业务态势”、“威胁预警”、“攻击溯源”及“威胁情报利用”的核心问题。

产品功能

1、攻击者视角,还原黑客全生命周期活动
睿眼-网络攻击溯源系统基于攻击者视角构建“威胁检测模型”,与传统的网络安全解决方案不同的是,系统在特征检测的基础上,以围绕攻击链的黑客行为作为“威胁建模”,覆盖攻击链的黑客动作与恶意文件,完成黑客攻击的全生命周期检测,以时间线的方式还原黑客所有行为。
2 、运维视角,解决安全运维常见问题
目前公司IT资产管理主要为通过台账记录或者人工录入,这两种方式存在天然的缺陷,第一,由于需要人工介入,往往无法保证能够将变动资产信息进行实时更新,存在严重的滞后性,无法满足信息化安全管理的需求。第二:录入的资产需要通过多层人工转换,存在一定的不确定性,导致录入信息不够准确。 

睿眼网路攻击溯源系统从安全运维的日常角度出发,对构成网络的资产主机、网络协议、开放端口、绑定域名、人员等多维度进行关联威胁分析,在审计的基础上进行威胁检测,实现资产异常行为的侦测。对待快速迭代的1day漏洞,可通过睿眼实时检索存在漏洞的资产,实现漏洞的精确快速定位,有效提升公司的漏洞发现能力,缩短漏洞的响应时间。同时对网络中所有的访问关系进行梳理,可按照端口、协议、国家等多维度对各资产对外、对内、互相访问关系进行审计梳理,通过威胁检测与业务匹配进行异常行为。从而有效帮助用户,解决 “资产梳理”、“资产弱点”、“资产行为”、“资产变动”安全运维管理。

3、资产视角,清晰掌握资产威胁动态
以资产的角度审计所有攻击事件,可一键梳理所有被攻击成功的沦陷资产,定位失陷主机存在漏洞的端口、应用,可让安全运维人员第一时间确认漏洞所在,快速进行应急响应;通过对威胁数据的关联分析与攻击判断,识别还原所有通过该端口、应用服务或漏洞入侵的黑客事件,同时区分访问资产与资产外连流量,除黑客入侵资产威胁告警外,审计资产主动外连流量,记录还原“黑客”控制资产进行的所有行为。从而便于客户站在“上帝”资产的视角,实时掌握资产威胁状态,提高安全应急响应能力。
4、威胁情报视角,外部内部情报的联动分析
威胁情报视角将外部威胁情报与内部威胁情报进行联动分析,系统内置丰富的黑 IP、黑域名的外部威胁情报库与情报说明,记录告警资产与黑客的会话连接数据;同时,利用威胁识别模块生产的内部威胁情报,记录黑客在资产区的全部活动轨迹。 睿眼-网络攻击溯源威胁情报模块内置 API 接口,可与睿眼 Web 攻击溯源、睿眼邮件攻击溯源模块实现情报联动。 

5、专家视角,提供高级大数据检索
系统会自动存储所有威胁相关数据,支持不同规则的『普通模式』与『专家模式』的切换,发现安全事件后,系统自动生成以时间为主线的黑客活动溯源报告,同时提供安全专家专业、详细、可关联的大数据检索功能,缩短应急响应时间,提高溯源取证质量。

典型部署

本系统为2U机架式服务器,采用绿色的旁路部署模式,只需将设备连接于交换机的镜像监听端口,即可开始工作。部署全程程无需中断服务或对现有网络进行任何调整。

5/5b5ab5a6a0ca5.png

 特性优势 

1、解决家底不清,资产不明的问题
睿眼-网络攻击溯源系统以检索流量为基础,结合威胁数据、应用数据和边界设备数据等进行分析,动态感知已有资产、开放应用服务、网络拓扑结构、资产漏洞等信息,加上手动辅助录入资产详情,形成资产概况清单,包括IP、端口、域名、应用、所属单位、所属部门、负责人员等重要信息,并智能绘制资产拓扑。清晰的展示出企业网络架构和资产的对应关系。并在安全事件发生时,精确定位存在威胁的资产,从而实现对资产及威胁的统一监控和管理。
2、全生命周期的未知威胁检测
睿眼-网络攻击溯源系统基于行为分析、智能规则、事件关联、DNS审计和威胁情报等多个引擎,对未知威胁的全生命周期进行检测,未知威胁检测能力遥遥邻先于同行业。 睿眼-网络攻击溯源系统对攻击事件进行监测分析,根据攻击流量数据、弱点分析、威胁情报和网络环境等多个维度进行分析,对攻击态势进行等级区分,对攻击是否成功进行判断,从而实现智能告警,使得告警准确率达到 97%以上,大大减轻运维人员的工作量,解决了传统厂商告警量大、误警率高的缺陷。
3、安全与业务相结合
睿眼-网络攻击溯源系统根据业务环境进行机器学习,依靠自主研发的多元算法,识别不同区域的不同业务流量,进行特征规则与行为检测的不同优化,从而形成“流量白名单”, 通过不同于业务的异常行为检测捕获未知威胁攻击。同时支持自定义资产分组与备注、内网IP地理映射,可在界面展示上清晰明确业务造成攻击的状况。

4、安全可视化,动态感知威胁状态
通过采集网络中的流量信息,能够对全网的流量行为进行多维度透视分析,轻松掌握全局的安全态势;系统能够基于动态网络拓扑对路由设备和服务器设备的网络分布、流量详情、设备状态等进行可视化展现,通过设备监控可以直观的了解整个网络和各个设备的流量及运行情况,支持以3D导弹图展现形式。
5、交互式可视化与实用型统计报告
通过对资产的3D可视化技术处理,使观察者可对现有资产的安全状态了若指掌,可通过点击某台具体资产,查看相关的安全事件详情;编辑模式可下对网络拓扑进行修改,实现动态交互式拓扑,同时将重要信息经过交互式操作,形成实用型统计与威胁报告。将繁琐零碎的安全事件归类整理到各个资产,方便了工作人员协作处理事件,同时提升了用户体验。

客户价值

1、提升威胁发现能力,减少分析时间,提升安全运维效率
传统的安全检测系统告警量大,需要安全运维需要专业技术能力进行解读,不仅耗费大量人力而且效率低下。睿眼-网络攻击溯源系统,可对威胁告警进行聚合分析,以事件为单位呈现,再利用攻击研判功能,评估攻击是否对我方造成影响,也就是攻击是否成功,从而提升攻击发现能力与减少安全分析人员与决策人员分析时间。

2、提升 0day 及 1day 漏洞响应能力,减少企业损失
互联网的迅速发展,带来的是更多新型的攻击方式,面对互联突发的高危漏洞,通过睿眼-网络攻击溯源系统,可快速定位网络中存在漏洞版本应用服务的资产,对有漏洞的系统进行及时修复,降低企业资产的安全隐患。 面对未公开的0day漏洞攻击,黑客行为检测模型可匹配流量中存在的异常行为,第一时间发现并全过程记录黑客行为。

增加评论