安全态势感知vSIP

帮助中心 / 安全组件 / 安全态势感知vSIP / 产品简介 / 产品优势 /

产品优势

更新时间: 2022-08-30 21:06:00

全面的实时监测体系

安全感知平安体从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建,来达成全面的检测体系。包括:

• 脆弱性:以业务资产为核心,寻找暴露面。

• 外部攻击:寻找基于攻击突破的入口点及攻击绕过情况,结合脆弱性感知来针对性的调整防御策略,决策加固方向。

• 内部异常:寻找已经被入侵成功的失陷主机及内鬼,揪出已在内部潜伏的威胁,避免继续受损及影响扩散。


多维度的安全可视预警

基于宏观视角,展示整体安全情况,能清楚的了解当前网络安全状况、评级分数、爆发的重大事件等,并能评估防御不足还是内部威胁,决策哪里需要加固。

主要用于领导层面掌握全网态势:

• 全局视野呈现全网态势

• 辅助安全建设决策

宏观视角主要以大屏展示为主,以1个主大屏 + 15个辅助大屏组合呈现整体安全现状和细分安全情况。

主大屏(综合安全态势)

主屏基于安全域视角,展示全网各个区域的整体安全实况及综合评级。该大屏为三层结构,一层展示重要风险,不是简单统计,而是从通报视角、资产可视、威胁视角、区域横向威胁、外部威胁等多个角度呈现重要问题,让预警更有价值。二层为各视角的详细展示的大屏。三层为各视角大屏下钻后的运维数据层面,展示风险问题的最终原始数据支撑数据,让证据更明显。

多个分层大屏均实现下钻能力,可通过点击各具体内容一步步下钻到具体详情,最终到日志数据及问题指派,并支持快捷键返回,以此形成可分析、可指派的安全监测指挥中心。

辅助预警大屏

目前共有15个辅助大屏,围绕主大屏进行多个视角的详细展示,并支持下钻挖掘分析。具体呈现如下:

• 资产态势大屏:

能够监控资产态势,自动识别服务器、终端分布,帮助用户直观地看清新增资产状况。

• 脆弱性大屏:

能够监控服务器的脆弱性风险,包含漏洞风险、配置风险、弱密码、明文传输等。

• 网络攻击态势大屏:

能够监控来自外部地攻击,直观地展示内部网络在全球范围内面临的攻击威胁,攻击源地理位置、攻击手段、被攻击业务一目了然。

• 正常横向访问监控大屏:

能够直观地展示内部横向正常访问的可视、看清内部业务、终端之间的正常访问关系。

• 正常外连监控大屏:

能够直观地展示正常外连的可视,看清内部网络访问了外部哪些地区,哪些业务或终端的对外访问最多。

• 外连风险监控大屏:

展示所有业务系统、服务器对互联网发起的异常访问行为(已排除白名单通信和正常访问行为),用于监视服务器是否存在的未知威胁,并从中标识存在风险的外连行为、访问的区域、访问目标是否为控制者及当前的外连态势。

• 3D网络攻击态势大屏:

基于GIS全球、全国地图方式,实时展示当前、历史(可选择)的互联网攻击威胁,包括攻击次数、攻击排行、攻击来源区域排行、境内境外区分等,实时反映当前网络攻击态势,及时关注来自境外的威胁。属于外部攻击态势大屏的下钻大屏。

• 横向威胁监控大屏:

基于可视化的方式展示内网主机攻击其他内网主机的情况,用于可视内网横向攻击、横向异常访问的整体情况,识别内网可疑跳板机或异常内鬼。

• 分支安全态势:

针对多分支场景(或多下属单位管理等),基于GIS的区域地图展示形式,直观的展示整体分支安全情况、分支排名、各分支的安全事件处理进度、安全改进之星(改进明显),并能根据分支安全趋势进行整体危害预测,为下一步管理分支工作提供依据。

• 安全事件展示大屏:

基于防通报视角,实时展示当前发生的安全事件、爆发后影响面最大的事件及分区展示各事件的指派、处置跟进情况。适用与通报监控,或针对重大事件(如勒索病毒)的监控尤其有效。

• 工单系统态势大屏:

能够在通报场景下,直观地、全局地监控到各个单位的通报情况以及排行。

• 设备运行态势大屏:

动态展示潜伏威胁探针、防火墙接入平台状态,显示设备在线、离线、CPU、磁盘使用情况,及时发现设备异常。

• 战时活动指挥调度大屏:

汇总平台风险服务器、安全事件、外部攻击、资产处置整改等数据,可了解全局安全状况,为指挥调度提供数据支撑;同时提供值班人员信息,方便掌握值班人员到位情况。

• 资产监控大屏:

呈现当前内网资产情况,包括活跃资产、异常资产、新增资产等,实时展示新增资产情况及脱离管控资产情况,协助发现影子IT资产。

• 重点业务监控大屏:

帮助客户看清重点业务的流量趋势、脆弱性、安全事件等风险问题,以便实时掌握重点系统的安全情况。


易运营的运维处置

为固化工作流程,简化运维,本方案专门构建了一套基于“应急处置 -> 影响面分析 -> 入口点溯源 -> (外传数据)会话分析”的分析处置逻辑链,当安全事件发生时,运维人员通过固化的处置逻辑流程即可快速完成处置。


可感知的威胁告警

为便于运维体验和安全专家分析,安全感知平台创新性的设计可感知的安全告警,让威胁具有易识性、易理解。

1. 标签化

通过打标签形式,将每个安全事件告警以其分类、检测技术、家族名称等以短名称的颜色标签进行表示,每个标签均提供详细说明,以如下形式,很容易就清楚为勒索病毒事件:

    

2. 描述性评级

如下所示,为更易理解所发生的安全事件的重要性和紧迫性,安全感知平台对每个事件均提供“失陷确定性”、“威胁等级”两个描述性评级。前者由于指示当前事件对评估主机是否已失陷的确定性等级(即是否能直接证明主机失陷了),后者为主机发生该类事件对内外网的影响程度。

3. 故事化的关联分析

结合安全感知平台探针组件的细粒度采集能力和平台智能分析能力,能覆盖整个攻击链的所有攻击流程,检测攻击者的每个阶段发起的所有安全事件和造成的影响。

对于发生的所有安全事件,通过内置关联模型,能基于事件的时序性、发包大小、相关安全日志和脆弱性等进行关联分析,形成具有承上启下的安全事件关联集,并围绕被攻击者的攻击链视角进行呈现和告警。如根据主机遭受RDP暴力破解后,出现永恒之蓝内网传播,来告警可能中了Globeimposter勒索病毒;或发现内网某服务器遭受永恒之蓝攻击,能关联该服务器是否存在永恒之蓝漏洞,来及时预警。