安全态势感知vSIP
产品功能
更新时间: 2022-08-30 21:06:00上图为安全态势感知平台数据处理流程,整个过程依赖接入的组件来提供数据来源。整体组件包括基础组件和扩展组件,具体如下:
1. 基础组件(探针、文件威胁鉴定)
• 潜伏威胁探针
基于X86的硬件结构,用于旁路部署在外网各个关键区域节点(交换机),对全流量进行采集和检测,提取有效数据上报给安全感知平台。
潜伏威胁探针具备IDS检测能力,包含WEB应用攻击检测规则和漏洞利用攻击检测规则,可从流量中检测已知威胁,为平台输送安全日志。同时,内置异常行为检测引擎,实时匹配流量,当发现存在异常行为时会将流量片段在采集的流量数据中进行标记,传给平台,由平台进行深度关联分析,挖掘潜在的威胁。
• 文件威胁鉴定系统(可选)
创造性的将国内外知名的小红伞、火绒、Clamav这三个静态分析引擎与助企云自研的机器学习引擎(SAVE)进行深度结合,对探针从流量中还原的文件(由平台传递)进行静态的威胁鉴定,在提升检测率的同时结合各家所长来抑制误判。
针对APT攻击等未知威胁,内置的沙箱系统可对文件进行动态行为分析,提取异常行为,结合风险行为规则来为未知文件进行威胁评分,输出可视化的文件分析报告,为分析人员提供依据。
注:没有该组件,平台亦可以通过威胁情报关联和行为分析等来识别文件和邮件威胁。该组件可提升在已知威胁变种及未知威胁的检出率。
2. 扩展服务(云眼、云镜、SSL VPN、EDR、NGAF)
以下服务为助企云自有安全体系的服务,用于作为安全态势感知的扩展服务,在提供有针对性的安全数据输入的同时,可联动进行安全防护、检测。
服务名称 | 服务描述 |
下一代防火墙服务 | X86架构,下一代防火墙一般部署在云数据中心的出口,作为安全感知平台的组件后,用于采集外部攻击和违反策略的违规访问数据,并实现对攻击源的联动阻断和异常访问的ACL策略控制,让安全态势感知平台具备基础防御能力。同时,由于安全感知平台具备未知威胁检测能力,可联动形成对未知威胁的有效防御和脆弱性入口点的针对性策略控制,应对出口安全的攻击绕过问题。 |
EDR | 助企云终端安全响应平台,针对终端主机的安全进行有效防护。以此作为组件,可以采集来自服务器/云主机的主机安全日志,增加安全感知平台的端点分析、溯源取证能力,同时结合EDR的病毒查杀能力,可实现安全感知平台的问题处置闭环。 |
SSL VPN | 部署助企云VPN服务后,可同步网络中SSL VPN 的用户日志、管理日志到安全感知平台。SSL VPN数据接入后,发生安全事件时可识别出通过VPN接入对应的终端,如果发生严重事件,并且可以通知使用人下线。 |
云眼 | 助企云扫描产品,对互联网业务提供持续的风险评估+实时监测+篡改处置+应急对抗服务。作为安全态势感知平台的组件来进行网站漏洞扫描、可用性及篡改监测,对已发生的篡改可进行快速切断。 |
云镜 | 助企云漏洞扫描服务,对内部网络所有资产进行扫描来发现脆弱性风险。作为安全感知平台的组件时提供内部网络所有资产的主动脆弱性扫描发现能力。 |