绿盟威胁和漏洞管理解决方案

Size: px

Start display at page:

Download "绿盟威胁和漏洞管理解决方案"

瞳霆闷傅
5 years ago
Views:

1 绿盟可管理的威胁检测与响应服务文档编号 NSF-MP-OBD-004 密级外部公开版本编号 V1.1 日期 2018/05/ 绿盟科技

3 目录一. 综述互联网威胁泛滥攻防之间的差距越来越大企业安全威胁监控与管理现状问题分析... 4 二. 绿盟可管理的威胁检测与响应服务服务概念介绍绿盟 MDR 服务的价值与功能绿盟 MDR 服务采用的设备类型及部署方式... 9 三. MDR 服务的主要服务项介绍热点事件预警与防护高危访问源的监测与封杀可疑安全事件的发现与确认四. 总结 I -

4 一. 综述 1.1 互联网威胁泛滥党的十八大以来, 我国信息经济蓬勃发展, 互联网成为国家发展的重要驱动力截至 2017 年 12 月, 我国网民规模达 7.72 亿, 手机网民规模达 7.53 亿, 互联网普及率达到 55.8%, 超过全球平均水平和亚洲平均水平但随着我国互联网应用的深化互联网经济发展及网络空间战略地位的日益提升, 来自于互联网地下产业政治性黑客组织以及国际敌对势力的网络攻击与威胁给我国互联网技术与经济持续发展不断提出新的挑战同时, 企业面临的网络安全问题也日益严峻, 敲诈勒索病毒和挖矿软件的传播和植入网络攻击武器库泄露给业务系统造成潜在安全隐患,APT 攻击对企业的互联网业务的安全运营不断提出新的挑战绿盟科技最新的两项研究表明 :1) 大部分互联网的业务系统在上线后半小时内会被攻击者探测发现并开始遭受攻击,2) 系统的最新漏洞在信息公开后 10 小时 ~13 小时, 攻击者会采用最新的攻击代码对开放在互联网系统进行攻击第一项研究采用蜜罐系统完成, 绿盟科技研究人员发现所有蜜罐系统在上线后不到半小时就会遭受探测类与扫描类攻击, 并且每个蜜罐系统遭受攻击平均次数多达 50 次以上通过对蜜罐系统的持续观测, 绿盟科技研究人员发现每次紧急高危漏洞的信息公开后的 10~13 小时以内, 蜜罐系统就能捕获针对紧急高危漏洞的新型攻击 ( 详情参见下图 ) 以上数据都表明, 当前我国互联网充斥安全威胁并威胁演进的速度非常惊人 1

5 Drupal 蜜罐上线后捕获扫描探测类攻击及针对 Drupal 漏洞的新型攻击的情况 1.2 攻防之间的差距越来越大近年来, 企业安全防护能力与攻击者的攻击能力之间的差距越来越大美国第一大运营商 Verzion 在其发布的数据破坏事件调查报告中指出, 在过去十年, 未被企业监测和发现的攻陷事件比例从 67% 增长至 84%( 参见下图 ), 这个数据也表明了大部分企业并不知道已发生的安全灾害事故, 并且安全事故带来的损失在不断增加 2

6 企业与攻击者攻防能力之间的差距不仅使企业遭受损失, 另外一方面也加剧中国互联网环境的安全隐患当前全国被攻陷的主机数量规模惊人, 根据 2017 看 CNCERT 和 CNNIC 发布的统计数据, 我国被控制的主机数量多达 1200 万台, 而对应的我过公网 IP 数量为亿, 相当于每 30 个公网 IP 内就存在一台被控制的主机未被发现这些被控主机很有可能被攻击者利用, 作为各类系统攻击 DDoS 攻击和恶意代码传播源给互联网环境带来极大安全隐患, 也给企业带来了法律上的风险 1.3 企业安全威胁监控与管理现状为了进一步了解企业在威胁与攻击防护的现状, 绿盟科技对近 400 家企业的安全测试与评估的结果进行统计分析在 400 家企业单位中, 具备专职的安全运营团队单位 2 家, 具备专职安全管理人员的企业 36 家, 其余单位仅有兼职 IT 管理人员负责安全通过评估结果的挖掘和分析, 我们发现大部分企业的安全威胁监控与管理现状并不乐观, 能有效拦截扫描和探测行为的企业只有 4.3% 根据以下统计结果, 我们不难发现问题主要集中体现在安全运维上 79% 的企业购买了专业威胁检测与防护类设备或装置 ( 包括不仅限于下一代防火墙产品防篡改产品 Web 应用防火墙入侵检测与防御系统 ); 近一半的企业和单位设置了应急处置预案 ; 仅有 4% 的企业会定期检查和升级防护设备的配置与策略 ; 仅有 1% 的企业有专职人员负责威胁监控与审计在 400 家企业中, 大部分企业面临有设备, 没人用的情况, 缺乏安全运维人员这导致企业几乎没有能力对互联网威胁进行监控 3

7 1.4 问题分析安全预算与投入不足导致企业难以建立有效安全运营体系我国企业安全预算与投入不足是导致企业难以建立有效安全运营体系的原因之一在欧美等发达国家, 信息安全预算一般占比 IT 基础设施投入的 8%~10%, 而我国的平均水平不到 1% 根据 Garnter 2018 年 IT 市场研究报告和 2017 年安全市场研究报告显示 2017 年我国在 IT 技术产品和服务的总支出超过 2.47 万亿人民币, 而对应安全投入仅为 203 亿人民币安全投入占比 IT 基础设施投入约为 0.82% ( 具体参见下图 ) Garnter IT 市场研究报告,2018 年 1 月 4

Garnter 安全市场研究报告,2017 年 12 月安全预算不足现状直接导致企业在安全设备与服务采购人员招聘团队建设的不足, 使得企业难以建立有效的安全运营体系应对日益严重的互联网威胁 1.4.

8 Garnter 安全市场研究报告,2017 年 12 月安全预算不足现状直接导致企业在安全设备与服务采购人员招聘团队建设的不足, 使得企业难以建立有效的安全运营体系应对日益严重的互联网威胁缺乏安全人才安全人才的匮乏也是我国企业难以有效应对互联网安全威胁的主要原因之一工信部中国电子信息产业发展研究院研究报告指出,2016 年我国信息安全人才缺口高达 50 万 ~70 万, 需求量每年新增 1.2 万人左右, 但是每年信息安全专业毕业生不足 1 万人当前信息安全人才缺失的现象已是个社会问题, 在短期内无法有效缓解, 大部分企业将长期面临信息安全人才短缺问题 5

安全威胁分析平台安全专家服务于一体的一站式安全运营支撑服务, 通过入侵检测防御系统全流量分析系统态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务 ( 如下图所示 )

9 二. 绿盟可管理的威胁检测与响应服务 2.1 服务概念介绍绿盟可管理的威胁检测与响应服务 (NSfocus Managed Detection and Response Service, 以下简称绿盟 MDR 服务 ) 是一种集安全威胁检测设备安全威胁分析平台安全专家服务于一体的一站式安全运营支撑服务, 通过入侵检测防御系统全流量分析系统态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务 ( 如下图所示 ) 相对于传统的安全产品与安全服务, 绿盟 MDR 服务具备以下优势 : 避免企业信息安全建设面临的管理风险当前国内企业机构的信息安全建设往往采用先采购安全设备和安全平台类产品, 后采购运维外包服务方式解决安全问题这种建设方式, 往往在工期上人员配备上技术集成上存在较大风险实现不同厂商安全设备的统一运维与管理不同安全设备与平台同步开发联调对接安全运维外包服务或安全运维人员招聘和培养等问题给企业增加了供应 6

10 商管理及外包管理成本和风险, 难以确保采购的安全设备平台及服务能够形成完整的有效的运营体系应对日益复杂的安全威胁绿盟 MDR 服务是一体化的端到端的安全运营支撑服务, 通过一体化的设计有效整合了安全威胁分析平台安全检测设备及安全运维专家资源, 并在技术上流程上和人员配备上形成有效的安全运营支撑体系, 从而避免了企业在安全建设上的风险配置灵活, 成本可控, 降低总体成本绿盟 MDR 服务可采用灵活方式采购一方面, 客户可以根据自身业务系统的类型规模及规划灵活地选配威胁检测与分析所需要的设备另外一方面, 在安全设备及安全平台建设上, 企业可以根据自身的安全预算情况选择租赁或采购的方式对于已购买绿盟安全设备的客户, 还可以选择在原有安全设备基础上扩建的方式完成 MDR 服务的采购通过以上方式, 企业可以大幅降低信息安全建设的一次性投入, 并且在确认安全运营支撑服务效果后逐步追加投资降低运营负担, 适配企业原有的管理流程与传统安全设备采购不同, 绿盟 MDR 服务采用一体化建设方式, 在原有安全运体系基础上增加企业威胁检测与防护的能力, 能够完整地实现企业原有的安全运维体系无缝对接, 避免给企业安全运维带来额外负担, 降低整体安全运营效率 2.2 绿盟 MDR 服务的价值与功能绿盟 MDR 服务专注于安全事件发生中和发生后两个阶段的监测与响应, 可以为企业客户提供以下两点核心价值 : 1) 安全止损 : 绿盟 MDR 服务通过事件监测或审计的方式帮助企业及时发现安全灾害事件, 并在第一时间提供消除灾害影响的操作建议, 大幅降低安全灾害事故带来的损失和影响另外一方面, 在安全事件发生后, 绿盟 MDR 服务通过本地化应急响应确认进行攻击溯源, 确认引发安全事件根源并采取积极措施消除安全隐患, 避免安全灾害事故重复发生 2) 降低安全风险 : 绿盟 MDR 服务通过威胁监测或审计方式协助企业发现具有持续性攻击或针对性攻击的高危访问源, 并提供封杀操作建议, 通过攻防 7

11 对抗方式有效提升攻击者攻击成本, 迫使攻击者放弃攻击, 最终达到降低企业安全风险的目的绿盟 MDR 服务功能主要包括热点事件预警与防护攻陷主机与事件的防护和高危访问源的监测与封禁, 具体功能如下表所示 : 阶段服务项服务方式 SLA 事中热点事件预警互联网热点事件监测通告与预警 1) 时效 : 在热点事件发布后 24 小时之内, 进行安全预警和通告热点事件预防防护设备升级并配置防护策略 2) 范围 : 针对可能造成主机被控制且会广泛影响金融运营商政府交通能源教育医疗的新型漏洞或威胁, 事件范围参见附件一在热点事件发布后 24 小时之内完成防护策略的建议或部署持续性攻击高危访问源发现互联网边界访问行为审计识别互联网恶意访问源有扫描探测行为的高危访问源及有明显攻陷意图的访问源, 并提供封杀建议和策略, 每日一次针对性攻击高危访问源发现互联网边界访问行为审计识别针对已知漏洞进行攻击的高危访问源, 并提供封杀建议和策略, 每日一次事后可疑攻陷事件发现互联网边界访问行为审计每日一次范围 : 参见附件二可疑攻陷事件排查流量深度分析 (Payload 级 ) 发现攻陷事件后 30 分钟内完成攻陷事件告警电话 / 邮件通知发现攻陷事件后 5 分钟内完成攻陷事件抑制邮件发送发现攻陷事件后 5 分钟内完成安全事件应急响应本地人工直辖市省会城市 8 小时抵达现场 8

2.3 绿盟 MDR 服务采用的设备类型及部署方式为了确保能及时发现威胁应对威胁, 绿盟 MDR 服务采用 5 种不同类型安全设备或平台, 包括绿盟 Web 应用防火墙绿盟入侵检测与防护系统绿盟全流量检测系统绿盟统一威胁分析系统绿盟态势感知系统这五类设备和装置在服务中发挥着不同的功能和作用, 帮助企业完成威胁的检测和响应设备与平台列表如下表 : 设备名称英文简称作用

12 2.3 绿盟 MDR 服务采用的设备类型及部署方式为了确保能及时发现威胁应对威胁, 绿盟 MDR 服务采用 5 种不同类型安全设备或平台, 包括绿盟 Web 应用防火墙绿盟入侵检测与防护系统绿盟全流量检测系统绿盟统一威胁分析系统绿盟态势感知系统这五类设备和装置在服务中发挥着不同的功能和作用, 帮助企业完成威胁的检测和响应设备与平台列表如下表 : 设备名称英文简称作用选项绿盟 Web 应用防火墙 NSfocus WAF 互联网侧 Web 威胁检测与拦截设备 ( 可选 ) 绿盟入侵检测与防护系统 NSfocus IDP 互联网侧系统与应用威胁的检测与拦截设备 ( 必选 ) 绿盟全流量检测系统 NSfocus UTS 流量回话采集设备 ( 必选 ) 绿盟统一威胁分析系 NSfocus TAM 可疑事件的分析平台 ( 必选 ) 统绿盟态势感知系统 NSfocus TAS 可疑事件检测平台 ( 必选 ) 在部署上 ( 如上图 ), 绿盟 MDR 服务需要在企业本地侧部署安全运营支撑平台 ( 包含绿盟统一威胁分析系统及绿盟态势感知系统 ), 并将威胁检测类设备 ( 包 9

13 括绿盟 Web 应用防火墙绿盟入侵检测与防护系统绿盟全流量检测系统 ) 接入至安全运营支撑平台, 完成本地部署后, 通过在线或离线方式将需要分析的日志信息传送至云端交由云端安全专家完成各类日志分析及策略制定三. MDR 服务的主要服务项介绍 3.1 热点事件预警与防护热点事件是指大范围影响单个或多个行业或地域的群体性安全事件, 例如 Struts2 漏洞曝光永恒之蓝攻击代码曝光等, 这类事件往往伴随大量灾害和损失发生根据绿盟网站安全监测与防护服务的统计, 每一次热点事件的曝光的 24 小时以内, 互联网都会出现大量与公布漏洞或代码相关的新型攻击对企业来说, 每一次热点事件曝光后的排查与加固实质上都是与攻击者面对面的较量, 攻击者抓紧时间完成根据新曝光的漏洞信息或攻击代码完成攻击工具, 而企业需要完成漏洞的排查与加固而对于大部分企业来说, 确保在 24 小时之内完成排查和加固是个极大的挑战, 所以热点事件往往会给企业带来极大安全风险绿盟 MDR 服务可以帮助企业客户在完成加固之前, 抢先在互联网出口完成预防工作, 将来自于互联网的新型攻击有效拦截, 大幅降低热点事件导致的安全风险绿盟 MDR 服务对热点事件的预警与防护分为通告预警和安全防护 2 个阶段在通告预警阶段, 当前出现热点事件时, 绿盟 MDR 服务会通过电话短信邮件等方式向企业客户发起安全事件的预警, 将安全事件相关背景信息漏洞与攻击相关特征及通用处置建议发送给企业在安全防护阶段, 绿盟 MDR 服务云端安全专家可在客户授权下, 对安全检测和防护类设备的规则库进行升级并配置安全防护策略, 通过这种方式预防来自互联网的新型威胁 10

2 高危访问源的监测与封杀绿盟 MDR 服务对热点事件预警与防护高危访问源的监测与封杀的主要作用有两个, 一方面可以在攻击者找到攻陷方法或路径之前,

14 此外, 在企业提供资产系统 / 组件 / 应用类型的前提下, 绿盟 MDR 服务不仅可以对企业客户通告最新事件, 还可以进一步帮助企业客户及时确认事件影响的资产范围, 帮助企业排查隐患和加固 3.2 高危访问源的监测与封杀绿盟 MDR 服务对热点事件预警与防护高危访问源的监测与封杀的主要作用有两个, 一方面可以在攻击者找到攻陷方法或路径之前, 针对访问源进行拦截, 破坏自动化攻击行为, 达到比设备自动拦截和防护威胁行为更好的效果另外一方面, 针对高危访问源的封杀可以有效提升攻击者的时间成本技术成本迫使对方放弃攻击 ; 高危访问源的监测与封杀技术原理如下图所示高危访问源可以被分为两类, 一类是具有持续性攻击特征的高危访问源, 另外一类是具有针对性攻击特征的高危访问源 11

15 绿盟 MDR 服务针对以下三类具备持续性攻击的特点或意图的访问源进行检测 : 有案底的高危访问源, 即在攻击发生之前曾经对其他主机或系统采取攻击行为的高危访问源 ; 绿盟 MDR 服务采用绿盟威胁情报 (NTI) 可识别全球最新的威胁源, 根据 IP 信誉识别并捕获高危访问源扫描探测类的高危访问源, 绿盟 MDR 服务通过威胁分析平台对访问流量和日志分析, 可精确识别各类有扫描行为和探测行为的访问源这类访问行为往往是攻击的前兆具有攻陷意图的高危访问源, 绿盟 MDR 服务采用大数据分析和机器学习技术, 自主开发了访问行为理解引擎, 可以精确识别攻击者攻陷行为的七个步骤和环节, 从而识别具有攻陷意图的高危访问源对于针对性攻击的高危访问源, 绿盟 MDR 通过威胁分析平台根据威胁告警和资产漏洞信息进行关联分析, 确认每一个威胁行为是否具备针对资产漏洞进行攻击的特征, 如果发现是针对漏洞进行攻击的威胁行为, 则需要将其访问源进行特殊处理 3.3 可疑安全事件的发现与确认由于移动终端的普及, 攻击者往往采用攻陷个人移动终端的方式来渗透企业内网, 企业内网安全已经无法单纯依赖于互联网边界的威胁检测与防护绿盟 MDR 服务提供采用互联网边界访问行为检测与流量深度分析相结合的方式, 帮助企业客户发现并确认可疑的安全事件绿盟 MDR 服务可以通过系统攻击检测 web 攻击检测网站安全监测 ( 或通告 ) 和威胁情报四种有效方式发现可疑安全事件, 前两者属于本地检测方式发现自内网外联的可疑行为, 后两者都是通过外部能力或情报发现企业内网对外攻击行为或已被的攻陷痕迹当前绿盟 MDR 服务发现可疑安全事件以后, 将可疑事件相关信息, 尤其是异常终端访问信息传递给云端安全专家进行排查和确认, 在专家排查确认后第一时间向企业发起安全事件通告, 并开始启动应急响应 12

16 四. 总结绿盟 MDR 服务是无论是在服务模式上还是在技术上都是业界先进的, 该服务不仅为客户提供了安全一体化建设方案, 避免安全建设项目的风险, 还进一步融合业界最先进的大数据分析技术机器学习技术智能决策技术为客户有效精准地识别安全威胁和事件, 从而协助企业持续有效地降低安全风险和安全事故带来的损失 13

IQ

TRITON APX IQ TRITON APX TRITON APX TRITON TRITON APX TRITON AP-WEB Websense ACE Web DLP TRITON APX IT TRITON APX Web TRITON APX DLP TRITON APX DLP Web (DLP) TRITON AP-WEB TRITON AP-EMAIL DLP (OCR) TRITON