客户痛点
近年来,网络安全形势愈发严峻,病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷,尤其是给金融行业带来了巨大的经济损失。某金融行业客户的互联网区域部署众多Web应用,有效防护和监测Web应用安全是其信息安全领域的一项重点工作。经过多年网络安全建设,该金融客户初步建成网络安全防御体系,但目前在安全监测方面仍存在较大的不足,亟须对应用系统特别是Web应用,建立安全监测机制,实时感知和检测网络中的漏洞扫描、漏洞发现事件,进一步提升其互联网出口的安全性。
方案设计思路
1Web攻击检测及溯源思路
方案在设计思路上参考攻击链模型(Attack Chain Model),将攻击流程细分为传递、恶意/设置、命令与控制、提升权限、资源接近、夺取六个阶段。此外,明确Web攻击、钓鱼木马、恶意代码等攻击类型与攻击流程中的具体阶段,如图:
2风险管理思路
在进行信息安全系统的建设和运行工作中,风险管理是一个根本性的思路。为了能够更好地抓住风险管理的线索,便于开展实际工作,中睿天下总结为风险三要素:资产和业务、保障措施、威胁。通过分析三要素,抓住风险管理的实质:识别被保护的“资产”,发掘可能产生侵害的“威胁”,防范威胁保护资产的“保障措施”。
3三层安全思路
三层安全思路是一个典型的信息安全执行模型:包括底层数据提炼层,即为安全信息基础有效数据的提炼过程;中间的运维层,体现为对于安全威胁的集成管理和各种安全事件的流程处理;顶层的决策层,包括安全决策支撑、安全策略实施部署、残存风险判断的高级“使命”。
中睿天下解决方案
1部署架构
中睿天下依据Web攻击检测溯源、三层安全架构、风险管理体系的设计思路,结合该金融客户互联网业务逻辑架构,设计规划了本次解决方案。
该方案采用的部署架构是将Web攻击溯源系统通过旁路的方式接入到客户互联网专区,管理接口负责与统一监控平台进行联动,镜像接口负责采集双向进出互联网区域的Web应用层流量。同时,该方案规划部署的睿云统一监控平台,上联核心交换机负责管理Web攻击溯源系统,在管理平面执行策略命令等管理操作。
拓扑架构如下图所示:
2关键技术
该解决方案主要采用以下关键技术建立web应用安全防御体系:
(1) 流量深度分析技术
从时间、会话、协议、事件等不同维度进行网络流量追踪分析,根据发现的异常事件进行深度追踪、溯源,快速确定潜在的威胁,全面评估事件的危害。
(2) 纵深检测技术
采用纵深检测技术建立的纵深检测体系,覆盖攻击者攻击的主要环节。即使某一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
(3) 攻击研判技术
智能研判技术采用智能匹配深度报文检测,操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术实现智能化、自动化的工具,对攻击事件进行关联分析、聚类分析、攻击成功研判。
(4) 攻击场景还原技术
基于攻击者视角,在攻击路径的每一个环节设置有效的检测和防御措施,通过攻击溯源技术关联分析每个攻击事件,还原攻击的全过程,揭示系统漏洞及攻击来源。
3功能特点
(1) 威胁检测
从时间、会话、协议、事件等不同维度进行网络流量追踪分析,基于攻击模型与攻击行为检测,以攻击者视角出发,参考攻击者思路进行建模收集、归纳、验证攻击行为信息;并根据验证结果的危害程度,划分等级进行呈现及响应,全面展示事件的危害。
(2) 攻击研判
智能攻击研判技术采用深度报文检测、操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术,实现智能化、自动化对攻击事件进行关联分析、聚类分析、攻击成功研判。
(3) 攻击过程还原
对攻击事件进行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,极大地方便了用户对攻击态势的清晰认知。不仅如此,还可以实现攻击过程回放功能,以黑客视角真实还原出攻击细节,为后续的溯源提供了强有力的现实依据。
(4) 黑客攻击画像
领先的溯源技术可帮助用户最大化地搜集攻击者信息,分析攻击者的来源、身份、背景、目的,以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。同时,系统还能依据攻击行为辨别出攻击者是否采用跳板、关联恶意域名等拓展资源,从而保障了溯源与检测的准确度。
(5) 告警响应处置
系统可配置邮件通知与短信通知,根据实际情况配置预警通知的选项,包含特定资产IP、威胁程度、攻击特征、攻击状态、阈值、触发时间段等,当遭受攻击事件时,可通过邮件或短信提供实时报警提示,助力安全运营人员及时处理威胁。同时支持协同处置,通过联动防火墙下发响应指令,及时阻断威胁,保护资产。
(6) 威胁可视化
系统支持3D/2D地球方式实时展示攻击详情,提供3D展示数据模式与业务模式的切换,业务模式可针对不同业务区域的划分进行威胁展示,数据模式可展示后门弱点数、攻击状态、各项威胁指标Top5等关键告警数据与统计,清晰呈现威胁态势。
(7) 安全报表
系统为用户提供威胁报告、安全周报、资产报告等丰富的报表报告。其中,威胁报告、安全周报支持导出,当前具备HTML、PDF两种类型。
威胁报告主要展示攻击统计、攻击成功事件、致命威胁事件、攻击图表统计等威胁详情;安全周报主要展示对应时间段的威胁态势,报告中提供安全评级、黑客数量、检测攻击数、成功攻击事件及黑客攻击趋势、攻击类型分布、攻击资产统计、黑客工具统计、恶意IP分布等图表统计;让安全运营人员清晰且全面地掌握威胁动态。资产报告主要展示资产的脆弱性,包括漏洞数量,漏洞特征,已处理漏洞,未处理漏洞等,提醒运营人员及时处理漏洞,降低安全风险。
4技术优势
(1) 深度检测,有效发现未知威胁
采用了中睿天下自主研发的多层检测引擎,并集成了由中睿天下核心成员多年研究而成的千余种攻击模型,能够适用于不同的生产环境,使检测成功率更为精准、检测范围更为广泛、检测效果更为优良,尤其是在面对复杂攻击或0day攻击时也能具备出色的检测能力。
(2) 关联分析,精准研判攻击结果
基于多年的攻防经验,总结出基于攻击结果的研判方法论,通过挖掘数据包中的请求包与返回包信息,对攻击成功与否给予研判。并解决传统安全防御设备所面临的告警数据量大,价值信息难提取等问题,最终形成以事件为单位的聚类分析,研判出攻击伤害。
(3) 分析溯源,完整溯源安全威胁
能够对攻击事件进行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,清晰完整地呈现攻击态势的。
最大化地搜集攻击者信息,分析攻击者的来源、身份、背景、目的,以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。让用户准确地知道是谁攻击了我,攻击了我的什么,使用了什么手法,资产是否沦陷,窃取了什么信息。
(4) 响应处置,及时消除安全风险
当威胁发生时,通过系统预算制定通知策略,可使用短信、邮件等方式进行告警;同时,通过处置联动功能,发送指令给防火墙设备,对外网IP进行封禁,对内网IP进行通信阻断,快速消灭威胁,为资产保驾护航。
(5) 安全可视,清晰掌握威胁态势
能够将攻击成功事件、攻击等级、攻击次数、后门数、弱点数、威胁排行等威胁态势以3D/2D地球的方式进行可视化实时展现,让用户清晰掌握潜在安全风险及每一次发生的安全风险。
方案在客户处展现的价值点
1满足国家监管要求
威胁事件是网络运营人员用以了解攻击详情的最佳方式之一,所以留存威胁事件至关重要,系统可设置威胁数据库存储时间为770天,符合《中华人民共和国网络安全法》第二十一条:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月,满足国家的政策要求。
2提高应用安全防护能力
该金融客户依靠目前已建设的安全防护体系,威胁检测主要依赖于规则库及主动防御,依然存在部分漏报、误报的现象。睿眼Web攻击溯源系统基于“攻击模型”的双向流量检测方法将会大大加强现有安全体系的检测能力,同时可以帮助其提高安全防护的整体防护能力。
3提高工作效率节约客户成本
此前,该金融客户通常在攻击事件发生后,需要通过人工分析大量安全设备告警信息,服务器日志等信息,才能分析出攻击的详情,以及资产的损失。通过部署睿眼Web攻击溯源系统,在事件发生的同时立即作出分析,判断攻击状态成功与否、还原攻击场景、追溯攻击者以及能够迅速判断资产弱点和后门,大大提高安全分析效率。同时第一时间得出的分析结果有助于提高响应的效率,节约大量人力资源成本。
4完善客户网络安全防御体系
该金融客户已部署的传统安全产品,缺乏有效的检测与响应机制,通过部署睿眼Web攻击溯源系统,不仅能有效检测到威胁并及时响应处置,同时能把攻击过程完整地展示出来,使管理者明确了解到攻击者是如何一步步进行攻击的,哪儿存在弱点和后门,并给出对应的修复方案,并且能对攻击者的攻击目的、身份背景、利益关系等进行分析溯源反制。