行业案例 | 睿眼攻击溯源组合拳让黑客攻击事件无所遁形

news2024/11/24 17:03:38

项目背景

近年来,网络安全形势愈发严峻,黑客入侵、信息泄露等信息安全事件层出不穷,给企业带来了巨大的经济损失。一是互联网出口应用多为Web应用,有效防护和监测Web应用的安全性是金融行业客户信息安全领域的一项重点工作;二是随着攻击者0day武器库的爆发式增长,内网安全也是不容忽视的重要环节;三是邮件系统作为金融行业下发通知、业务沟通、跨部门协作等内容的重要手段,在金融行业客户同样具有重要的作用。

经过多年建设,客户初步建成了纵深防御的安全技术体系,但是,在安全监测方面还存在较大不足,亟须对网络全流量和邮件建立安全监测机制,实时感知和检测网络中的黑客攻击事件,进一步提升客户的安全性。

项目需求

通过采集互联网区域流量,分析HTTP协议,全面发现黑客攻击事件,精准判断攻击事件是否成功,并自动完整还原攻击者的攻击路径;通过采集内网域间流量,建设内网告警白名单与访问关系基线,在攻击特征和攻击模型检测的基础上,能够发现“非法用户合法使用”的行为;通过采集邮件网关前后流量,发现绕过邮件网关的钓鱼邮件,实时监控邮件账号安全状态,并能够对攻击者进行精准溯源。

部署方案

通过调研客户网络环境,我公司分别部署三套“睿眼攻击溯源”产品,实现客户的整体需求。

在互联网区域,由于对外业务主要为Web服务,网络流量均为HTTP流量。在互联网出口处部署4台睿眼Web攻击溯源系统(部署在F5后,获取非加密数据,并配置XFF功能,确保安全设备可获取互联网IP),通过攻击溯源技术全面检测实时告警,并实时自动判断攻击是否成功,同时以时间轴的形式自动还原黑客攻击事件始末。

睿眼网络攻击溯源系统部署在内网区,分别接入DMZ区流量(F5后镜像,出口流量)、第三方出口(专线、分支机构)、公区访问生产区(全行办公网访问生产网络的流量)、核心业务区(核心系统的安全域的访问流量)。全面分析内网域间网络流量,自动识别内网资产、智能梳理客户侧网络访问关系,实时监控内网异常行为流量及“非法用户合法使用行为”。

目前客户内部使用Exchange邮件服务器,部署某安全厂商邮件网关对垃圾邮件进行防护,睿眼邮件攻击溯源系统接入其原有安全厂商邮件网关前后流量,实时监控邮件账号安全,深度分析绕过邮件网关的钓鱼邮件,并对攻击者进行自动化溯源。

产品价值

睿眼WEB攻击溯源系统

01快速研判攻击是否成功

针对Web攻击自动研判是否成功入侵,对资产造成影响,筛选出对系统造成伤害的攻击,可通过邮件、声光和显目弹窗的方式及时提醒,加快应急响应时间,及时处理实时入侵的威胁;

02攻击过程还原

自动还原攻击者的攻击步骤,通过时间轴的方式清晰展示攻击者第一次访问记录,进行了N步攻击操作,每步攻击操作都有对应的pcap流量包和画面还原,证据链充足,完整还原整起攻击事件;

03未知威胁发现

完整存储tcp会话流,针对Web的新漏洞攻击和未知攻击,流量数据展示清晰明了,大部分攻击通过页面告警便能判断,对于复杂的攻击可通过恶意payload进行综合分析;

04易用性

UI交互符合分析者的分析逻辑,从简到繁,设计思路清晰,提供实时刷新、声光电告警模式对实时攻击进行提醒(非常方便保障期间使用),通过syslog的方式发送的soc中心,易于集中监测及处置,专家模式和普通模式两种视角,方便日常监控和单独事件深入分析的切换,适合不同安全分析人员使用,提高分析人员使用效率。

总结

相比于同类Web攻击检测类产品,总体发现的真实攻击量要多于其他安全厂商的同类产品,告警时关于攻击IP的流量证据完整,可读性和易用性高于其他Web攻击检测类产品,基本做到了Web攻击全过程发现与还原。威胁发现能力强,特别是新型漏洞和黑客行为,溯源过程完整,误报也可通过加白的功能屏蔽很多,整体产品成熟度高。

睿眼网络攻击溯源系统

01快速聚焦外网攻击(外到内)

来自互联网的产品整体告警量巨大,系统能自动区分攻击成功与失败,可快速定位哪些是护网期间需要关注来自于互联网的人工攻击,同时识别威胁的覆盖面高于其他安全设备,协助安全分析人员定位关注的网络攻击;

02内部威胁发现(内到内)

产品自动识别资产功能精准可靠(经过验证),内网横向渗透的告警量少且精准,实时掌握内网整体安全态势;

03内部资产外联告警(内到外)

通过流量方向,系统自动聚合了资产IP主动对互联网IP的请求行为,展示逻辑清晰明了,通过主机访问关系直接展示X台资产主机主动连接外网X域名、Xip,产生了何种网络行为,提高事件处置效率。

总结

睿眼网络版对攻击行为、业务关系、资产识别、内网渗透和异常行为的识别十分精准,目前其他全流量产品主要在于全流量存储和人工分析,缺少威胁发现和关联整起事件的溯源自动化功能,睿眼网络攻击溯源系统主要关注全流量的网络威胁发现,同时完整存储tcp会话流。专家模式对于技术专家提供了一个可根据业务访问关系检测高级攻击和内网渗透框架模型,即有广度又有深度。睿眼网络攻击溯源系统弥补了某金融行业客户对内网渗透威胁发现、网络异常行为和基于业务的异常行为的检测能力。

睿眼邮件攻击溯源系统

01威胁发现能力

在Hvv期间,睿眼邮件攻击溯源系统威胁发现能力远超同类产品,告警量最高,上报威胁邮件数38852封,能够发现穿透某安全厂商邮件网关的钓鱼邮件;

02账号安全检测

睿眼邮件攻击溯源系统具备受控账号检测能力,能够针对账号其他的产品目前并不具备。实时检测邮箱账号弱密码、受控账号,避免内部账号受控,造成信息泄漏和对内部邮箱的后渗透;

03攻击溯源

Hvv期间,根据邮件攻击溯源系统检测到的威胁邮件,共出具溯源成果报告25份,防守成果报告14份;

04 易用性

UI交互符合分析者的分析逻辑,从简到繁,设计思路清晰,同时提供专属不同模式不种视角,针对不同场景和不同技术的人提供专属的分析界面,帮助使用人员在护网期间分析事件和应急响应节省大量时间和精力。

总结

相比于同时部署在客户侧的某安全厂商深度威胁邮件网关,总体检测广度和检测深度更强,睿眼邮件攻击溯源系统可检测穿透某安全厂商邮件网关的威胁邮件,能够有效针对客户侧的邮件安全监测发挥重大价值。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/13695.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++11 lambda+包装器+可变参数模板

索引lambda表达式(1).什么是lambda(2).lambda基本规则(3).lambda实现原理包装器可变参数模板lambda表达式 (1).什么是lambda 假设有这样一个类 struct Goods { string _name; // 名字 double _price; // 价格 int _evaluate; // 评价 };现在要将商品分别按照名字…

“健康中国”战略下如何推进公共卫生建设,海尔生物医疗给出“智慧答案”

【潮汐商业评论/原创】 公共卫生是一个老话题,但在新时代的背景下正在呈现出诸多新故事。在人民健康需求日益提升的当下,推动公共卫生服务体系的高效、便捷升级成了新时期的一大命题,而这一问题的答案则指向了公共卫生需要“数智化”。 在此…

Python之第十章 IO及对象列化

目录 Python之第十章 IO及对象列化 1.IO流(IO stream) 1.概述 2.IO流定义 3.流的分类 2.open方法 1.过程 2.缓冲区(buffer) 使用缓存区的必要性: 缓冲区分类: 3.格式 4.b模式 5.模式 6.文件对…

CentOS 7搭建LittlePaimon原神机器人

CentOS 7.6搭建LittlePaimon原神机器人 前言 最近小伙伴说别人的QQ群里有个原神的机器人,可以随时查询自己账号的角色卡信息。然后我自己查了下资料,发现不是很难弄,所以帮忙也弄了一个。 目前使用较多的原神机器人: LittlePaim…

SpringMVC学习篇(八)

SpringMVC拦截器 1.拦截器和过滤器的区别 过滤器拦截器servlet规范中(java ee)规范中的一部分,任何java web工程都可以使用拦截器是框架提供的,如只有在SpringMVC框架下的工程才能使用其提供的拦截器在url-pattern中配置了/*之后,可以拦截任何一切资源拦截器只会拦截控制器方…

easyrecovery工具2023最新版一键恢复丢失数据免费下载

通常,许多人会将工作或生活中的数据存储在我们的计算机上。很多时候,由于我们的误操作或其他一些问题,很容易错误地删除一些文件和数据。特别是,一些计算机故障总是会导致数据丢失,这是非常麻烦的。当需要重新安装系统…

JS 对象总结

对象 创建对象 有两种方式: 通过 new 操作符实例化一个对象,再添加属性。 let person new Object(); person.name "孤城浪人"; person.sayName function() { console.log(this.name); };构造函数,若不需要传参&#xff0…

代码随想录——单词接龙(图论)

题目 字典 wordList 中从单词 beginWord 和 endWord 的 转换序列 是一个按下述规格形成的序列: 序列中第一个单词是 beginWord 。 序列中最后一个单词是 endWord 。 每次转换只能改变一个字母。 转换过程中的中间单词必须是字典 wordList 中的单词。 给你两个单词 b…

AWVS的简介与安装

目录预备知识实验目的实验环境实验步骤一任务描述:AWVS的简介实验步骤二任务描述:进行AWVS10.5的安装、界面介绍和简单的使用实验步骤三任务描述:AWVS 11.x的安装与简单使用预备知识 Acunetix Web Vulnerability Scanner(简称AWV…

Qtcreator中文显示乱码问题终于解决

问题描述:Qtcreator安装好后打印中文在控制台输出乱码(自己也在网上查找了好久,终于找到解决方法了)。 原因剖析:因为项目的编码与控制台的编码不一致导致的,而qt编码设置里并没有控制台的默认编码&#xf…

华为M-LAG跨设备链路聚合技术理论讲解

目录 为什么会出现M-LAG M-LAG基本概念 M-LAG建立过程 M-LAG的协议兼容性 M-LAG的防环机制 M-LAG正常工作流量转发 单播流量转发 组播流量转发 广播流量转发 M-LAG故障场景流量转发 上行链路故障 下行链路故障 M-LAG主设备故障 Peer-link故障 M-LAG二次故障&…

Kafka部署实验

一、实验介绍 1.1实验内容 实验在Hadoop集群上部署Kafka分布式发布订阅消息系统,并完成kafka消息管理验证。 1.2实验知识点 Kafka集群部署 Kafka消息处理流程 1.3实验环境 Kafka2.11 网易云平台 1.4实验资源 资源名称存储目录Kafka安装包/opt/software/pack…

工业数采网关 工业数采模块 工业数采工业数采终端硬件

计讯物联TG462工业数据采集网关,支持工业采集、边缘计算、无线通信、远程控制、远程运维,广泛应用于智慧工业远距离通信自动化管控物联网场景。计讯工业数采网关TG462接口丰富、丰富协议库、支持主流PLC,对接第三方云平台,工业级设…

【软件测试面试题】面试官:你在工作中发现最有意义的bug?让他满意的回答......

目录:导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜)前言 测试面试中被问的问…

iOS开发之自定义的framework添加第三方framework,lipo和ar命令看.o文件

由于需要将之前生成的mediapipe.framework添加到自己的framework中,但是很奇怪用普通的拖拽方式添加,项目工程在加载运行自己的framework时,总是找不到mediapipe.framework中的头文件,而只编译自己的framework时,也是可…

免费域名证书最新申请方式大全

目前市场环境下,可获得域名SSL证书的方式有很多,一般有付费和免费划分。对于想免费使用域名SSL证书的朋友,这里收集整理了几个常用的SSL证书申请方式。 对于SSL证书的用处,简单的来说,就是加密数据传输,使…

这么讲不怕你不懂负载均衡

现在前沿技术领域一个很有突破口和争议性的领域就是分布式系统以及高并发的解决与处理。而解决高并发其中一个很有意思的方法就是负载均衡。 那么,究竟什么才是负载均衡呢? 首先,维基百科是这样说的: 负载平衡(英语&a…

Java_多态

作者:爱塔居的博客_CSDN博客-JavaSE领域博主 专栏:JavaSE 作者简介:大三学生,希望跟大家一起进步 文章目录 目录 文章目录 一、多态概念 二、多态实现条件 三、重写 四、向上转型和向下转型 4.1 向上转型 4.2 向下转型 五、多态的…

社交电商平台的消费返利模式——共享购

实际上目前很多商家平台提到做电商平台,坚信最先第一个想到的是一些大型好像淘宝、某猫、某多多这些,但是随着社交媒体电商行业发展,大量商业运营模式及其商业平台,第一个的自然也就相对于交易返利模式的渠道,那大家在…

ubuntu中redis客户端与服务端命令、redis数据类型、字符串string、哈希hash、列表list、集合set、有序集合zset操作命令

一、NoSQL概述 NoSQL(not only SQL):泛指非关系型数据库,是一类新出现的数据库,不支持SQL语法,其存储的数据都是kv形式,存储结构与关系型数据库中的关系表完全不同 NoSQL产品种类:主要有Redis、MongoDB、…