面对日益严峻的网络安全形势,为了增强安全防护能力,不同单位经常不定期举行以真实网络目标为对象的攻防实战演练,旨在发现、暴露和解决安全问题,检验各个企业单位的网络安全防护水平和应急处置能力。
作为攻防实战防守方的蓝队,必须具备从准备阶段、自查整改、预演阶段到正式防护、项目复盘总结等全流程能力,需要专业的技术专家提供专业的防护方法和使用专业的防护工具。针对攻防实战防护和日常网络安全分析场景需求,为蓝队技术专家提供超融合态势感知一体机-XDR解决方案,一体化工具全面满足资产发现、漏洞、弱口令、配置弱点、内网及互联网暴露面发现、终端安全管理、安全威胁监测、防护策略优化、溯源排查总结等使用需求。
CSAP-X超融合态势感知一体机是以攻防数据安全分析为核心,打造的一款网络安全运营管理一体化设备,由基础分析平台、威胁检测探针、安全设备管理、漏洞扫描、安全知识图谱、终端安全管理等多个组件组成,具有态势感知分析、威胁检测分析、资产发现、脆弱性主动扫描、终端安全管理、AI智能深度分析、SOAR自动化编排响应、溯源取证分析等能力;全面满足攻防实战安全分析和网络安全运营管理需求。
图片
风险识别—多维度风险发现
与常规安全分析平台不同的是,对于全网的风险发现,无需多设备复杂部署,新华三超融合态势感知一体机能够从资产梳理、脆弱性检测、攻击威胁检测、异常行为检测等方面进行全网风险发现,在攻防实战场景中做到极速应用。
●资产梳理:具备通过主动和被动进行资产信息发现,识别资产基础信息、开放端口、运行服务情况;资产梳理发现暴露面,可以最大化缩小攻击面。
●脆弱性检测:自动化全网脆弱性扫描,包含系统扫描、Web扫描、数据库扫描、安全基线扫描、弱口令扫描能力。全网漏洞信息分析管理,资产画像脆弱性分析,并提供相关处置建议;有效梳理脆弱性风险,及时加固,减小被利用风险。
●攻击威胁检测:包括入侵威胁检测、防病毒检测、应用识别、URL过滤、WEB攻击检测、威胁情报匹配检测等功能。多维度威胁检测,可以有效发现多种攻击威胁,清晰红队攻击手段。
●异常行为检测:对于用户行为基线的建立及状态跟踪,通过资产、用户的流量、动作等行为偏离情况,建立各种场景化模型,判断各类异常行为,发现隐藏的未知威胁;异常行为的检测弥补了只通过特征库检测的空隙,让威胁攻击无处遁形。
分析研判—智能安全分析
分析研判的关键在于如何更智能的对原始事件进行安全分析,智能分析极大提高了安全事件告警的准确性。除了基础的关联分析外,超融合态势感知一体机能够进行AI安全知识图谱分析、专家推理分析、场景化分析等。
●AI安全知识图谱分析:从基础安全分析到APT、蠕虫病毒传播、未知威胁、僵尸网络等复杂场景分析,全面掌握规模群体性事件的感染路径。
●专家推理分析:是对安全事件的进一步分析,依托攻防专家经验能力,分析其在攻击全图中的作用,学习历史事件处理结果,准确展示资产的安全威胁等级和威胁判定依据。
●AI场景化分析:利用LSTM(长短记忆网络)算法、CNN模型(卷积神经网络)等生成分类器模型,进行DGA域名访问、DNS隐蔽隧道利用等方面的检测,从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为,以单独场景化分析直观呈现威胁攻击情况。