安全合规
安全合规进入到聚焦“对抗”的新阶段
1.以“等保”为主的基础安全建设已经阶段性完成
基础安全建设主要保证安全能力的“底线”,不足以维护高对抗
场景的安全防护。
2.覆盖全行业的攻防演练不断考验实战能力
全国性的网络实战攻防演习,从2016年仅有的几家参演单位,
到2019年的上百家参演单位,演习规模越来越大。
3.各层安全监管单位不定期进行趋于“实战”的安全检查
各安全监管机构和部门在不通知的情况下不定期、不限形式地进
行各类网络攻击测试,并对安全能力薄弱的单位进行通报和处罚。
政策需求
根据国家信息安全漏洞库(CNNVD)数据统计,2019年、2020年、2021年新增漏洞数量均超过15000余个,2022年国家信息安
全漏洞库(CNNVD)公布的漏洞数19046个,全年增长率约为7.21%。美国国家漏洞库(NVD)公布的漏洞数17845个,全年增长率
约为15.71%,国家政策监管更聚焦漏洞发现和处置防范。
应用场景
行业现状
漏洞处置困境
调查显示,漏洞修复平均时长为38天。40%的组织,需要超过一个月的时间来修复新发现的关键漏洞。
老旧系统没有供应商维护补丁,比如Win7、XP以及客户已经没有服务支持的业务系统等。
对于关键业务存在高危漏洞,因为业务依赖性太强,担心影响业务所以没法修复。
传统防御手段主要依赖于已知漏洞库和签名检测,但对未知漏洞(即零日漏洞)往往无能为力。这些手段无法检测或防御之前未公开或未发现的漏洞。
场景一:资产漏洞闭环管理
支持对当前存在无法修复的漏洞,通过漏扫结果导入后,进行智能化分析,匹配对应老旧系统或者特定业务主机漏洞,然后提供针对性的屏蔽策略。
定期漏洞扫描
安全管理员导入
智能引擎识别
查看屏蔽策略
安全管理员生成
场景二:攻防演练(护网)及重保场景
护网前收敛暴露面
1、攻击面排查
2、漏洞扫描修复
3、全面隐患自查及安全加固
4、安全设备策略
护网模拟演练
1、模拟红队攻击演练及总结
2、防钓鱼安全意识培训
护网中监测响应
1、现场值守
2、威胁监控
3、事件研判
4、攻击溯源
5、应急响应
应急防护总结
1、数据分析
2、活动总结
场景三:漏洞利用型勒索病毒防护
勒索病毒通过漏洞发起的攻击占比达87.7%
场景四:等保合规
从网络安全法到等保 2.0,对安全设备、包含安全设备的网络环境提出了一系列的安全要求。
等保三级只要存在高危漏洞,就无法通过等保测评,漏洞扫描是监管单位重要的检查手段,也是黑客攻击的第一步。
可识别网络中的漏洞探测行为,可进行实时屏蔽,让探测行为无法获取资产漏洞信息,帮助用户满足等保要求,解决因漏洞问题而被通报的风险,同时减少被黑客利用机会 。
传统防御手段的难题
现状及需求分析
漏洞风险客观存在
软件升级、新业务应用的上线等原因百密一疏,造成网络环境存在一些可能被外部攻击者、内部违规者利用的漏洞,严重威胁着网络运营者单位的安全。
传统风险检测手段亟需改进
传统的漏洞扫描工具,其误报率高、人工复验技术要求高工作量大。传统的渗透测试工程师人员背景、技术能力、职业素养和责任心都无法保证,渗透测试开展过程无法逐步审计,以及渗透测试工作无法高效持续地开展。
安全防护设备能力不佳
各单位重视信息资产的价值,也越来越重视安全,投入了大量资源、做了大量的安全建设、管理等等工作,但是安全设备大面积存在策略不完善、规则库陈旧或配置不当等问题,导致其防护效果不佳。
亟需建设对资产真实脆弱性的有效防护
缺乏针对资产真实脆弱性的有效防御,网络安全防护效果的能见度低,主要体现在:⑴现有网络安全防御系统是否如预期地针对资产真实脆弱性生成策略;⑵现有防御能力是否能跟上不断新增的威胁情况不明;⑶防护策略、配置是否存在防护上的漏洞不清,亟需建设相关能力。
解决方案
以攻击链为视角构建多重防线
越在初始的阶段屏蔽掉风险和威胁,越能以更低的成本提高安全防护的效率,降低组织业务的风险。
漏洞无迹可寻
让攻击者无法探测到资产漏洞信息,并可诱导攻击者看到安全策略想让他看到的信息
漏洞守护者
防护资产一对一防护策略,解决NIPS/WAF类产品通用规则防护的误报问题。有效实现精准拦截。
横向防御
部署到接入层,可防护东西流量,屏蔽横向探测和横向漏洞利用。
构建主动防御能力
探测行为防护
1.对攻击者的各类网络扫描嗅探行为进行拦截,让黑客在预攻击探测阶段无法收集到有价值的资产漏洞信息;
2.可定制数据库、中间件、OA以及基础系统组件等信息的探测结果。隐藏真实的资产信息,诱导攻击者看到安全策略想让他看到的信息。
暴力破解防护
采用智能分析和实时监测,识别异常活动并自动屏蔽恶意IP地址或禁用受影响的账户,防止恶意攻击者通过暴力破解方式非法访问系统,有效保护关键资产免受暴力破解攻击,确保系统的安全性。
漏洞利用防护
1.通过漏扫报告,一键生成精准防护策略,面对扫描结果不在让用户有“无从下手”的无力感;
2.一对一安全策略定义,解决NIPS/WAF类产品通用规则防护的误报问题,有效实现精准屏蔽拦
截。
弱口令防护
1.检测和拒绝使用常见密码、容易猜测的密码以
及已被泄露的密码;
2.防止恶意攻击者利用弱口令入侵系统,提升
系统的整体安全性。
主动防御POC签名+0day模型
高危漏洞主动防御库,5000+POC签名,每周规则库更新50+。
数十种基于攻击类别的0day模型,不依赖检测特征,无需频繁升级,长久生效。
漏洞范围覆盖类型全面
包含漏洞范围:操作系统、网络设备、安全设备、IOT、虚拟化、移动设备、国产化
兼容性
• CVE • CNNVD• CNVD
• CNCVE• BugTraq• CVSS
产品简介
产品简介
智能防御系统是一款采用旁路模式的软硬一体化漏洞主动防御型网络安全产品,为客户提供低成本、高效安全的防护手段。
核心功能:精准拦截高危漏洞攻击
漏洞精准防护
✓ 通过旁路镜像的方式接入覆盖内网流量,以“安全漏洞”为视角,一旦发现网络中有资产真实存在漏洞的利用行为,会进行针对性的屏蔽,使漏洞探测和攻击行为失效。
✓ 根据设备可覆盖的主机,针对性地进行分析匹配,推荐最优解决方案,以缩减需要设置的规则数量,减少计算消耗,生成精准的防护策略,从而大幅度降低了需要规则命中的流量数据,解决NIPS/WAF类产品通用规则防护的误报问题。
核心功能:探测行为识别、拦截、诱导
探测行为识别与拦截
探测行为识别与拦截技术,能够实时辨别各种扫描探测行为,并对其基于tcp和udp协议的探测行为进行拦截。这有效地阻止黑客在预攻击探测阶段获取有价值的资产漏洞信息。
探测响应诱导
探测响应诱导技术通过迷惑黑客和恶意用户,提供虚假资产信息,引发错误认知和行为。增加攻击者困惑和阻碍,延缓攻击进程,为安全团队提前获取反击的时间,以防止真实危害的发生。
核心功能:威胁检测
威胁检测
➢ 基于同类漏洞利用的通用规律进行模型设计
➢ 未知漏洞(0day、1day等)利用检测的基础。
➢ 覆盖代码执行(Java、PHP)、命令执行(Centos、Debian、Freebsd、Sunos、Windows)、目录穿越、文件上传(Java、PHP、ASP/ASPX)、SQL注入(MySQL、Sqlite、SQLServer、Oracle、PostgreSQL)、跨站脚本、XML外部实体、代码执行(ASP/ASPX)、文件下载、SSRF等超过12种漏洞利用场景;
核心功能:弱口令与暴露破解行为拦截
暴力破解行为拦截
采用智能分析和实时监测,识别异常活动并自动屏蔽恶意IP地址或禁用受影响的账户,防止恶意攻击者通过暴力破解方式非法访问系统有效保护关键资产免受暴力破解攻击,确保系统的安全性。
弱口令登录封禁
➢ 检测和拒绝使用常见密码、容易猜测的密码以及已被泄露的密码;
➢ 防止恶意攻击者利用弱口令入侵系统,提升系统的整体安全性。
核心功能:未知漏洞攻击防御策略
未知威胁防护
我们的业务系统,都可能会有面对未知威胁的风险,特别是针对第三方开发的业务系统;特定漏洞防护策略就是为了解决该问题,对存在未知风险的业务系统进行定制化防护。
已知的漏洞已经修复完成,或者通过各种扫描器都没有发现有漏洞的情况下,但安全管理员还是会认为存在一些漏洞,风险只是还没有暴露出来,这时候我们就可以针对这样的资产进行定制化特点漏洞防护策略.
核心功能:探测行为业务诱导策略
业务诱导
➢ 用户可根据实际需求,定制诱导策略,让攻击者或者监管者扫描探测时,能发现正常可用的业务资产,但无法获取到有价值的漏洞信息.
➢ 可定制数据库、中间件、OA以及基础系统组件等信息的探测结果。隐藏真实的资产信息,诱导攻击者看到安全策略想让他看到的信息。
典型案例
金融案例:某证券公司
一、需求背景 【业务互联网化、合规监管严、业务可用性要求高】
某证券公司在数字化金融领域扮演着关键角色,但其网络安全面临明显挑战,
主要原因包括:
大量敏感数据: 证券公司处理大量敏感信息,如客户财务、身份、投资组合和市场交易数据,成为攻击者的主要目标,可能导致欺诈、勒索和身份盗窃。
业务对外开放: 证券公司依赖高速互联网连接进行金融交易,与交易所、清算所及其他金融机构连接,需要保持高可用性和开放性。
合规性要求: 受监管和合规性要求的制约,包括客户数据保护、交易监管、电子交易合规等法规,不遵守可能导致法律诉讼和罚款。
高级威胁频发: 证券公司常成为高级持续性威胁(APT)攻击目标,这些攻击复杂利用高危漏洞、难以检测和抵御。
业务高可用: 需不断升级网络安全技术以适应新威胁,并及时修补已知漏洞但是业务需要高可用不能中断。
二、解决方案【扫描屏蔽、漏洞屏蔽、旁路部署】
通过旁路部署安全风险运营平台进行主动的防御,通过多维并发检测引擎,发现网络中的有效攻击行为,对恶意行为利用、黑客扫描工具进行阻断和欺骗,防止业务系统遭到恶意攻击者的破坏,并通过定期资产扫描发现工具,实时分析企业内网的风险。
医疗案例:某医院客户
一、需求背景 【业务复杂、老旧业务停止服务、合规监管严】
医院客户面临大量老旧系统,缺乏供应商提供的补丁或官方停止更新。这些系统成为黑客漏洞和勒索病毒传播的目标,为客户带来巨大的安全压力。
漏洞无法修复: 尽管已部署防火墙、WAF、IPS等传统安全产品,但并未解决医疗行业老旧系统漏洞的问题。
业务复杂: 医疗应用系统众多通常存在未被修复的漏洞,攻击者可能趁机入侵,破坏业务系统导致数据窃取或导致业务中断。
合规性要求: 医院必须遵守等保或者行业类一系列法规和合规性要求,以确保患者数据的隐私和安全。
二、解决方案【扫描屏蔽、漏洞屏蔽、资产管理、旁路部署】
在院内网络架构中部署安全运营平台设备,通过旁路欺诈和阻断技术进行主动的防御,通过多维并发检测引擎,发现网络中的有效攻击行为,对恶意行为利用、黑客扫描工具进行阻断和欺骗,防止业务系统遭到恶意攻击者的破坏,并通过定期资产扫描发现工具,实时分析企业内网的风险,将风险发现和脆弱性防御结合起来,形成漏洞修复和发现的闭环。
政府案例:某公安厅
一、需求背景 【核心业务系统、业务可用性要求高、性能要求高】
省公安厅视频专网是视频专网承载了大量敏感信息,包括犯罪现场录像、证据、监控摄像头的实时图像以及法律文书。这些数据的保密性和完整性至关重要,以确保执法活动的有效性和法律程序的合法。
网络攻击频发:公安部门的网络系统可能受到各种网络攻击的威胁,包括黑客攻击、拒绝服务攻击、网络钓鱼、恶意软件等。这可能导致数据泄露、系统瘫痪或信息被篡改。可用性要求:视频专网需要支持高清视频流、实时通信和大容量数据传输,因此需要高度可靠的网络基础设施和安全措施。
二、解决方案【漏洞屏蔽、资产管理、高性能旁路部署】
旁路部署安全风险运营平台,支持上千种CVE漏洞和其他漏洞利用行为的屏蔽能力.通过对流量的检测分析,发现恶意流量。通过旁路欺诈和阻断技术进行主动的防御,通过多维并发检测引擎,发现网络中的有效攻击行为,对恶意行为利用、黑客扫描工具进行阻断和欺骗,防止业务系统遭到恶意攻击者的破坏
企业案例:某科研院所
一、背景:
某科研院究所作为负责公路科学研究、交通管理和规划的重要机构,扮演着维护道路交通安全和顺畅运行的关键角色。然而,随着信息技术的不断发展和应用,该机构所面临的网络安全风险也愈发突显。网络攻击、数据泄露和恶意软件等威胁正逐渐威胁到其敏感数据的安全性和正常运行。
二、成果:
星幕设备自2023年06月27日- 2023年07月10日,设备运行稳定,在此期间,共计拦截17个恶意探测IP,被探测主机IP 66个。其中境内恶意探测IP 11个,境外恶意探测IP 6个。其中境内恶意探测IP:116.233.201.162探测次数最为频繁,高达22次;境外恶意探测IP:89.248.163.201探测次数最为频繁,高达57次。在预攻击探测阶段有效防止了攻击者收集信息。