大型企业整体解决方案

面临的挑战

在当前信息安全已经上升到国家安全层面的形势下,来自国外具有国家背景的攻击者已经针对多家央企,通过免杀、鱼叉、水坑攻击等新技术手段进行高级可持续性攻击。然而大量未知威胁攻击手段可以绕过以特征检测为核心检测手段的传统安全防护设备,企业难以有效发现未知威胁,也就无法抵御未知威胁,如何检测未知威胁成为企业面临的挑战。

央企的终端资产管理是项庞大而复杂的工作,是对企业的管理能力严峻的挑战;各个分公司所部署的终端安全管理系统多种多样,防病毒能力也层次不齐,影响了整个企业整体终端防护能力。由于大多企业并未采用统一的终端安全软件,企业无法对具体的指标进行考核,难以出台精细有效的管理要求,无法全面提高集团整体终端安全防护能力。

随着信息安全技术的不断变化,导致信息安全风险日益复杂化。我国的网站仍然存在较多的漏洞风险,Web服务日益成为网络攻击的重点目标,DNS攻击、暴力破解、零日漏洞利用让网站弱不禁风。传统的Web安全解决方案通过WAF等安全设备的堆叠来进行安全防护,这已经无法解决央企网站所面临的安全风险。

央企大多重视信息安全建设,正在逐步完善信息安全防护体系,网络中部署了大量的安全产品和设备,为信息系统的安全运行提供了有力的保障。但往往这些设备和产品来自多个厂商,无法进行有效的协同防护,都是各自为战;无法从总体上进行安全态势可视化展现,企业安全管理人员无法整体了解和掌握集团安全态势。信息安全建设效果看不到和摸不到,信息安全人员工作成绩也难以体现,此类问题也困扰着信息安全管理人员。

解决思路

1、以数据为核心取代以技术为核心

新型安全体系本质上就是围绕数据为核心的数据驱动安全的技术思路,数据是新型安全体系最本质与最核心的内容,具体来说就是依靠数据的大范围分析实现对威胁的感知、发现、分析、溯源。新型防御技术依靠数据为核心,相当于将整个攻击过程都录制下来,而后对攻击的全过程进行回溯分析,不但能够了解到攻击的全貌,而且有可能在攻击过程的任意一个环节、片段对攻击进行发现。

简言之,通过单点检测技术,只可能看到攻击过程某一片段的快照,而透过数据的镜子,却可以看到攻击的全貌、攻击的历史、可以通过别人的被攻击数据做到提前预防,可以看到更多的攻击。

2、以云端分析取代设备分析

新型防御体系强调的是云端的海量存储与大规模深度计算,存储规模的增大,意味着可以有更多的规则、更多的样本、更多的数据作为检测的基础与依据,而大规模的云端计算资源意味着可以展开复杂度更高的算法对流量、样本、行为进行深度分析与历史分析,云端的海量存储与计算使得基于人工智能与数据挖掘的大数据分析成为可能,同时云端的海量带宽也解决了Anti-DDoS中由于带宽限制无法接下全部待清洗流量的难题,360公司用于恶意样本分析的云端资源超过一万台,用于Anti-DDoS的带宽高达500Gbps,这一切都将包括恶意样本分析、抗D的能力提高到了一个历史高度,如果不采用云计算的基础设施,依靠传统的安全设备,这一切都是不可能做到的。

3、以情报线索取代技术对抗

传统安全的防御思路是基于攻防技术对抗为基础的,攻防技术对抗可以在获得攻击细节的前提下有效对抗标准的攻击行为,但是对于加入严重变形与绕过手段的攻击却无能为力,回到前面提到的,攻防对抗是矛与盾的竞赛,现实中从来都是先有矛后有盾,因此传统的对抗思路无法解决未知威胁的问题,典型的如未知木马、未知漏洞就是传统安全防御中最头疼的问题。新型防御技术中强调威胁情报的价值与使用,转而在整个网络活动中寻找有价值的可疑线索,通过可疑线索结合已有的海量历史数据,进一步深挖线索背后的一系列行为活动。依靠威胁情报线索的思路,防守一侧只要有一次抓住线索,就能够以及线索捕获攻击,彻底扭转了以往攻防双方不对等的较量,这一切都归功于新型防御体系思路的转变。

解决方案

1、终端一体化解决方案

依据统一基线策略、分级管理、分级授权的方针搭建企业统一防病毒体系、统一计算机安全管理体系。建设终端和服务器病毒防护,安全管控,网络准入一体的平台进行统一安全管理,终端安装单个Agent就可实现病毒防护、安全准入、安全管控等安全功能。

终端防病毒:提供针对终端安全的防护措施,为终端提供安全的上网办公环境。包括互联网中的病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离;

终端管控:控制中心制定策略,全网对USB接口、无线路由,移动存储及各种外设接口进行管控;设定软件运行黑白名单,禁止娱乐软件、盗版软件的安装及运行;根据部门、用户设定终端带宽管理策略,有效杜绝P2P软件带来的网络拥塞问题。对全网终端进行IP、Mac地址绑定,有效防止私自修改行为;对客户端进行防黑加固,提供有针对性监控功能,包括系统账号变更、重点端口监控,共享目录管控等;

统一运维:采用统一运维功能,实现全网终端的补丁统一升级、普通软件分发、硬件资产管理、一键加速、一键修复及远程协助功能,协助IT维护人员高效的完成终端运维工作。

企业通过总部天擎终端安全管理中心对总部和分支机构终端设置强管控安全策略,分支机构在总部安全策略基础上按需调整安全管控力度。在内网部署私有云引擎,在不访问外部互联网情况下实现终端病毒云查杀。通过部署NAC网络准入设备,阻止未授权设备接入内网和访问敏感资源,保证内网接入安全的同时也提高安全管理软件的安装率。

企业通过技术结合管理的方式,根据企业实际状况,制定终端安全管理制度,对终端安全具体的防护内容提出了管理和考核要求,并通过技术手段进行检测。分支机构根据基线要求对本单位终端进行管理,对执行结果进行评分,从而有力的推动企业的终端安全建设。

2、未知威胁解决方案

高级持续性威胁(Advanced Persistent Threat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。

为了及时发现此类威胁,360天眼将大数据技术应用于威胁发现领域,在云端通过多维度跨域分析,深度数据挖掘和人工智能技术对海量数据进行深度分析以实时获知未知威胁的发展动态。

360天眼系统独有的云端威胁情报系统结合本地安全大数据引擎,建立云端 + 本地系统的关联分析及立体式防护体系,为用户提供全方位的未知威胁感知能力。

企业部署360天眼系统未知威胁检测系统可以及时有效的发现未知威胁,提升管理人员对未知威胁的发现速度和效率,最大限度的降低受攻击后的损失,回溯方案可以记录内网的任何一次网络行为为回溯提供强大的支撑。

  • 威胁情报:360天眼实验室在云端共搜集了200PB与安全相关的数据,涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,最终形成云端威胁情报下发本地进行检测。
  • 本地检测:传感器负责将所有镜像流量进行还原分析,提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容,将文件通过加密通道传送到检测器;检测器对所有文件进行解压缩,格式检查后,将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。使用该方案后,可以有效发现网络中出现的漏洞利用行为,木马控制行为,同时沙箱检测还可以提供更多高级沙箱防逃逸技术以避免攻击绕过整个检测系统。
  • 回溯:分析平台可以依靠自身独特的分布式搜索架构设计,将所有传送至此的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以在分析平台上快速的搜索到。如此,安全管理人员便可以利用该方案记录过去一段时间内出现的任何一次网络行为,发现任何一次网络行为中的具体细节,提升网络透明度及可视性,快速发现高级威胁结合本地系统进行准确溯源,牢牢掌握安全工作的主导位置,满足上级监管单位对于安全工作的溯源及定位要求。

天眼可以与天擎终端安全管理系统进行联动,借助360天眼的深度检测能力,结合360天擎在终端上的精确防御能力,实现对PC终端的攻击防御。

(终端安全管理系统部署示意图)

3、网站安全解决方案

网站安全环境日益恶化,全国范围内时常发生重大网络安全事件;《2015年中国互联网安全报告》显示,2015年境内75028个网站被植入后门,境内24550个网站被篡改,2015年1-6月1Gbit/s 以上DDoS日均攻击数量1558起。2015年360扫描国内现有网站中存在漏洞的网站约为43%,360网站卫士共拦截各类网站漏洞攻击16.5亿次,较2014年增长约135.7%。

安域是为大型企业定制网站云防护产品。不同于传统的网站防护设备,利用虚拟化技术形成了集扫描、监控、防护、DSN防御于一体的颠覆性立体化的Web安全防护体系。能有效防护常见的Web漏洞攻击,并能够识别多种变型攻击方式,同时能有效针对DDoS攻击和CC攻击进行防护。基于CDN的原理,在全国部署了多个IDC骨干节点,每个节点上都部署了360自研的云WAF模块。通过修改网站DNS域名解析将原本指向网站服务器IP修改为指向云防护节点IP,以此实现网站流量调度,将客户真实网站服务器隐藏在云防护节点之后,通过云防护节点强大的集群防护能力进行攻击流量清洗和黑客攻击行为拦截。

相比于传统的本地硬件方案,云防护方案在解决传统方案的不足的同时,极大地降低了采购成本及运维成本,并实现了集团总部对于成员单位的管理要求,增强了全集团的信息化安全。

(未知威胁感知系统部署示意图)

4、安全态势感知与运营解决方案

针对企业安全现状,可在部署未知威胁感知系统基础上,升级软硬件方式来完成本地大数据安全平台(安全态势感知与运营平台)的建设。未知威胁感知系统将成为安全态势感知与运营系统子系统。安全态势感知与运营系统对集团内所有安全设备的告警信息,服务器、网络设备日志,以及互联网出口及关键区域流量进行全量采集,结合资产价值、资产脆弱性以及安全威胁进行关联分析,感知全局安全风险态势,并将安全态势以可视化方式展现起来,从而使安全管理人员能够对企业安全状况一目了然。同时安全态势感知与运营平台可作为企业信息安全体系的大脑,综合分析各种告警和风险,并下发安全策略到终端和网络边界防护设备,进行安全协同联动防护。

全集团部署安全态势感知与运营系统,总部和分支分级部署,从而对整个集团的安全态势进行分析和展现。

(安域部署示意图)

客户价值

部署终端安全管理系统、未知威胁感知系统、安全态势感知与运营平台后,能够为企业实现如下价值:

提升终端安全管理能力

全集团集中部署天擎终端安全管理系统,建设统一防病毒体系、统一计算机安全管理体系;利用管理和技术有效结合,可以完美解决终端系统所面临的病毒、恶意软件、补丁缺失、配置不规范问题,保障全集团的终端安全。

统一安全管理中心和模块化单一终端软件,易用的产品功能,可以降低运维人员维护成本。私有云病毒查杀功能,既保证了病毒查杀效率,也可以降低终端资源消耗,获得良好的企业内部用户体验。

获得未知威胁感知能力

通过部署天眼未知威胁感知系统,通过进行云端大数据计算和挖掘,结合专家分析所形成的威胁情报数据与本地流量进行关联分析,最大限度地发现企业内未知威胁,从而使企业获得一般企业所不具备的未知威胁感知能力,使企业的安全检测能力处于行业领先地位。

具备安全态势感知能力

部署安全态势感知与运营系统将能使企业管理人员能够准确和直观的了解集团安全态势,集团信息安全状况一目了然。

极大提高网站综合防护能力

安域云安全防护平台集成了网站加速、安全监控、云WAF、抗海量DDOS、抗CC、DNS防护、WEB攻击防护等,可以为企业建立一套完整且功能强大的网站安全防御体系,极大提高网站的综合防护能力。

    具有安全溯源能力

    当发生安全事件后,可以快速对历史流量数据进行检索,结合云端的海量互联网数据进行多维可视化关联,快速定位攻击、还原攻击路径和追溯攻击者,从源头上控制安全风险,降低攻击再次发生的可能性。