具体来说,360数字安全托管运营服务是将通过云服务的方式为政企单位提供最新、最全的安全能力支撑,以轻量化探针采集本地全网数据、以安全专家对数据集中运营分析、以服务的方式降低企业单位各环节的安全风险。
在监测预警中,该服务通过将全球最新漏洞事件、国家级间谍攻击活动或敏感信息泄露行为纳入全天候监控范畴,一旦出现风险行为,将自动触发处置流程,实现实时级防护。
在分析溯源中,该服务的轻量化探针可为其提供“运营商级别”的分析算力,瞬间调用超过百万颗CPU参与计算、检索与关联,快速帮助客户画出完整攻击链图谱。
在应急响应中,该服务可用编排手段对高级别风险事件进行自动化响应处置,并支持安全事件自动化分析与处置,部署易、成本低,大大解放客户生产力,提升安全防御效率。
总而言之,对比传统服务模式,360数字安全托管运营服务对于企业需要的成本、人力、时间资源以及最终的服务效果都是可见的,实现用户资源和成本优化,给安全建设减负。
下面我们从多个客户真实的业务应用场景,深入了解下360数字安全托管运营服务强大的监测能力、分析能力、响应能力!
01 勒索病毒文件攻击
勒索病毒以邮件、程序木马、网页挂马的形式进行传播,能够利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。这类病毒性质恶劣、危害极大,而且具有繁殖速度快、隐蔽性强等特点,它们能够快速蔓延,难以发现,又常常难以根除,杀毒软件可能也无法做到完全查杀。
但是,当某国有大型商业银行上线了360数字安全托管运营服务
还原事件A
08:00 am
360数字安全托管运营服务监测内网安全域防火墙日志,发现存在扫描高危端口行为。
08:01 am
360数字安全托管运营服务监测边界防火墙日志,发现存在大量外发行为被拦截,提取外部IP地址。
08:02 am
360数字安全托管运营服务关联360威胁情报库判断外部IP地址为恶意IP,输出告警
08:04 am
360数字安全托管运营服务监测上网行为管理和主机安全等产品日志,发现该勒索病毒来源为网络下载。
360数字安全托管运营服务通过监测安全设备日志,关联威胁情报库,检测到疑似勒索病毒攻击行为并发起告警,同时判断病毒来源为网络下载,输出告警信息。
02 暴力破解攻击
暴力破解是一种常见的针对Web或系统服务的攻击手段,黑客使用大量的认证信息在认证接口尝试登录,直到得到正确的结果。目的账号被暴力破解成功后,如果安全人员没有及时发现,攻击者很快会利用被爆破的账号盗取用户数据、注入病毒程序或作为跳板攻击其他主机,对企业安全造成更大的威胁。
但是,当某市三级甲等综合性医院上线了360数字安全托管运营服务
还原事件B
04:27 am
360数字安全托管运营服务监测堡垒机日志,发现特权账号登录失败n次,输出告警(告警阈值:n>=5)
04:28 am
360数字安全托管运营服务监测堡垒机日志,发现特权账号登录成功,输出告警(告警阈值:成功次数>=1)
04:29 am
360数字安全托管运营服务监测多台主机日志,发现堡垒机特权账号登录多台主机失败n次,输出告警(告警阈值:n>=5)
360数字安全托管运营服务将暴力破解的日志监控起来,在第一时间知道安全设备是否被暴力破解登录,及时告警安全运营人员处置风险。
03 IM 恶意样本传播
钓鱼邮件是指攻击者伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户点击嵌入邮件正文的恶意链接或者打开邮件附件的恶意程序,进而窃取用户敏感数据、个人银行账户、邮箱账户和密码等信息,或者在设备上执行恶意代码以实施进一步的网络攻击活动。
但是,当某教育行业用户上线了360数字安全托管运营服务
还原事件C
在重保期间,某教育单位的用户在通过即时通信软件@所有人分发一个可疑恶意样本,包含“XXXX党员必看”、“XXXX告示”等,该员工正常查看即时通信消息,误点其他市单位工作人员发的恶意样本,随后收到了相关的预警信息,通过病毒查杀软件查杀后未发生问题,放松了警惕。
次日,木马突然发作,自动在即时通信软件@很多消息群组和人员,后来发现中毒的人员立马强制关机。用户提出样本分析需求,针对下面文件开展样本分析。
10:25 am
该样本信息上传360数字安全托管运营服务
10:28 am
360数字安全托管运营服务快速输出完整样本分析报告,并由工作人员上报给上级组织,及时遏制了事件带来更大的影响。
10:30 am
360安全管理员给用户看了这条来自托管服务平台的告警提醒,这条预警信息同时还推送了风险的修复建议。
基于360安全云的安全大数据,360数字安全托管运营服务能够帮助客户深度拓线恶意样本行为,挖掘攻击背后的潜在目的,提供进一步的处置措施,避免带来更大的影响。
他们已经和海量告警、熬夜加班告别了,你呢?