2021年公安部护网行动,福建雷盾信息安全有限公司专家团队参与多个关键基础设施领域的防护工作。在护网过程中发现,关键基础设施领域虽然安全防护体系比较完善,通用的安全措施也基本具备,但还普遍存在以下五大“难”题。
一、五大共性“难”题
01 入侵防范“难”:“四大”管控盲区
现有大部分安全产品基本都是针对互联网入口及关键服务器设备南北向的异常行为进行管控,对东西向异常行为难以管控;
对于按照时间、空间维度通过降低攻击频次采用分布式、自动化攻击等绕过安全设备检测的新型网络攻击行为难以管控;
虚拟化平台、云桌面、超融合等平台的异常行为难以管控,内部某台设备一旦被入侵,现有的安全措施将形同虚设;
与互联网互通的办公设备,存在被外部攻击源高频率攻击探测、对外部的互联网资产实施攻击、实施大面积的横向攻击等风险。不仅自身网络面临着安全威胁,还可能存在被网络监管单位通知整改甚至被处置的风险。
02 安全审计“难”:网络通信日志难合规
现有安全措施只能对互联网出口、关键节点上的网络通信行为进行记录,对上述提到的“四大”管控盲区”以及其他未被监管到的网络节点上的网络通信日志难以记录,这些区域一旦发生安全事件,日志的留存将无法满足《网络安全法》通信日志保存六个月以上的安全要求。
03 安全运营管控“难”:网络应用服务难规范
对大部分的IT资产都只能进行粗放式的管理,在大致确认其用途后对整个IP进行加白处置。一旦某些关键设备被入侵或伪造,由此引发的风险将无法想象!
目前仅能通过漏扫等设备对网络脆弱性端口开放情况进行阶段性定期地扫描排查,排期之间尚存在大量的空档期。对于在空档期间开放使用的网络脆弱性端口难以管控。
04 事件溯源“难”:需要多个平台配合完成
事件的溯源往往需要跨平台多级层层排查,难以在一个平台上完成对所有安全事件的溯源取证工作。
05 事件处置“难”:威胁源头处置无重点
网络中部署的各类网络安全监控及预警平台,大都是孤立的安全事件驱动,密密麻麻的安全事件,难以区分轻重缓急,处置难度大。网络中部署的各类网络安全监控及预警平台,大都是孤立的安全事件驱动,密密麻麻的安全事件,难以区分轻重缓急,处置难度大。
二、雷盾信安解决方案
“工欲善其事,必先利其器”,雷盾信安专家团队经过多年的沉淀和研究,形成的《雷盾网络异常行为分析管控平台》,采用以下方案解决上述网络安全面临的难题。
01 “全方位”安全监管:异常行为无死角监管
采用自主原创的大数据及人工智能技术,对核心层、汇聚层、甚至接入层的全端口流量进行统一分析及管控,实现包括东西向网络异常行为、新型网络攻击行为、虚拟化平台内外部的异常行为、办公设备内外部异常行为在内的全网异常行为无死角的安全监管!
02“全方位”日志留存:通信日志全方位记录
全方位地对所有安全区域、各IT资产之间的网络通信日志进行记录及溯源,满足《网络安全法》日志留存的要求!
03“精细化”运营管控:精细到应用级+端口级
流量管控精细到应用+端口级,不仅对各个应用对应的网络架构的合理性、合规性一目了然,对第三方平台或自研程序违规外联、越权扫描、隐蔽后台服务等行为均能一一发现!同时,实时监控设备与脆弱性端口之间的通信情况,为数据/业务非法访问提供证据,为网络应用规范化及标准化提供参考依据。
04“一站式”事件溯源:一个平台完成事件溯源
对平台发现的所有安全事件均可在一个平台上实现逐级溯源取证。
05“指数化”威胁处置:威胁源头分级管理
按照威胁类别、攻击频率、影响范围等对威胁源头进行多维度的威胁指数综合评分,并进一步按照威胁指数的高低判断事件的轻重缓急,对威胁资产进行有序处置。同时,结合各类事件进行态势分析、趋势分析,可为下一步安全决策提供依据。
值得一提的是,本方案不仅适用于传统的网络应用场景,对跨地域部署的网络、大型复杂的网络、含虚拟化的混合网络、安全设备比较少的网络、需要对东西向网络进行管控的网络等传统方案难以部署的网络应用场景均能适用;在不改变网络物理结构的情况下就能实现对全网络异常行为一站式的管控分析,同时还能将项目的实施周期同比缩短90%以上。