歷經(jīng)六載,長(zhǎng)揚(yáng)科技發(fā)布了新一代態(tài)勢(shì)感知平臺(tái),通過采用新技術(shù)、新模式和新運(yùn)營(yíng)建設(shè)開放生態(tài),平臺(tái)實(shí)現(xiàn)了一體化安全,能夠?yàn)榭蛻舫掷m(xù)創(chuàng)造價(jià)值。
今天,我們將為您揭示該平臺(tái)背后十大核心技術(shù)。其中,基于ATT&CK攻擊知識(shí)圖譜進(jìn)行攻殺鏈矩陣分析、AI模型與預(yù)測(cè)技術(shù)(SKCAP)、網(wǎng)絡(luò)空間安全分析(CSA)以及基于編排自動(dòng)化與響應(yīng)閉環(huán)處置的自動(dòng)化安全運(yùn)營(yíng)(A2SOAR)是構(gòu)成新一代態(tài)勢(shì)感知能力的核心組成部分。
01 異常攻擊行為一網(wǎng)打盡
N/HIDS引擎
NIDS和HIDS分別是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection System)和主機(jī)入侵檢測(cè)系統(tǒng)(Host Intrusion Detection System)的簡(jiǎn)稱,二者用于監(jiān)控和檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中潛在入侵行為。
集成NIDS和HIDS是兩種不同類型的入侵檢測(cè)引擎。前者基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),通過監(jiān)控網(wǎng)絡(luò)流量來檢測(cè)是否存在異常和攻擊行為。例如,NIDS引擎可以檢測(cè)到網(wǎng)絡(luò)中是否存在大量的來自同一個(gè)IP地址的請(qǐng)求,或者某些傳輸?shù)臄?shù)據(jù)包中是否含有惡意代碼等,內(nèi)置規(guī)則2.6w+;后者則基于主機(jī)入侵檢測(cè)系統(tǒng),通過監(jiān)控主機(jī)操作系統(tǒng)的事件、文件、進(jìn)程等數(shù)據(jù)來檢測(cè)是否存在異常和攻擊行為。例如,HIDS引擎可以檢測(cè)到系統(tǒng)管理員賬號(hào)的異常登錄行為,或者是否存在某個(gè)進(jìn)程執(zhí)行惡意代碼等。
這個(gè)過程中,兩者進(jìn)行關(guān)聯(lián)監(jiān)測(cè)。
入侵檢測(cè)配置
02 對(duì)關(guān)鍵信息的捕獲、分析與洞察
CEP規(guī)則引擎
CEP(Complex Event Processing,復(fù)雜事件處理)可實(shí)時(shí)監(jiān)測(cè)、分析和處理大量事件流,能夠從多個(gè)數(shù)據(jù)源中提取并處理事件,且能根據(jù)預(yù)定義的規(guī)則和模式進(jìn)行實(shí)時(shí)分析和推理。
該引擎通過使用多種窗口函數(shù),處理事件流中一段時(shí)間窗口內(nèi)的數(shù)據(jù),幫助用戶捕獲及分析事件流中的關(guān)鍵信息,并從中得出有價(jià)值的結(jié)論和洞察。該引擎內(nèi)置了四種窗口函數(shù):
1.滑動(dòng)窗口:分析事件流的趨勢(shì)和變化。
2.固定窗口:分析事件流的周期性和統(tǒng)計(jì)特征。
3.增量窗口:僅對(duì)新增數(shù)據(jù)進(jìn)行處理,實(shí)時(shí)更新分析結(jié)果。
4.會(huì)話窗口:通過特定規(guī)則將事件流劃分為多個(gè)會(huì)話,使得每個(gè)會(huì)話內(nèi)數(shù)據(jù)相互關(guān)聯(lián),以便分析事件流的交互和關(guān)聯(lián)性。
CEP規(guī)則配置
03 多平臺(tái)使用,高效實(shí)時(shí)檢測(cè)
病毒檢測(cè)引擎
病毒檢測(cè)引擎主要用于檢測(cè)及清除病毒、惡意軟件和其他惡意代碼,可在Linux、Unix、Windows等多個(gè)平臺(tái)使用,集成多種反病毒軟件,支持自定義規(guī)則和白名單。其內(nèi)置規(guī)則數(shù)2500+,支持常見病毒、木馬、蠕蟲、惡意軟件等多種類型檢測(cè),應(yīng)用于以下安全場(chǎng)景:
1.文件監(jiān)控:監(jiān)控服務(wù)器中的文件,檢測(cè)其是否包含病毒、木馬或惡意軟件等。
2.郵件監(jiān)控:監(jiān)控郵件及附件,防止郵件中傳播病毒和惡意軟件。
3.網(wǎng)絡(luò)流量監(jiān)控:監(jiān)控和過濾網(wǎng)絡(luò)流量中數(shù)據(jù),防止網(wǎng)絡(luò)中傳播病毒和惡意軟件。
4.Web應(yīng)用程序監(jiān)控:監(jiān)控Web應(yīng)用程序上傳的文件,防止Web應(yīng)用程序中傳播病毒和惡意軟件。
5.數(shù)據(jù)庫監(jiān)控:監(jiān)控?cái)?shù)據(jù)庫中的文件和數(shù)據(jù),檢測(cè)其是否包含病毒、木馬或惡意軟件等。
6.USB設(shè)備監(jiān)控:監(jiān)控插入計(jì)算機(jī)中的USB設(shè)備,防止USB設(shè)備中傳播病毒和惡意軟件。
病毒檢測(cè)
04有效防御網(wǎng)絡(luò)威脅
數(shù)字指紋及深度分析引擎
新一代網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的主要分析方法是保護(hù)企業(yè)/組織防御網(wǎng)絡(luò)威脅的關(guān)鍵工具。通過綜合應(yīng)用告警直報(bào)、黑白名單、動(dòng)態(tài)基線分析、機(jī)器學(xué)習(xí)等多種技術(shù)手段,網(wǎng)絡(luò)安全專家可以更好地識(shí)別及應(yīng)對(duì)威脅,從而提高網(wǎng)絡(luò)安全水平。
主要分析方法如下:
工控安全基線及工業(yè)設(shè)備數(shù)字指紋可以幫助組織及時(shí)發(fā)現(xiàn)和處理潛在工控安全問題,防止安全威脅對(duì)工控系統(tǒng)和運(yùn)行造成損害。其應(yīng)用場(chǎng)景如下:
工控網(wǎng)絡(luò)入侵檢測(cè):具備入侵行為特征庫,可對(duì)工控網(wǎng)絡(luò)通訊中的協(xié)議、應(yīng)用、通訊行為提供深入準(zhǔn)確的分析、檢測(cè)及安全診斷,能夠及時(shí)捕獲網(wǎng)絡(luò)異常行為,發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并分析潛在安全威脅,如:DNS隱蔽信道、反彈Shell、普通主機(jī)掃描(源IP相同)、分布式主機(jī)掃描(目的IP相同)、普通端口掃描(源IP相同)、分布式端口掃描(目的IP或端口相同)、暴力破解檢測(cè)、源與目的IP暴力破解、惡意代碼檢測(cè)等。
工控內(nèi)網(wǎng)安全監(jiān)視:記錄功能碼、數(shù)據(jù)地址、寄存器地址、對(duì)象名、屬性、數(shù)據(jù)類型、類型標(biāo)識(shí)、傳輸原因、應(yīng)用程序數(shù)據(jù)單元、數(shù)據(jù)塊等工控協(xié)議的主要參數(shù)和特征,通過機(jī)器學(xué)習(xí)技術(shù)分析并學(xué)習(xí)通信正常模式,及時(shí)發(fā)現(xiàn)異常流量和攻擊行為。
工控合規(guī)性檢測(cè):對(duì)協(xié)議通訊內(nèi)容進(jìn)行鑒別與合規(guī)性檢查,及時(shí)發(fā)現(xiàn)違規(guī)使用行為并進(jìn)行告警展示,如:危險(xiǎn)指令、數(shù)據(jù)夾帶、弱口令、外部訪問、橫向訪問、內(nèi)部主機(jī)外聯(lián)、風(fēng)險(xiǎn)端口訪問等。
工控網(wǎng)絡(luò)全流量審計(jì):系統(tǒng)提供實(shí)時(shí)分析功能,并能長(zhǎng)時(shí)間保存全流量數(shù)據(jù),以支持審計(jì)和追溯。此外,系統(tǒng)會(huì)永久保存關(guān)鍵取證數(shù)據(jù)的數(shù)據(jù)包和統(tǒng)計(jì)信息,例如協(xié)議流量分布、總流量、最大速率、平均速率以及最大載荷等。
工業(yè)設(shè)備安全數(shù)字指紋:通過AI模型自動(dòng)采集分析,建立工業(yè)設(shè)備的安全數(shù)字指紋,及時(shí)預(yù)警安全隱患。
05 網(wǎng)絡(luò)運(yùn)行效率和安全性雙重提升
多網(wǎng)DPI引擎
DPI引擎(深度數(shù)據(jù)包檢測(cè))能夠深度解析網(wǎng)絡(luò)流量,實(shí)現(xiàn)對(duì)不同類型數(shù)據(jù)流和應(yīng)用程序的精細(xì)管理和控制,繼而提升網(wǎng)絡(luò)運(yùn)行效率和安全性。在當(dāng)前網(wǎng)絡(luò)威脅與需求日益增加的背景下,其應(yīng)用價(jià)值和意義愈發(fā)凸顯。
本產(chǎn)品將DPI應(yīng)用在多個(gè)領(lǐng)域,包括信息網(wǎng)、工控網(wǎng)、涉密網(wǎng)、視頻網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、移動(dòng)網(wǎng)等。
多網(wǎng)協(xié)議DPI
06 安全專家的利器
網(wǎng)絡(luò)安全知識(shí)圖譜
基于ATT&CK圖譜的網(wǎng)絡(luò)攻擊鏈生成技術(shù)可以提供一種標(biāo)準(zhǔn)化方法描述并分析網(wǎng)絡(luò)攻擊,幫助安全專家更好地理解和應(yīng)對(duì)各種高級(jí)威脅,主要涉及以下幾個(gè)方面:
1.技術(shù)標(biāo)注:原始數(shù)據(jù)納入攻擊鏈生成系統(tǒng)的首要任務(wù)就是技術(shù)標(biāo)注,遵循ATT&CK技術(shù)標(biāo)準(zhǔn)并根據(jù)原始數(shù)據(jù)特性,技術(shù)標(biāo)注可分為三種類型:Suricata技術(shù)標(biāo)注、Sigma技術(shù)標(biāo)注以及規(guī)則關(guān)系抽取技術(shù)標(biāo)注。
技術(shù)標(biāo)注示意圖
2.攻擊鏈建模編輯器:在瀏覽器中運(yùn)行,幾分鐘內(nèi)便可完成攻擊流程的創(chuàng)建。該編輯器提供了一個(gè)工作空間,用戶可以輸入攻擊行動(dòng)及其他背景信息,通過繪制箭頭,用戶可將這些信息編織成一個(gè)攻擊流程,明確展示事件或活動(dòng)中觀察到的攻擊技術(shù)執(zhí)行順序。
攻擊流程圖
3.攻擊鏈生成引擎:攻擊鏈生成引擎采用流處理技術(shù),支持高吞吐量、低延遲的大規(guī)模數(shù)據(jù)處理。
攻擊鏈生成引擎流程圖
4.預(yù)測(cè)攻擊鏈:通過使用已訓(xùn)練的模型,預(yù)測(cè)潛在攻擊鏈路,包括攻擊手段、攻擊流程以及攻擊目標(biāo)等信息。根據(jù)這些預(yù)測(cè)結(jié)果,用戶可采取相應(yīng)安全防御措施進(jìn)行應(yīng)對(duì)。
ATT&CK攻擊矩陣
07全方位保障隱私聚集地
網(wǎng)絡(luò)空間安全分析(CSA)
萬物互聯(lián)背景下,網(wǎng)絡(luò)空間安全越來越受到組織、公司乃至國(guó)家的高度重視,它不僅關(guān)系著國(guó)家安全和社會(huì)經(jīng)濟(jì)穩(wěn)定,同時(shí)也與我們?nèi)粘I蠲芮邢嚓P(guān)。比如我們時(shí)時(shí)刻刻都在使用的手機(jī)、電腦,是我們個(gè)人隱私的另一聚集地,也是網(wǎng)絡(luò)空間的載體。
長(zhǎng)揚(yáng)態(tài)感網(wǎng)絡(luò)空間安全分析功能以資產(chǎn)為核心,從區(qū)域、聯(lián)通性、病毒、情報(bào)、漏洞、基線、溯源、UEBA行為等多個(gè)方面進(jìn)行全方位、立體化分析。
資產(chǎn)分析
網(wǎng)絡(luò)安全實(shí)體異常行為分析
溯源分析
聯(lián)通性分析
情報(bào)分析
基線分析
08更科學(xué)的安全策略
智能資產(chǎn)管理
通過主動(dòng)、被動(dòng)兩種方式進(jìn)行定時(shí)和實(shí)時(shí)的資產(chǎn)信息采集,建立準(zhǔn)確的資產(chǎn)清單和資產(chǎn)軌跡;再通過建立資產(chǎn)畫像,幫助組織和企業(yè)更好地了解其網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的情況,進(jìn)而制定更科學(xué)的安全策略。
網(wǎng)絡(luò)安全資產(chǎn)畫像包括(1)資產(chǎn)指標(biāo):資產(chǎn)類型、 協(xié)議類型、IP地址、端口、操作系統(tǒng)、安全配置、應(yīng)用程序、漏洞信息、位置信息、 運(yùn)行狀態(tài)等。(2)風(fēng)險(xiǎn)評(píng)分:通過對(duì)資產(chǎn)畫像進(jìn)行評(píng)估,建立相應(yīng)的風(fēng)險(xiǎn)評(píng)分模型,對(duì)組織和企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估和管理。
資產(chǎn)畫像
09定制化方案高度滿足客戶需求
組件式大屏UI
根據(jù)用戶要求進(jìn)行設(shè)計(jì)和定制大屏用戶界面,對(duì)使用場(chǎng)景進(jìn)行調(diào)整和優(yōu)化,以滿足特定功能要求和美觀要求。其主要特點(diǎn)和優(yōu)勢(shì)如下:
1.功能需求:針對(duì)用戶使用場(chǎng)景和需求進(jìn)行設(shè)計(jì)和定制。
2.界面設(shè)計(jì):依照用戶審美標(biāo)準(zhǔn)和使用習(xí)慣進(jìn)行設(shè)計(jì)和定制。
3.數(shù)據(jù)展示:根據(jù)用戶數(shù)據(jù)及數(shù)據(jù)分析需求,設(shè)計(jì)數(shù)據(jù)展示和可視化形式,以便用戶進(jìn)行數(shù)據(jù)分析和決策。
4.可操作性:考慮到用戶交互方式和操作習(xí)慣,確保操作快速性和便利性。
3D大屏
10運(yùn)營(yíng)效率及精確度大幅提升
安全編排自動(dòng)化與響應(yīng)
基于SOAR的網(wǎng)絡(luò)安全運(yùn)營(yíng)能夠助力組織和企業(yè)優(yōu)化網(wǎng)絡(luò)安全事件的管理,提升處理效率和準(zhǔn)確性,降低安全風(fēng)險(xiǎn)和損失。通過實(shí)現(xiàn)安全事件智能化處理和響應(yīng),能顯著提高網(wǎng)絡(luò)安全運(yùn)營(yíng)的效率和精確度。其主要特點(diǎn)和優(yōu)勢(shì)如下:
1.自動(dòng)化響應(yīng):依據(jù)預(yù)設(shè)的安全編排規(guī)則,實(shí)現(xiàn)對(duì)安全事件的自動(dòng)化分類、分析和響應(yīng),以確保安全事件得到快速且準(zhǔn)確地處理。2.集成安全工具:通過可插拔插件,集成各類安全工具和設(shè)備,如防火墻、入侵檢測(cè)系統(tǒng)、安全信息和事件管理系統(tǒng)等,將這些工具嵌入到自動(dòng)化流程中,實(shí)現(xiàn)全方位安全運(yùn)營(yíng)。3.安全編排規(guī)則:根據(jù)各類安全策略和需求,配置編排規(guī)則,實(shí)現(xiàn)靈活且高效的安全運(yùn)營(yíng)。4.事件閉環(huán):實(shí)現(xiàn)安全事件從發(fā)現(xiàn)到處理全程監(jiān)控和管理,確保每一項(xiàng)事件都得到有效處理和響應(yīng)。
智能化安全編排
全場(chǎng)景劇本案件倉庫
智能終端事件閉環(huán)處理
本次揭秘的新一代態(tài)勢(shì)感知平臺(tái)十大核心技術(shù),不僅充分展示了長(zhǎng)揚(yáng)科技突破性的創(chuàng)新和成績(jī),也標(biāo)志著長(zhǎng)揚(yáng)科技在該領(lǐng)域達(dá)到了新高度,同時(shí)也是一個(gè)嶄新的起點(diǎn)。
未來,長(zhǎng)揚(yáng)科技將繼續(xù)勇于探索和創(chuàng)新,不斷完善態(tài)勢(shì)感知相關(guān)技術(shù)和產(chǎn)品,為客戶提供更加可靠、安全的解決方案。隨著科技不斷發(fā)展和變化,長(zhǎng)揚(yáng)科技將始終保持敏銳的洞察力和前瞻性眼光,與時(shí)俱進(jìn),秉持創(chuàng)新精神,致力于打造更加安全和穩(wěn)定的網(wǎng)絡(luò)環(huán)境,為客戶和行業(yè)發(fā)展作出更大貢獻(xiàn),為網(wǎng)絡(luò)安全事業(yè)打造更加美好的明天。
評(píng)論