歷經(jīng)六載,長揚科技發(fā)布了新一代態(tài)勢感知平臺,通過采用新技術、新模式和新運營建設開放生態(tài),平臺實現(xiàn)了一體化安全,能夠為客戶持續(xù)創(chuàng)造價值。
今天,我們將為您揭示該平臺背后十大核心技術。其中,基于ATT&CK攻擊知識圖譜進行攻殺鏈矩陣分析、AI模型與預測技術(SKCAP)、網(wǎng)絡空間安全分析(CSA)以及基于編排自動化與響應閉環(huán)處置的自動化安全運營(A2SOAR)是構成新一代態(tài)勢感知能力的核心組成部分。
01 異常攻擊行為一網(wǎng)打盡
N/HIDS引擎
NIDS和HIDS分別是網(wǎng)絡入侵檢測系統(tǒng)(Network Intrusion Detection System)和主機入侵檢測系統(tǒng)(Host Intrusion Detection System)的簡稱,二者用于監(jiān)控和檢測計算機網(wǎng)絡中潛在入侵行為。
集成NIDS和HIDS是兩種不同類型的入侵檢測引擎。前者基于網(wǎng)絡入侵檢測系統(tǒng),通過監(jiān)控網(wǎng)絡流量來檢測是否存在異常和攻擊行為。例如,NIDS引擎可以檢測到網(wǎng)絡中是否存在大量的來自同一個IP地址的請求,或者某些傳輸?shù)臄?shù)據(jù)包中是否含有惡意代碼等,內(nèi)置規(guī)則2.6w+;后者則基于主機入侵檢測系統(tǒng),通過監(jiān)控主機操作系統(tǒng)的事件、文件、進程等數(shù)據(jù)來檢測是否存在異常和攻擊行為。例如,HIDS引擎可以檢測到系統(tǒng)管理員賬號的異常登錄行為,或者是否存在某個進程執(zhí)行惡意代碼等。
這個過程中,兩者進行關聯(lián)監(jiān)測。
入侵檢測配置
02 對關鍵信息的捕獲、分析與洞察
CEP規(guī)則引擎
CEP(Complex Event Processing,復雜事件處理)可實時監(jiān)測、分析和處理大量事件流,能夠從多個數(shù)據(jù)源中提取并處理事件,且能根據(jù)預定義的規(guī)則和模式進行實時分析和推理。
該引擎通過使用多種窗口函數(shù),處理事件流中一段時間窗口內(nèi)的數(shù)據(jù),幫助用戶捕獲及分析事件流中的關鍵信息,并從中得出有價值的結論和洞察。該引擎內(nèi)置了四種窗口函數(shù):
1.滑動窗口:分析事件流的趨勢和變化。
2.固定窗口:分析事件流的周期性和統(tǒng)計特征。
3.增量窗口:僅對新增數(shù)據(jù)進行處理,實時更新分析結果。
4.會話窗口:通過特定規(guī)則將事件流劃分為多個會話,使得每個會話內(nèi)數(shù)據(jù)相互關聯(lián),以便分析事件流的交互和關聯(lián)性。
CEP規(guī)則配置
03 多平臺使用,高效實時檢測
病毒檢測引擎
病毒檢測引擎主要用于檢測及清除病毒、惡意軟件和其他惡意代碼,可在Linux、Unix、Windows等多個平臺使用,集成多種反病毒軟件,支持自定義規(guī)則和白名單。其內(nèi)置規(guī)則數(shù)2500+,支持常見病毒、木馬、蠕蟲、惡意軟件等多種類型檢測,應用于以下安全場景:
1.文件監(jiān)控:監(jiān)控服務器中的文件,檢測其是否包含病毒、木馬或惡意軟件等。
2.郵件監(jiān)控:監(jiān)控郵件及附件,防止郵件中傳播病毒和惡意軟件。
3.網(wǎng)絡流量監(jiān)控:監(jiān)控和過濾網(wǎng)絡流量中數(shù)據(jù),防止網(wǎng)絡中傳播病毒和惡意軟件。
4.Web應用程序監(jiān)控:監(jiān)控Web應用程序上傳的文件,防止Web應用程序中傳播病毒和惡意軟件。
5.數(shù)據(jù)庫監(jiān)控:監(jiān)控數(shù)據(jù)庫中的文件和數(shù)據(jù),檢測其是否包含病毒、木馬或惡意軟件等。
6.USB設備監(jiān)控:監(jiān)控插入計算機中的USB設備,防止USB設備中傳播病毒和惡意軟件。
病毒檢測
04有效防御網(wǎng)絡威脅
數(shù)字指紋及深度分析引擎
新一代網(wǎng)絡安全態(tài)勢感知系統(tǒng)的主要分析方法是保護企業(yè)/組織防御網(wǎng)絡威脅的關鍵工具。通過綜合應用告警直報、黑白名單、動態(tài)基線分析、機器學習等多種技術手段,網(wǎng)絡安全專家可以更好地識別及應對威脅,從而提高網(wǎng)絡安全水平。
主要分析方法如下:
工控安全基線及工業(yè)設備數(shù)字指紋可以幫助組織及時發(fā)現(xiàn)和處理潛在工控安全問題,防止安全威脅對工控系統(tǒng)和運行造成損害。其應用場景如下:
工控網(wǎng)絡入侵檢測:具備入侵行為特征庫,可對工控網(wǎng)絡通訊中的協(xié)議、應用、通訊行為提供深入準確的分析、檢測及安全診斷,能夠及時捕獲網(wǎng)絡異常行為,發(fā)現(xiàn)網(wǎng)絡入侵行為并分析潛在安全威脅,如:DNS隱蔽信道、反彈Shell、普通主機掃描(源IP相同)、分布式主機掃描(目的IP相同)、普通端口掃描(源IP相同)、分布式端口掃描(目的IP或端口相同)、暴力破解檢測、源與目的IP暴力破解、惡意代碼檢測等。
工控內(nèi)網(wǎng)安全監(jiān)視:記錄功能碼、數(shù)據(jù)地址、寄存器地址、對象名、屬性、數(shù)據(jù)類型、類型標識、傳輸原因、應用程序數(shù)據(jù)單元、數(shù)據(jù)塊等工控協(xié)議的主要參數(shù)和特征,通過機器學習技術分析并學習通信正常模式,及時發(fā)現(xiàn)異常流量和攻擊行為。
工控合規(guī)性檢測:對協(xié)議通訊內(nèi)容進行鑒別與合規(guī)性檢查,及時發(fā)現(xiàn)違規(guī)使用行為并進行告警展示,如:危險指令、數(shù)據(jù)夾帶、弱口令、外部訪問、橫向訪問、內(nèi)部主機外聯(lián)、風險端口訪問等。
工控網(wǎng)絡全流量審計:系統(tǒng)提供實時分析功能,并能長時間保存全流量數(shù)據(jù),以支持審計和追溯。此外,系統(tǒng)會永久保存關鍵取證數(shù)據(jù)的數(shù)據(jù)包和統(tǒng)計信息,例如協(xié)議流量分布、總流量、最大速率、平均速率以及最大載荷等。
工業(yè)設備安全數(shù)字指紋:通過AI模型自動采集分析,建立工業(yè)設備的安全數(shù)字指紋,及時預警安全隱患。
05 網(wǎng)絡運行效率和安全性雙重提升
多網(wǎng)DPI引擎
DPI引擎(深度數(shù)據(jù)包檢測)能夠深度解析網(wǎng)絡流量,實現(xiàn)對不同類型數(shù)據(jù)流和應用程序的精細管理和控制,繼而提升網(wǎng)絡運行效率和安全性。在當前網(wǎng)絡威脅與需求日益增加的背景下,其應用價值和意義愈發(fā)凸顯。
本產(chǎn)品將DPI應用在多個領域,包括信息網(wǎng)、工控網(wǎng)、涉密網(wǎng)、視頻網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、移動網(wǎng)等。
多網(wǎng)協(xié)議DPI
06 安全專家的利器
網(wǎng)絡安全知識圖譜
基于ATT&CK圖譜的網(wǎng)絡攻擊鏈生成技術可以提供一種標準化方法描述并分析網(wǎng)絡攻擊,幫助安全專家更好地理解和應對各種高級威脅,主要涉及以下幾個方面:
1.技術標注:原始數(shù)據(jù)納入攻擊鏈生成系統(tǒng)的首要任務就是技術標注,遵循ATT&CK技術標準并根據(jù)原始數(shù)據(jù)特性,技術標注可分為三種類型:Suricata技術標注、Sigma技術標注以及規(guī)則關系抽取技術標注。
技術標注示意圖
2.攻擊鏈建模編輯器:在瀏覽器中運行,幾分鐘內(nèi)便可完成攻擊流程的創(chuàng)建。該編輯器提供了一個工作空間,用戶可以輸入攻擊行動及其他背景信息,通過繪制箭頭,用戶可將這些信息編織成一個攻擊流程,明確展示事件或活動中觀察到的攻擊技術執(zhí)行順序。
攻擊流程圖
3.攻擊鏈生成引擎:攻擊鏈生成引擎采用流處理技術,支持高吞吐量、低延遲的大規(guī)模數(shù)據(jù)處理。
攻擊鏈生成引擎流程圖
4.預測攻擊鏈:通過使用已訓練的模型,預測潛在攻擊鏈路,包括攻擊手段、攻擊流程以及攻擊目標等信息。根據(jù)這些預測結果,用戶可采取相應安全防御措施進行應對。
ATT&CK攻擊矩陣
07全方位保障隱私聚集地
網(wǎng)絡空間安全分析(CSA)
萬物互聯(lián)背景下,網(wǎng)絡空間安全越來越受到組織、公司乃至國家的高度重視,它不僅關系著國家安全和社會經(jīng)濟穩(wěn)定,同時也與我們?nèi)粘I蠲芮邢嚓P。比如我們時時刻刻都在使用的手機、電腦,是我們個人隱私的另一聚集地,也是網(wǎng)絡空間的載體。
長揚態(tài)感網(wǎng)絡空間安全分析功能以資產(chǎn)為核心,從區(qū)域、聯(lián)通性、病毒、情報、漏洞、基線、溯源、UEBA行為等多個方面進行全方位、立體化分析。
資產(chǎn)分析
網(wǎng)絡安全實體異常行為分析
溯源分析
聯(lián)通性分析
情報分析
基線分析
08更科學的安全策略
智能資產(chǎn)管理
通過主動、被動兩種方式進行定時和實時的資產(chǎn)信息采集,建立準確的資產(chǎn)清單和資產(chǎn)軌跡;再通過建立資產(chǎn)畫像,幫助組織和企業(yè)更好地了解其網(wǎng)絡設備和應用程序的情況,進而制定更科學的安全策略。
網(wǎng)絡安全資產(chǎn)畫像包括(1)資產(chǎn)指標:資產(chǎn)類型、 協(xié)議類型、IP地址、端口、操作系統(tǒng)、安全配置、應用程序、漏洞信息、位置信息、 運行狀態(tài)等。(2)風險評分:通過對資產(chǎn)畫像進行評估,建立相應的風險評分模型,對組織和企業(yè)的網(wǎng)絡安全風險進行評估和管理。
資產(chǎn)畫像
09定制化方案高度滿足客戶需求
組件式大屏UI
根據(jù)用戶要求進行設計和定制大屏用戶界面,對使用場景進行調(diào)整和優(yōu)化,以滿足特定功能要求和美觀要求。其主要特點和優(yōu)勢如下:
1.功能需求:針對用戶使用場景和需求進行設計和定制。
2.界面設計:依照用戶審美標準和使用習慣進行設計和定制。
3.數(shù)據(jù)展示:根據(jù)用戶數(shù)據(jù)及數(shù)據(jù)分析需求,設計數(shù)據(jù)展示和可視化形式,以便用戶進行數(shù)據(jù)分析和決策。
4.可操作性:考慮到用戶交互方式和操作習慣,確保操作快速性和便利性。
3D大屏
10運營效率及精確度大幅提升
安全編排自動化與響應
基于SOAR的網(wǎng)絡安全運營能夠助力組織和企業(yè)優(yōu)化網(wǎng)絡安全事件的管理,提升處理效率和準確性,降低安全風險和損失。通過實現(xiàn)安全事件智能化處理和響應,能顯著提高網(wǎng)絡安全運營的效率和精確度。其主要特點和優(yōu)勢如下:
1.自動化響應:依據(jù)預設的安全編排規(guī)則,實現(xiàn)對安全事件的自動化分類、分析和響應,以確保安全事件得到快速且準確地處理。2.集成安全工具:通過可插拔插件,集成各類安全工具和設備,如防火墻、入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)等,將這些工具嵌入到自動化流程中,實現(xiàn)全方位安全運營。3.安全編排規(guī)則:根據(jù)各類安全策略和需求,配置編排規(guī)則,實現(xiàn)靈活且高效的安全運營。4.事件閉環(huán):實現(xiàn)安全事件從發(fā)現(xiàn)到處理全程監(jiān)控和管理,確保每一項事件都得到有效處理和響應。
智能化安全編排
全場景劇本案件倉庫
智能終端事件閉環(huán)處理
本次揭秘的新一代態(tài)勢感知平臺十大核心技術,不僅充分展示了長揚科技突破性的創(chuàng)新和成績,也標志著長揚科技在該領域達到了新高度,同時也是一個嶄新的起點。
未來,長揚科技將繼續(xù)勇于探索和創(chuàng)新,不斷完善態(tài)勢感知相關技術和產(chǎn)品,為客戶提供更加可靠、安全的解決方案。隨著科技不斷發(fā)展和變化,長揚科技將始終保持敏銳的洞察力和前瞻性眼光,與時俱進,秉持創(chuàng)新精神,致力于打造更加安全和穩(wěn)定的網(wǎng)絡環(huán)境,為客戶和行業(yè)發(fā)展作出更大貢獻,為網(wǎng)絡安全事業(yè)打造更加美好的明天。
評論