亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

2018 RSA大會熱點 | 全流量威脅分析方案

2018 rsa大會 第2日。綠盟科技北美資深安全顧問Guy Rosefelt在展會上演示全流量威脅分析解決方案 ,并講解了其中三項創(chuàng)新技術(shù) 鏡像流量采集、高級威脅分析、熱點事件溯源追蹤 。在前期應(yīng)用案例中,有客戶表示利用TAM發(fā)現(xiàn)了IDC中隱藏的僵尸網(wǎng)絡(luò)及加密貨幣挖礦主機。

Gartner在2017年給出了 信息安全頂級技術(shù)中,提了一種新的網(wǎng)絡(luò)流量分析的解決方案。

網(wǎng)絡(luò)流量分析解決方案,通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象,找出惡意的行為跡象。那些正在尋求基于網(wǎng)絡(luò)的方法,來識別繞過周邊安全性的高級攻擊的企業(yè)應(yīng)該考慮使用流量分析技術(shù)來幫助識別、管理和分類這些事件。

面對新的威脅,基于規(guī)則的傳統(tǒng)檢測手段已難滿足,需要結(jié)合 機器學(xué)習(xí) 和其他高級分析技術(shù),通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象來找出惡意的行為跡象,尤其是失陷后的痕跡。

全流量分析技術(shù)及過程

在全流量威脅分析方案中,其威脅分析過程如下:首先利用探針設(shè)備對網(wǎng)絡(luò)原始流量進行采集和解析,并將結(jié)果接入到威脅分析引擎中,基于規(guī)則引擎、威脅情報能力檢測已知威脅。同時,我們也將流量數(shù)據(jù)中的流特征信息、包頭信息等關(guān)鍵信息都提取出來,形成流量元數(shù)據(jù)信息,并連同原始流量數(shù)據(jù)進行分類存儲。最后,通過攻擊鏈引擎對黑客的整個攻擊環(huán)節(jié)進行關(guān)聯(lián),實現(xiàn)對高級威脅事件的全方位分析。

在某些案例中,我們也可以通過全流量威脅分析可以應(yīng)對未知威脅檢測。將流量匯聚到大數(shù)據(jù)分析平臺后,基于沙箱檢測引擎、機器學(xué)習(xí)引擎可以對異常進行分析,輔以威脅情報,為用戶提供抵御攻擊者的應(yīng)變手段。通過對流量原數(shù)據(jù)做回溯,可以看到以前發(fā)生過什么,以及做事件的深入調(diào)查。這對傳統(tǒng)上基于規(guī)則方式的安全防護是一個很好的補充。

綠盟科技結(jié)合以上技術(shù),發(fā)布了綠盟全流量威脅分析解決方案(簡稱NSFOCUS TAM),其核心功能如下:

  1. 鏡像流量采集 支持對鏡像流量的全流量采集及對網(wǎng)絡(luò)層、應(yīng)用層協(xié)議進行解析,并可以將采集的到的鏡像流量原始數(shù)據(jù)包及解析后的協(xié)議日志進行存儲。
  2. 高級威脅分析 基于規(guī)則引擎, 威脅情報 能力,檢測已知威脅;基于沙箱檢測引擎、機器學(xué)習(xí)引擎檢測未知威脅;最后,再通過 攻擊鏈 引擎,對黑客的整個攻擊環(huán)節(jié)進行關(guān)聯(lián),實現(xiàn)對 高級威脅 事件的全方位分析。
  3. 熱點事件溯源追蹤 基于場景分析引擎,能夠?qū)⒕G盟科技強大的 應(yīng)急響應(yīng) 通報能力進行本地化,對如“挖礦事件、永恒之藍、Struts2”等應(yīng)急事件可以先于規(guī)則引擎前進行檢測,并且能夠?qū)v史流量進行回溯分析,發(fā)現(xiàn)歷史上是否有相應(yīng)事件發(fā)生。

攻擊鏈是什么

簡單來說, 攻擊鏈 就是攻擊者常見攻擊過程,包含信息收集、探測、滲透攻擊到實施惡意行為等步驟。通常,攻擊鏈可以以如下形式展示。不同攻擊方式的攻擊過程可能不同,半數(shù)攻擊者每一次都會改變具體攻擊方法。

攻擊鏈

基于攻擊鏈的安全分析

網(wǎng)絡(luò)攻擊是分階段發(fā)生,并可以通過在每個階段建立有效的防御機制中斷攻擊行為。

——洛克希德.馬丁

不管是偵查階段、工具準備階段還是攻擊利用、安裝后門等等階段,我們看到的都是一個一個事件的點。而通過這種攻擊鏈分析的方法,通過如上七步,對大量事件進行歸類,進而形成一些特性,進而為黑客攻擊行為的分析,提供了有效的理論支撐。

NSFOCUS TAM為客戶帶來的價值如下:

  1. 對高危事件及失陷資產(chǎn)進行重點通報,大幅降低需要關(guān)注的告警數(shù)量,降低運維工作量。
  2. 規(guī)則檢測、情報分析、沙箱檢測和機器學(xué)習(xí)等多引擎結(jié)合,發(fā)現(xiàn)高級威脅事件,提升安全檢測能力。
  3. 通過對熱點事件的追蹤溯源,將原來需要人工進行的應(yīng)急響應(yīng)進行自動化,提升應(yīng)急響應(yīng)效率。

這個方案在前期應(yīng)用過程中,客戶已經(jīng)利用TAM在其IDC中發(fā)現(xiàn)了一些僵尸網(wǎng)絡(luò);也有客戶發(fā)現(xiàn)了一些挖礦主機,某客戶稱

我們搞orcale漏洞應(yīng)急響應(yīng),用TAM基本上可以進行自動化,同時我們也回查了歷史信息,發(fā)現(xiàn)歷史流量中沒有這個漏洞利用的行為,可以放心了

?

近年來,綠盟科技緊跟網(wǎng)絡(luò)安全發(fā)展形勢,在 物聯(lián)網(wǎng)安全 、 工控安全 、 云計算安全 , 云安全服務(wù) 等方面持續(xù)發(fā)力,相繼發(fā)布多款安全產(chǎn)品及解決方案,并向用戶提供持續(xù)不斷的安全服務(wù)能力。綠盟科技已成為全球少數(shù)同時具備安全產(chǎn)品線、安全能力、安全服務(wù)模式的安全廠商之一。

本文由:綠盟科技 發(fā)布,版權(quán)歸屬于原作者。 出處: http://toutiao.secjia.com/rsa-2018-tam

上一篇:iOS 信任劫持攻擊導(dǎo)致 iPhone 易受遠程入侵

下一篇:“新商業(yè)?新價值”2018中國企業(yè)互聯(lián)網(wǎng)春季峰會成功召開