清华永新告诉你,一个让客户点赞的态势感知平
分类:彩世界彩票注册平台官网

攻击成功是指给主机、网络和业务造成实质性的损害,或已经控制或拿到数据。而针对性攻击指标意味着这些攻击者并不是在广撒网,而是瞄准了这家公司,即使对方没有攻击成功,安全人员也需要关注对方的活动和行为。一旦攻击成功威胁性可能更高。

 

“由于每个行业的应用场景不一样,所以天枢态势感知平台的思路是把业务场景梳理出来,变成风险指标,结合客户需求做定制,另外再提供配套的安全服务。”于家明对天枢的规划非常清晰。

微步在线的核心创始团队基本来自于企业安全团队,因此Web攻击感知平台在设计阶段就致力于为客户提供知己知彼的能力。

企业安全的“视觉”时代,企业更应把看见威胁/提前预防/全面治理,作为新的原则。其中,全方位/全天候的态势感知系统,将成为企业安全的大脑,帮助企业洞察/洞悉/洞彻威胁。

“攘外”同时不忘“安内”

因此,Web攻击感知平台单独划分出一个资产梳理模块,针对企业对外开放的端口、后台、IP和域名进行盘点扫描,自动发现企业有哪些潜在的风险点。一般情况下,资产盘点都需要大量的扫描网络,费时费力,而且如果服务器本身已经负载过大,很容易引起宕机。Web攻击感知平台通过旁路检测双向流量,能够自动识别对外开放的端口和后台,不消耗资源,也不会给服务器带来很大负担。

“视觉时代”的安全之眼

对一两家用户进行态势感知分析可能并不困难,难就难在要对阿里云上11万以上的企业用户所使用的云主机来实时进行分析。云盾态势感知系统要采集主机端数据、网络边界数据、网络空间威胁情报数据。为了应对如此庞大,以PB级来计算的数据分析,阿里云开发出了通过大数据分析和流式计算的智能化安全体系。客户可根据自己业务环境,从30多种机器学习算法和模型中,自如选择适于自身需求的数据进行分析。

通过对这些数据的分析,用户在面对恶意攻击时,不但具备了可以观察秋毫的双眼,还具备了可以明辨是非的大脑。从而可以有效对攻击的黑客进行溯源,使得用户在面对黑客攻击的时候,不但能够有效的组织防御,还有了可以进行反击的办法。

本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com

 

本文链接:

与传统的SIEM解决方案不同,清华永新的天枢态势感知平台兼容性更广更灵活,关注的重点不仅仅是风险,而是将企业核心资产、安全威胁事件和脆弱性漏洞管理相结合,利用大数据安全智能分析,迅速甄别关键威胁并做出智能响应和持续的合规性扫描检测。在运维方面,天枢将不同厂商的日志报告进行归纳汇总,大大降低了运维的重复性,降低运维难度的同时还提升了工作效率。果然,一经推出,便深深击中了用户日常工作中的痛点,深受用户的认可。

关于微步在线:

彩世界彩票注册平台官网 1

于家明认为,传统SIEM解决方案更多关注的是来自外部的攻击威胁,但是在实际应用中,越来越多的威胁是来自内部的。而天枢态势感知平台重点关注资产的安全,当平台采集了日志之后,在这个基础上结合更多行业的需求,还能够规避来自企业内部的安全风险。

资产盘点的一个好处是,当一个网络威胁发生后,安全人员能够快速根据端口、服务、应用的开放情况来推定此次网络威胁对企业安全的影响,并且有的放矢地进行处置,此外,在Web攻击感知平台中,还能通过盘点对外后台来识别撞库行为。如果用户是高手?

 

一把“锥子”的逆袭

真实的攻击是综合攻击手法的叠加,横跨各个应用层面,但80%是来自于Web层面的。解决这80%来自Web的攻击,将会解决企业日常安全运营中主要的威胁。而就威胁情报的角度来看,威胁情报在IP和攻击情报能力上的边界,又将在很大程度上影响攻击感知能力的边界。这是Web攻击感知平台的立足点。Web攻击感知平台以情报驱动,以攻击感知为核心,企业安全人员只需要投入精力去关注首页的两个指标:攻击成功、针对性攻击。

洞察——态势感知安全分析能力解析

企业如果可以对自身的安全况态实时进行洞察、对网络威胁动态清晰掌握,自然可以查敌先机,先于对手做好防御工作,甚至主动出击将黑客擒拿归案,使其接受法律的制裁。那么如何可以对自身应用做到洞察秋毫呢,下面我们从态势感知的“感胁”、“弱点”、以及“紧急事件”几个部分,来具体做分析:

威胁分析

从海量的正常应用中识别网络威胁是安全分析平台很重要的能力。

彩世界彩票注册平台官网 2

态势感知的威胁分析功能可以对Web攻击、密码爆破、撞库、扫描器等网络威胁和异常登录、非常用IP连接、批量账号登录等异常网络行为进行统计。当态势感知对此类攻击查觉之后,会向用户提供出有针对性的解决方案,便于用户及时对威胁进行处理。

彩世界彩票注册平台官网 3

在威胁分析中,不但可以对常见的普通攻击进行统计,还可以将只针对于某特点用户或业务的攻击进行记录。和撒大网一样的普通攻击相比,针对性攻击往往意味着黑客已经对企业数据进行了“重点关注”。

彩世界彩票注册平台官网 4

在这方面,威胁分析可以将黑客最感兴趣的资产IP统计出来,以便于用户更加具有针对性的去进行防护。当黑客的攻击行为,不在隐匿在黑暗之中,可以被用户极时的时行感知,并有针对性的进行处理,黑客对企业的威胁必然也将随之下降。

 彩世界彩票注册平台官网 5

彩世界彩票注册平台官网 6

威胁分析不但可以有效的将用户从海量日志分析中解放出来,直观的对攻击者的IP、攻击时间、次数、频率以及攻击方式进行记录,协助用户对攻击者进行溯源,以便从根源上解决问题之外,更重要的是,这些模型全部运行在云盾的实时检测引擎中,以前做这样的分析,需要写大段脚本并用离线的方式做大量计算,现在云盾的实时引擎可在5分钟内对黑客历史的数据进行遍历,以最快的方式分析出最新的网络威胁,真正的为用户提供了一双可以及时对威胁进行洞察的双眼。

弱点检测

企业信息系统中难免会存在一些旧有,或新出现的系统漏洞。这些弱点问题如果不能及时处理,也会对系统安全造成威胁。态势感知的弱点检测功能,可以有效的弥补这一短板。

弱点功能,不光覆盖了常见的SQL注入,XSS等awasp定义的各类漏洞,还能对互联网最新曝光的漏洞进行快速扫描外。在漏洞的发现上,做到快速和准确。

此外,弱点检测功能可以通过对资产的依赖关系,通过针对漏洞的攻击识别和攻击效果(例如有没有攻击成功、WAF是否防御、漏洞是否能直达核心服务器、是否能拖走数据库等),对当前漏洞的风险进行动态评估,并对补丁的下发,补丁是否需要重启服务器等信息做补全,方便客户做应急响应和业务决策。

比如前些天爆发的全球性勒索软件事件主因是这个漏洞: “MS17-010 远程命令执行漏洞”。用户可前往《云盾》-《态势感知》-《弱点》查看是否存受影响:

彩世界彩票注册平台官网 7

当监测到漏洞出现之后,态势感知会及时向用户告警,并提供相应解决方案,协助用户及时将漏洞进行弥补。

彩世界彩票注册平台官网 8

紧急事件

紧急事件就是客户最需要紧急处理的事件!不处理就会产生资损或业务中断。

态势感知的紧急事件功能,可以针对页面篡改、肉鸡行业、暴力破解成功、后门、DDoS、非法登陆、异常网络连接等多种网络威胁行为进行感知,并及时向用户进行告警。并可对受影响资产信息以及威胁事件进行详细描述,以便于用户有针对性的去解决问题。

紧急事件中,大部分告警都来自于网络,主机,应用,三种不同维度的大数据分析的结果。这里面的核心能力是在于,这三种数据的数据结构完全不同,属于异构数据,态势感知的紧急事件功能,利用云计算的大数据处理能力,能够在几分钟内快速的处理上TB的数量量,并能对各维度的威胁和异常点进行关联,最后产出能引起资损的紧急事件。

彩世界彩票注册平台官网 9

当用户接到紧急事件告警后,可以通过查看报告了解威胁的具体情况,并且可以根据态势感知提供的解决方案,对事件妥善进行处理。

第三类客户是已经被曝光自身IT系统存在安全隐患,例如中了蠕虫,也被证实和僵尸网络有通信。客户需要知道病毒的宿主机在哪里,如何被感染,传播路径又是怎样的,溯源病毒入侵的切入点,从源头整改系统漏洞。

2019年2月,微步在线正式宣布,旗下产品Web攻击感知平台Threat Detection Platform for Server推出2.0版本。经过数年的迭代升级,TDPS已经具有准确预警、溯源分析、资产梳理等多项成熟能力,实现攻击行为准确感知、攻击过程完整追溯、攻击成功精准告警、企业实际暴露资产梳理等典型安全需求,目前已有金融、能源、互联网、政务云等行业客户。用好威胁情报,化繁为简、聚焦真正威胁

洞悉——态势感知应用管理能力分析

三分防,七分管。一款出色的防护软件,不但要对威胁及时察觉,还应协助用户对正常应用进行分析和管理。帮助用户了解网络系统中有哪些应用最受用户关注,哪些访问是恶意在进行灌水,访问流量的高峰会在何时出现,系统的业务稳定性如何进行保障。

目前,阿里云云盾的态势感知则是基于阿里云的实时计算能力,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素,进行全面、快速和准确地捕获和分析,最终分析判断出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。下面,我们就从访问分析、资产控测、业务稳定这三方面,再对态势感知应用管理能力分析能力进行一下了解。

访问分析

在态势感知的访问分析功能模块中,可以对来访IP进行分别进行统计,并且将正常访问IP与恶意访问IP进行区分。使用户可以了解什么服务器部署的什么应用最受用户关注,有哪些应用的访问数量过高,是否需要将其中的业务在其它服务器上进行负载均衡。

彩世界彩票注册平台官网 10

在对正常访问进行统计的同时,访问分析还可以对恶意访问IP进行统计,查看进行访问的网络连接中,是否有恶意灌水的情况出现。从而更加精准的协助用户对业务访问情况进行判断。从而保障用户网络业务稳定高效的进行运营。

资产探测

当用户在云计算系统中的应用增长至一定规模之后,对这些资产的运营管理问题将逐渐开始显现:哪些应用开放了什么样的端口?对应着什么样的域名?是否存在着未进行修补的漏洞?态势感知的资产探测功能可能有效的协助用户进行这方面的管理。

彩世界彩票注册平台官网 11

在资产探测模块中,可以直观的对服务器IP、操作系统版本、使用软件、开放端口个数进行了解,并可以在查看详情中进一步对开放的端口号、是否存在弱点漏洞进行查看。从而便于用户对当前网络资产进行更加有效的监管。在减少漏洞的同时,对企业网络业务进行统一规划。

了解和购买态势感知

 

业务稳定

网络业务的稳定运营,需要对全网的网络状况有一个全局的掌握。网络的业务响应时延,是评价业务状态的一个最直观的技术指标。

在态势感知可视化大屏的“业务稳定性监控”中,可以对全国各地网络业务的响应时延,进行实时的查看。并将国内重点城市、响应最快与最慢的地区电信服务商以图文的形式提供了出来,极大方便了用户对于网络运营状态的全局掌控。

 

他举例告诉记者,例如有的员工为了个人利益可能会违规操作,越权访问核心数据,也有可能是被黑客操纵,通过远程控制窃取并转移数据。天枢态势感知平台通过UEBA技术关注内部威胁,对内部工作人员进行风险画像,记录下某员工在什么时间什么地点去访问哪些数据。一旦出现违规现象,达到一定分值,平台就会报警。再配合上清华永新的天盾下一代防火墙下发安全策略,完全可以相互联动,实现智能自动化应急响应。

Web攻击感知平台不仅能够减轻用户的工作量,还为用户保留了一个“自由模式”,如果用户是一位安全高手,不满足于产品内的算法模型,想自主溯源一些威胁时,要怎么操作?

洞彻——态势感知威胁发展趋势预测

对风险进行预判,将威胁消灭在萌芽之中,这确实可以称得上是安全防护的最高境界。但是安全的风险需要如何进行预判?威胁信息又应当如何进行采集、分析?在海量的日志和频发的威胁告警中如何对有效信息进行判定?有很多SIEM(安全信息与事件管理)工具也在进行着日志审计类的工作,但其效果往往是亡羊补牢,对于当前主流的“0 day”等新发网络威胁,基本上无能为力。防患于未然对于网络安全而言,更多的是一种美好的梦想。

企业要想求追求网络业务的良性发展,就必须对业务发展和威胁趋势进行准确判断。

对于小微企业和个人用户而言,一个安全事件告警就可以满足用户的防护需求。而有一定服务器规模的用户,还需要有对紧急事件和威胁分析能力、漏洞扫描以及系统脆弱点进行监控的能力。但是对于一些上规模的企业而言,就需要具备实时可视化的业务与威胁感知能力。下面我们就来看一下,云盾态势感知是如何通过10块可视化的大屏界面与高效全面的情报分析能力,来协助用户实时对业务和威胁进行感知的。

可视化大屏

态势感知为用户提供了10块可视化的实时监控大屏,通过可视化的方式,实时的对业务运营状态、安全态势、业务访问状况等多种信息进行分析,并以图形化的方式实时的展现到客户面前。从而协助用户对企业业务进行管理,对威胁状态进行预判,保障企业网络应用业务的稳定运营。

彩世界彩票注册平台官网 12

情报分析

态势感知系统,并不是一个简单的图形化管理界面,在它的背后是由阿里云的大数据安全分析平台进行支撑。态势感知系统通过对资产、自然、情报三大类二十余种数据的采集,对资产等级划分、漏洞/隐患分析,对攻击和异常行为的感知、对业务风险的评估,以及对入侵过程的回溯、恶意行为的回溯乃至于对黑客身份的定位等多种严密的分析形式,有效的协助企业解决因黑客攻击导致企业数据泄露问题的出现。

彩世界彩票注册平台官网 13

安全威胁处置

态势感知的分析系统会自动化的实时进行百亿级日志分析。依靠机器学习和建模算法,黑客攻击的下一步行动点,都可以被预测,并让防御提前发生。并且态势感知具有对每个安全事件,在攻击前后一定时间内的原始日志数据分析检索能力,可以通过威胁模型自动化分析和还原黑客攻击全过程,对入侵原因进行回溯,帮助找到“幕后的人”。

全量日志的准实时逻辑检索引擎

彩世界彩票注册平台官网 14

全量日志的采集和TB级大数据量的处理,一直是运维团队日常比较繁重的工作,现在态势感知利用了云的资源优势,和大数据处理能力,帮客户自动采集了云上全业务的网络流量HTTP请求日志(in,out方向),session五元组日志(全端口网络连接五元组),并能对15分钟前的全量日志进行逻辑检索,支持布尔表达式,如包含,不包含,等于,不等于,大于,小于,等逻辑。方便客户,对安全事件,或网络异常,进行日志查询和关联分析,更快更准更便捷的精准定位问题原因

那么与传统的SIEM解决方案相比,天枢态势感知平台还有哪些值得借鉴的创新之处呢?

能够妥善处理攻击,靠的是威胁情报的一双“慧眼”,分辨出来者是黑是白,这正是“知彼”,而当企业无法探知网络世界中来自外部的威胁时,企业还可以将自身潜在的风险点梳理清楚,从风险点来反推自己可能会遭到哪些攻击,这是“知己”。

全知即安全:视觉时代的新防护理念

“态势感知”这个名词,最早是在军事领域出现的。在两次海湾战争中,美军依靠绝对的信息技术优势,对伊军行动了如指掌。采用精确打击的方式,对伊军事目标精准的进行摧毁。如今在太空研究,核反应控制、国际关系等领域,都有态势感知的身影。

知己知彼,百战百胜。无论是军方/企业还是机构,对敌方情报存在越多的盲区,就越难合理配比资源、主动出击。而作为一个帮助企业“看见”风险的大脑,笔者认为态势感知的核心能力在于其大数据分析能力和云上威胁情报共享。据了解,态势感知每年帮助阿里云用户进行87万次的安全漏洞修补,平均每天协助用户修补安全漏洞的数量接近2400次。云盾态势感知的威胁库更在以平均每天2万次更新数量在飞速增长。

下面我们从“洞察”、“洞悉”、“洞彻”三个方面,对云盾态势感知的安全分析能力、应用管理能力以及威胁发展趋势预测能力进行了评估与分析。

 

后来清华永新遇到一些机会,通过与运营商、保险、金融等客户的合作,在安全运营、安全管理、安全分析、态势感知和业务安全等方面,研究如何全面兼容各类安全厂商的日志,并进行从泛化、分析、告警、响应到整改的安全闭环管理流程,帮助安全管理人员解决整改、预警、分析和响应的需求。这就是现在清华永新明星产品“天枢”的雏形,也是清华永新专注于一个细分市场的开端。

微步在线成立于2015年,是国内专注于提供威胁情报能力输出的安全创新型企业,已成为国内威胁情报领军品牌,提供专业的威胁检测产品与服务。2017-2018年多次入选全球网络安全500强(CyberSecurity 500),并成为唯一入选Gartner全球威胁情报市场指南的中国公司。

 

值得一提的是,在天枢态势感知平台上,最新的解决方案引入了一些威胁情报的内容。于家明解释道,通过威胁情报的介入,去匹配内网中已经存在的攻击事件,可以大大提升安全防护能力。例如将威胁情报中出现的僵尸网络主机IP与企业内网流量比对,发现有系统正在与一些恶意IP/URL进行通信,那么很容易就会判断出安全威胁。

“网络中只有两种企业,一种知道自己被黑了,另一种不知道。”这已经成为企业安全人员的共识,要有效应对网络威胁,首先要承认敌在暗我在明,想对企业发起攻击的攻击者们不计其数。既然无法防止攻击的发生,就只能在攻击发生后尽快察觉并阻断。

笔者认为,基于“触觉”的安全投资时代即将过去,例如这次WCry事件让全世界意识到,在勒索软件面前,事后修补的效果微乎其微,只有全面的安全治理,是未来的企业安全方向。

【51CTO.com原创稿件】早在三年前,安全圈里一位专家就曾对记者说过一句话:在所有IT领域里,从事网络安全的初创企业门槛最高且风险极大。记者对此深以为然,一来安全产品都是凭技术实力说话,哪怕概念再新潮可解决不了用户实际问题的话全是浮云,而初创企业的技术积累与部署经验难以与大企业抗衡;二来大多数用户对于选购安全产品都较为谨慎,初创公司尚未形成足够的品牌影响力,除非产品特别出色,否则很难打进这个市场。

彩世界彩票注册平台官网 15

摘要: 本文从“洞察”、“洞悉”、“洞彻”三个方面,对云盾态势感知的安全分析能力、应用管理能力以及威胁发展趋势预测能力进行了评估与分析。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

微步在线的Web攻击感知平台会存储企业全流量,并设计了一个“调查”模块,专门用于溯源日志,其中按照攻击相关、敏感行为、协议相关等字段进行了分类,支持用户对日志进行灵活的条件式搜索,还可以连接到微步在线旗下的威胁情报搜索引擎,进一步对可疑IP进行溯源分析。

如今网络安全的“投入”前提,往往是触觉。在安全事件发生之后,“痛感”成了激发安全防护意识的基础。而看见威胁的“视觉”能力往往被人忽视。

第一类客户如电信运营商、金融行业客户,他们的基础设施很多,为了满足异构性需求,又往往采购的是不同厂商的产品,运维过程中动辄上千条告警。以漏洞告警为例,同一个漏洞,不同厂商对此的命名不同,告警级别也不同,运维人员需要处理大量重复的告警日志,他们迫切希望日志管理变得更加智能;

微步在线将攻击成功和针对性攻击作为核心指标,能大大减轻数据噪声,从而为企业安全人员节省工作时间。如果安全产品以告警为核心,那么安全人员将被每日数万乃至数十万的告警淹没,不得不在大量的误报中寻找真正有威胁的告警,而安全人员每日能够处理的威胁大概在3-5起左右。Web攻击感知平台不仅能让安全人员只关注真实存在风险的告警,还能够智能聚合攻击源,将多个告警汇总成为一次攻击事件,从而将该次攻击事件的时间线梳理出来,并将相关日志都提取出来呈现给安全人员。梳理客户资产,给客户安全感

“天枢之所以能够顺利在网络安全市场打开局面,主要是因为它牢牢抓住了三类客户的需求,能够真正解决他们的应用痛点。”于家明总结到。

此外,Web攻击感知平台还能和态势感知、WAF等安全防护系统结合,让企业用户能够纵深向、多维度感知到安全态势,做好检测和响应工作。

态势感知也能“私人订制”

前不久,记者接触到一家非常“年轻”的网络安全初创企业——成都清华永新网络科技有限公司,清华永新的成长之路恰恰打破了记者对网络安全初创公司的固有思维。通过清华永新产品总监于家明的分享,记者也意识到,如果对安全细分市场有足够精准的判断,对客户的需求有深入的认识,其实初创企业“轻装前行”,反而“大有可为”。

“传统安全厂商的做法是在客户终端上安装代理,这无形中增大了运维成本,用户体验也不好。”于家明告诉记者,清华永新的做法是在交换机上做流量镜像,一旦发现哪个应用或哪个进程有问题,就可以直接把端口封掉,然后对问题进行溯源、追踪、评估。“在未知威胁方面,天枢可以采集内网服务器中每个通信高峰时间点,数据通信量等信息,然后通过机器学习进行聚合,最终建立一条行为基线。一旦有某些行为超出基线范围,平台就会报警,再由安全分析人员进行跟进。”

2016年9月成立,迄今为止成立不到两年,清华永新从不避讳自己的“年轻”。正因为“年轻”,清华永新的初创团队在尝试多个方向之后,终于找到了最适合自己生长的土壤。产品总监于家明告诉记者,其实公司的初创团队在2013年前后,也曾经和传统安全厂商一样,致力于开发日志搜集分析等安全产品。但是他们很快发现,由于每一家安全厂商对于安全事件的理解不同,定义的级别也不同,告警的评判标准都不一样,这给用户的安全运维带来很大困扰,仅仅通过安全可视化,并不能真正解决用户的问题。

彩世界彩票注册平台官网 16

于家明的分享,让记者联想到锥子理论——当目标市场看似铜墙铁壁时,不妨找准一个细分痛点,将所有力量集中于一点,用力扎下去,这样很容易打开局面。清华永新正是这样做了,也成功了。

第二类客户在安全审查方面有严格要求,一旦上级主管单位在其重点资产上发现高危漏洞,有可能对其进行行政处罚。因此这类客户需要一种安全产品,可以对其重要资产进行安全检查。

采访最后,于家明透露,未来天枢将继续增强威胁情报的积累,在人工智能、机器学习方面找到突破。后续清华永新还会尝试客户链分析,与客户的业务进行更多的融合绑定。记者也希望,像清华永新这样擅长“谋定而后动”的初创企业能够给网络安全产业带来更多的惊喜。

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:清华永新告诉你,一个让客户点赞的态势感知平

上一篇:没有了 下一篇:丁磊投诚:联手阿里,网易谋何新局?【彩世界
猜你喜欢
热门排行
精彩图文