慧眼雲下一代網路威脅感知系統是針對已知威脅和未知威脅推出的全面性檢測產品。
基本介紹
- 中文名:慧眼雲
- 簡介:全面性網路安全檢測產品
產品簡介,產品背景,產品功能,失陷主機,威脅情報,
產品簡介
慧眼雲下一代網路威脅感知系統是針對已知威脅和未知威脅推出的全面性檢測產品,是國內首個失陷主機檢測系統。主要通過異常行為識別技術和威脅情報技術進行失陷主機的分析、發現、溯源,還原整個攻擊過程,找到安全薄弱點,最終部署對抗措施,提升安全主動防禦能力。同時,慧眼雲還可與的安全網關設備進行聯動,通過安全服務等方式將分析檢測後的結果下發到網關設備,從而構建從發現到阻斷整體防禦體系,進行多級協同防禦,提升網路安全防護能力。
產品背景
一方面,雲計算、大數據、移動網際網路等新技術、新套用的普及套用,“網際網路+”趨勢下傳統產品向網際網路轉型,使得網路越來越貼近的生活,網路已經成為生活或者是民生不可或缺的一部分。另一方面,由於0-day漏洞潛在的巨大經濟利益,黑色產業鏈逐漸形成並發展壯大,網路攻擊已從早期的泛攻擊演變為利用0-day漏洞、以獲取重大經濟、軍事、政治利益為目標的針對性攻擊。這使得網路已經成為有利可圖的場所,甚至已成為除海洋、陸地、天空、太空之外的第五戰略空間。 然而傳統安全產品,如終端防毒、防火牆、IPS、Web安全,都是基於已知特徵和預設規則展開工作的,其理論依據是邊界安全與P2DR防護模型。當未知威脅來臨、內部威脅增多,網路邊界逐漸模糊化甚至消失後,傳統安全靜態、被動、防禦思維的安全模型已經不能夠應對當前網路攻擊趨勢。網路安全事件逐年增多也就不足以為奇了。這使得如何應對未知威脅成為網路安全防護的必然之路。
通過對歷史大量攻擊案例的分析,可以將攻擊可分為3個階段:遭受入侵、內部滲透、信息竊取。
通過對歷史大量攻擊案例的分析,可以將攻擊可分為3個階段:遭受入侵、內部滲透、信息竊取。
其中,每一次的入侵滲透,都會有目標偵測、攻擊工具使用、漏洞利用、惡意軟體植入等多個環節。由於0day等未知威脅的的利用,初始入侵的成功率越來越高,一旦入侵成功後,入侵者將找到一個支撐點,通過這個支撐點再逐漸進行內部滲透,繼續尋找其它支撐點,直至找到攻擊目標,然後進行數據的收集和竊取。在此過程中,一個個的支撐點成為攻擊者一層層的跳板,終得以成功。
正是在此基礎上,創新性的推出了慧眼雲產品。慧眼雲主打“失陷主機”的檢測,也就是上述提到的支撐點的檢測。依靠領先的異常行為深度識別技術和威脅情報技術,通過快速、持續的發現這些支撐點,在危害發生之前,採取對應的安全措施,從而提高安全防護能力。
正是在此基礎上,創新性的推出了慧眼雲產品。慧眼雲主打“失陷主機”的檢測,也就是上述提到的支撐點的檢測。依靠領先的異常行為深度識別技術和威脅情報技術,通過快速、持續的發現這些支撐點,在危害發生之前,採取對應的安全措施,從而提高安全防護能力。
產品功能
失陷主機
慧眼雲的失陷主機通過一張二維圖形進行全局的分布展示,基於“確定性指數”和“威脅性指數”兩個維度劃定不同的風險級別區別,從而給出不同主機的風險級別。
橫軸為“確定性指數”,表示失陷主機的可能性,是基於威脅活動的不同階段建模計算所得,數字越大,說明可能性越高。縱軸為“威脅性指數”,表示主機失陷後產生的危害性大小,是基於威脅活動的安全事件建模計算所得,數字越大,說明危害性越大。基於這兩個維度,將失陷主機大概劃分為三個區域:低度風險區域、中度風險區域、高度風險區域。當主機分布在中度風險區域時,處於預警狀態,提醒客戶需要重點對這部分主機進一步跟蹤分析。當主機分布在高度風險區域時,說明需要立刻採取措施,否則有可能產生不可估量的損失。
慧眼雲可以鑽取每一台主機的失陷分析過程,通過威脅活動的幾個階段,分析出當前主機的確定性指數和威脅性指數,並可以看到指定時間內該主機失陷情況的走勢圖,從而判斷出失陷主機的活躍程度和風險級別。
另外,還可以基於時間維度,看到指定主機整個威脅活動的分布圖,幫助客戶對失陷的情況有個直觀的認識。
同時,慧眼雲提供了攻擊過程還原能力,可以查看整個主機失陷的過程,包括攻擊的時間、次數、攻擊類型等,幫助客戶找到失陷的源頭,分析出已經產生的危害,為安全評估提供可視化的支撐。
橫軸為“確定性指數”,表示失陷主機的可能性,是基於威脅活動的不同階段建模計算所得,數字越大,說明可能性越高。縱軸為“威脅性指數”,表示主機失陷後產生的危害性大小,是基於威脅活動的安全事件建模計算所得,數字越大,說明危害性越大。基於這兩個維度,將失陷主機大概劃分為三個區域:低度風險區域、中度風險區域、高度風險區域。當主機分布在中度風險區域時,處於預警狀態,提醒客戶需要重點對這部分主機進一步跟蹤分析。當主機分布在高度風險區域時,說明需要立刻採取措施,否則有可能產生不可估量的損失。
慧眼雲可以鑽取每一台主機的失陷分析過程,通過威脅活動的幾個階段,分析出當前主機的確定性指數和威脅性指數,並可以看到指定時間內該主機失陷情況的走勢圖,從而判斷出失陷主機的活躍程度和風險級別。
另外,還可以基於時間維度,看到指定主機整個威脅活動的分布圖,幫助客戶對失陷的情況有個直觀的認識。
同時,慧眼雲提供了攻擊過程還原能力,可以查看整個主機失陷的過程,包括攻擊的時間、次數、攻擊類型等,幫助客戶找到失陷的源頭,分析出已經產生的危害,為安全評估提供可視化的支撐。
威脅情報
威脅情報可以理解為一條條安全線索的組合,通過它們可以還原已經發生過的攻擊,並預測將來可能發生的攻擊。基於威脅情報的整合,可以勾畫出攻擊者的畫像,做到知己知彼,百戰不殆。從而深度分析並發現真正有價值的攻擊事件,防患於未然。
威脅情報一般包括漏洞庫、指紋庫、IP信譽庫、工具庫、DNS、URL庫等,並基於外界的情報進行動態、實時的更新,確保情報的有效性。
威脅情報系統主要由兩部分組成,一部分為遍布全國的網路探針,基於這些探針實時收集各種安全數據,進行大數據的加工、分析,終提煉出有價值的威脅情報;另外一部分,與第三方合作組織進行威脅情報的合作與共享。基於這些情報,再進一步加工,生產出更有價值和針對性的威脅情報。
威脅情報一般包括漏洞庫、指紋庫、IP信譽庫、工具庫、DNS、URL庫等,並基於外界的情報進行動態、實時的更新,確保情報的有效性。
威脅情報系統主要由兩部分組成,一部分為遍布全國的網路探針,基於這些探針實時收集各種安全數據,進行大數據的加工、分析,終提煉出有價值的威脅情報;另外一部分,與第三方合作組織進行威脅情報的合作與共享。基於這些情報,再進一步加工,生產出更有價值和針對性的威脅情報。
