亚信安全 高级网络安全调查审计系统

白帽子

2019/08/04 发布于 技术 分类

c3安全峰会2017 

文字内容
1. 培训和PSP专家服务 解决方案演进列表 •高级网络安全调查审计和网络犯罪的打击治理归根结底是攻与防之间的斗争,是网络安全专家和网络犯罪分子的斗争,“高级网络安全 标准版 增强版 大数据版 TDA CTDI取证黑匣子(单台) 培训 PSP服务 TDA CTDI取证黑匣子(多台) 培训 PSP服务 TDA CTDI取证黑匣子(多台) 大数据平台(一套) 培训 PSP服务 建议日志量级 20TB/40TB/60TB 500TB 1PB以上 日志存储位置 TDA 本地 DI 取证黑匣子本地 TDA 本地 DI 取证黑匣子集群 大数据平台 调查取证操作 人工操作 集中式查询 人工操作 黑匣子集群管理 集中式查询 大数据关联分析 丰富的调查工具辅助 知识库及告警规则累积 高效集中式查询 建议用户规模 中小型企业 关键终端和服务器 中型企业 关键终端和服务器 大型企业 行业用户 平安城市级应用 方案组件 调查设计系统”解决方案能够帮助网络安全专家在审计工作中极大地提高效率。 •亚信安全成立了网络攻防实验室和培训中心,参加培训的技术人员通过大量攻防和高级审计的实战演练,结合TDA、CTDI和大数据平台 的实际操作,可以全面提升高级网络安全调查审计的技能。 •亚信安全拥有一批高级网络安全调查审计的专业服务团队,能够提供远程服务、上门服务和驻点服务等多种PSP的专家服务,帮助用户 处理紧急安全事件,并且从长远角度帮助用户建立自己的高级网络安全调查审计专家团队。 深度网络安全发现设备——TDA • TDA是网络硬件设备,采用旁路部署模式 • TDA将网络镜像过来的流量进行报文重组,从网络层到应用层使用各种扫描引擎进行扫描,针对“云端网络安全情报”提供的特征库进行 黑名单的匹配 欲知更多网络安全及相关产品信息, 请拨打免费咨询电话:800-820-8876 或登录亚信安全官网:www.asiainfo-sec.com • TDA可以配置或调用白名单库 • 对于灰色流量(既不属于黑名单,也不属于白名单),TDA内部的高级网络安全扫描引擎(Advanced Threat Scan Engine)会进行规则匹 配,把侦测到的可疑网络安全发送至TDA的沙盒中进行分析,可以发现本地未知网络安全 • 匹配到“云端网络安全情报”全球特征库的攻击和TDA本地沙盒分析判定的攻击会提供高级网络安全的报警线索,取证专家可以依据这些 报警线索进一步在高级网络安全调查取证系统(Deep Investigation)进行溯源分析 亚信安全 高级网络安全调查审计设备(取证黑匣子)——Cyber Threat Deep Investigation • CTDI的轻量级客户端能够从操作系统内核层 高级网络安全调查审计系统 面详细记录文件的读写存取操作、注册表 键值更改、进程起停和网络连接等信息 • CTDI服务器端(取证黑匣子)根据存储容量 分成20TB/40TB/60TB三个型号— CTDI 20000/40000/60000。CTDI取证黑匣子适合 部署在中小型企业(单台CTDI取证黑匣子) 或中型企业(多台CTDI取证黑匣子集群)中 对终端和关键节点服务器进行行为录制 • 大数据版能够支持PB级别的日志量级,实现TDA和CTDI日志的关联分析和高效集中式查询,该平台还提供了丰富的调查辅助工具,通过 不断累积知识库和告警规则,帮助取证专家极大地提升溯源分析效率,因此大数据版更适合大型企业、行业用户和平安城市级别的部署 • 和高效集中式查询,该平台还提供丰富的调查辅助工具,通过不断累积知识库和告警规则,帮助取证专家极大地提升溯源分析效率, 因此大数据版更适合大型企业、行业用户和平安城市级别的部署 北京 地址:北京市东城区北三环东路 36 号 环球贸易中心 A 座 2102 室 电话:(010) 5825 6889 成都 地址:成都市高新区高朋大道 3 号 东方希望科研楼 1203 电话:(028) 6687 6200 上海 地址:上海市淮海中路 398 号 博银国际大厦 8 楼 电话:(021) 6384 8899 杭州 地址:杭州市西湖区万塘路 18 号 黄龙时代广场 A 座 11F 电话:(0571) 8190 3773 广州 地址:广州市天河北路 183 号 大都会广场 3702 室 电话:(020) 8755 3895 南京研发中心 地址:南京市雨花区软件大道 180 号 大数据产业基地 B1-3F 电话:(025) 5851 2888 南京 地址:南京市雨花区软件大道 180 号 大数据产业基地 B1-2F 电话:(025) 5851 2888 天津 地址:天津市塘沽开发区 4 大街 天大科技园 A1 座 7 层 F2 室 电话:(022) 6621 1165 北京研发中心 地址:北京市海淀区中关村软件园二期 西北旺东路 10 号院东区亚信大厦 电话:(010) 8216 6688 亚信科技(成都)有限公司保留对本文档以及此处所述产品进行更改而不通知的权利。在安装及使用本软件之前,请阅读自述文件、发布说明和最新版本的适用用户文档,这些文档可以通过亚信科技的以下Web 站点获得: http://www.asiainfo-sec.com.cn/download/zh-cn/ 4 • 高级网络安全调查审计系统
2. 高级网络安全的危害及防护架构的挑战 高级网络安全调查审计系统架构 解决方案概述 Gartner推荐的高级网络安全防御模型 习近平总书记在2016年4月19日网信工作座谈会上 阐明了高级网络安全的危害 • 网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了 • 结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面, 一旦有事就发作了 Gartner自适应防护架构的四阶段模型及挑战 • 在在高级网络安全侦测阶段的挑战是指高级 网络安全隐藏于海量的安全事件中,如何能 Gartner推荐的高级网络安全防御模型 够发现这些高级网络安全并采取行动? • 在网络安全回溯阶段的挑战是指如何有效地 分析出黑客是如何从外部入侵网络,影响范 围有多大,窃取了哪些数据,留下了哪些后 门?商业间谍是如何在内部网络进行渗透和 横向移动,内部违规操作的影响范围有多 • 传统的深度防御方式仍然必要,但是对于高级指向性攻击和内部商业间谍信息窃取的防护能力已经不再有效 • 当今的高级网络安全需要新的层次化防御模型使用“主动参与”(Lean Forward)技术在“网络”、“负载(可执行程序、文件和 Web对象)”和“终端”三个层面进行防御 • 综合使用两个或者全部三个层次的解决方案可以提供更为高效的高级网络安全防御能力 大,窃取了哪些数据,如何进行信息泄露操 作? • “云端高级网络安全情报”是高级网络安全调查审计系统重要的后台支撑,主要提供基于黑名单的网络安全匹配,包括文件、Web • 在网络安全预测阶段的挑战是指企业缺乏外 链接和Email信誉等类型 部网络安全情报的支持和内部网络安全知识 • 侦测到高级网络安全的线索是安全审计专家展开溯源调查分析的开端,虽然黑客可以使用鱼叉式邮件入侵企业网络,商业间谍可以 库及安全运维团队的建设 Gartner自适应防护架构的四阶段模型及挑战 高级网络安全调查审计系统架构图 亚信安全“网络审计”和“终端审计”产品同Gartner高级网络安全防御模型的对照关系 利用零日漏洞等高危漏洞来入侵企业的核心系统,但在整个APT攻击过程中还是会使用一些“常见黑客行为”工具软件,高级网络 • 在网络安全预防阶段的挑战是指企业应当转 安全调查审计系统可以侦测到这些APT攻击的线索。 变“事件响应”的观念为“持续响应” • 利用发现的第一条线索,安全审计专家可以进行人工或大数据关联分析,追溯出黑客和商业间谍在历史上的所有操作,绘制出攻击 高级网络安全调查审计的挑战 路径、界定出危害范围、确认黑客和商业间谍盗取了哪些信息以及是否留有长期的后门。 • 培养安全审计专家是高级网络安全调查审计系统解决方案建设的关键,亚信安全建立有完善的培训体系,通过实战性很强的攻防演 • 高级网络安全具有很强的隐蔽性,如何提 练帮助安全审计专家熟悉系统的使用方法,积累最新的攻防知识和经验,这些安全审计专家还可以在今后的工作中把新的案例贡献 高安全专家调查审计的时效性? 至亚信安全的知识库,通过分享提升高级网络安全调查审计系统的整体能力。 • 为了追溯黑客从外部以及商业间谍从内部 造成危害的影响范围,安全专家往往需要 关联分析多个安全设备上的日志,提高了 解决方案详解 调查审计的技术复杂度 • 地下黑产获利丰厚,外部恶意攻击事件和 根据网络及终端数量规模,亚信安全建议用户 内部商业间谍信息窃取事件数量逐年呈现 能够结合投资预算的实际情况,分期分批地建 爆炸性增长的趋势,急需培养更多具备攻 亚信安全“网络审计”和“终端审计”产品同Gartner高级网络安全防御模型的对照关系 防知识及调查审计经验的安全专家 设高级网络安全调查审计系统解决方案。 • 亚信安全“深度网络安全发现设备TDA”同时具备网络流量实时分析及Payload沙盒分析的功能,就像城市中大街小巷上布置的高清 摄像头,它可以绘制出黑客从外部入侵网络及商业间谍从内部进行信息窃取的路径,并且识别分析他们使用的未知恶意程序。 • 亚信安全“高级网络安全调查审计设备Cyber Threat Deep Investigation”同时具备终端行为实时分析、终端行为审计、以及在终端 高级网络安全调查审计的挑战 上记录网络连接和网络审计的功能,就像建筑物和房间内布置的高清摄像头,它可以详细录制黑客和商业间谍在终端操作系统上的 操作过程,为建立完整的调查审计链条提供终端上的技术保障。 高级网络安全调查取证系统解决方案演进 1 • 高级网络安全调查审计系统 2 • 高级网络安全调查审计系统 3 • 高级网络安全调查审计系统