隨著數字經濟的不斷髮展,在5G、大資料、人工智慧、雲端計算、區塊鏈、量子技術、物聯網新技術的推動下,基礎設施型別更加豐富、場景愈發多樣,企業對整體威脅的感知、檢測、防護、響應和處置變的越發複雜,其中人員變動、系統變更、基礎設施升級改造、服務升級等場景帶來的安全風險不斷加大,內部安全事件逐漸增多,如違規的操作行為導致資產暴露風險、使用VPN等工具洩露敏感資訊、非法運算元據庫導致資料丟失等。
除此之外,DDoS、漏洞探測、溢位攻擊、WEB攻擊、0day攻擊、網路釣魚、魚叉攻擊、水坑攻擊等攻擊手段層出不窮,企業為了應對新形勢下不同型別的攻擊需要部署不同的安全防護產品,導致建設成本高、維護難度大。
為了更好的服務於新基建發展,貼合國家與行業客戶安全需求,針對發展浪潮中的網路安全威脅,綠盟科技研發出了一款可同時對系統漏洞和WEB漏洞相關攻擊進行檢測、應用威脅防護、惡意檔案檢測、敏感資訊發現、異常行為檢測的分析系統——綠盟綜合威脅分析系統(簡稱:UTS)。該系統可實現對威脅快速精準發現;對威脅進行精準研判和分析,並留存原始資料;最終,利用自身策略和安全運維團隊對威脅行為進行追蹤溯源和封堵,從而提高安全事件的響應速度。
綠盟綜合威脅分析系統(UTS)由採集層、資料層、檢測層和業務層組成,同時提供對外介面與其他產品(態勢感知、沙箱、大資料平臺)組合形成聯動方案。
(1) 採集層
採集層實現對實時流量和離線流量,採集與深度解析;
(2) 資料層
對採集和解析的資料進行儲存,儲存的資料型別有後設資料、威脅pcap包、原始pcap包、惡意檔案、資產資料(從流量中識別的資產資料)等;
(3) 檢測層
整合入侵行為檢測模組、Web應用檢測模組、惡意檔案檢測模組、Webshell檢測模組、APT檢測模組、5G檢測模組和異常行為檢測模組等,可對威脅進行全面檢測;
(4) 業務層
對檢測結果進行二次分析和呈現,分析的模組包括:威脅態勢、威脅事件分析、攻擊者分析、失陷主機分析和漏洞分析。
綠盟UTS集IDS、WAF、威脅情報、全流量行為日誌於一身,能夠實現與第三方大資料平臺對接的綜合性威脅分析系統,採用旁路映象部署,不影響使用者現有網路架構。UTS具有入侵行為檢測、Web應用檢測、惡意檔案檢測、Webshell檢測、APT檢測、異常行為檢測、5G檢測等多功能引擎,從網路流量中識別安全威脅,實現資產、攻擊者、異常行為、未知威脅和5G安全的威脅狩獵:
(1) 資產狩獵
UTS可主動探測和流量識別資產資訊,結合威脅事件對資產進行風險評估,實現資產狩獵。資產資訊包括資產IP、資產MAC、服務埠號、服務協議、裝置型別、地理位置、作業系統、資產狀態、資產描述、資產關聯賬號等。
(2) 攻擊者狩獵
UTS透過靜態規則庫識別網路中的病毒、蠕蟲、間諜軟體、木馬後門、掃描探測、Webshell、C&C等攻擊行為,實現攻擊者狩獵。
(3) 異常行為狩獵
UTS擁有多個檢測模型(異地登入行為/爆破行為/弱口令/內網主機掃描行為/翻牆行為/違規訪問行為/主動外聯行為),可結合全量行為日誌發現潛在威脅,並根據預定規格進行阻斷。
(4) 未知威脅狩獵
UTS透過靜態特徵分析和動態行為捕獲相結合的方式,利用內建威脅情報生成機讀IOC快速發現未知威脅,同時結合內建沙箱能在Windows/Linux/Android環境下虛擬執行發現未知威脅,實現未知威脅狩獵。
(5) 敏感資料狩獵
敏感資料狩獵採用自定義敏感資訊識別引擎,可結合全流量資訊提取相關使用者資訊和使用者具體業務,能快速發現敏感資料洩露、敏感資料操作以及核心使用者操作等問題。
敏感資訊識別內容包括:名稱類(如姓名、賬號)、地址類(如聯絡電話、郵箱、QQ號)、證件類(如身份證號、護照、駕駛證)、金融類(如銀行卡、存摺號)、資產類(如車牌號、房產證號)、資料庫類(如資料庫型別、使用者、執行預計)。
(6) 5G安全狩獵
UTS能對信令協議(NGAP/NAS/GTP/PFCP/HTTP2)和上層應用協議(介面(N1-N40))做深度解析,發現其中的攻擊行為,如信令風暴、信令攻擊,結合解析日誌繪製整個拓撲結構發現偽基站,實現5G安全狩獵。
綠盟UTS搭載多檢測引擎,可以有效的識別網路中的已知和未知威脅,具有如下多方面的功能優勢:
(1) 全流量採集和儲存、回溯能力強
UTS在全流量資料採集方面應用了一系列關鍵機制來提高資料採集能力,最大限度地最佳化了資料捕獲方式和資料包處理效能,使之既能滿足大流量安全場景下各類資料採集的完整性並將其儲存方便後續的0day、APT等高階入侵行為的回溯分析和取證。
(2) 威脅檢測能力覆蓋面廣
UTS具有入侵行為檢測引擎、Web應用檢測引擎、惡意檔案檢測引擎、Webshell檢測引擎、APT檢測引擎、5G檢測引擎等引擎,同時擁有多達9000+條簽名特徵庫,且每週至少更新一次簽名特徵庫,重大安全事件24小時內更新,可以有效的識別網路中的異常行為。
(3) 一體化運維,讓運維更“簡單”
UTS首先對威脅進行全面實時監測,其次快速研判並關聯分析,對攻擊者實現精準打擊,還能自動生成內網事件報表,讓運維變得如此簡單。
(4) 可對接第三方大資料平臺
UTS具有SYSLOG、SFTP和日誌外掛等標準化日誌輸出,不僅可對接綠盟科技大資料平臺也可對接第三方平臺,方案組合靈活。
作為巨人背後的專家,綠盟科技將一如既往以創新精神、領先技術、優質產品、專業服務,為使用者提供基於自身核心競爭力的網路安全產品、安全解決方案和安全運營服務。集多功能為一體的綠盟威脅分析系統,能夠以最小投入實現對新基建下的網路威脅事件快速研判,讓威脅處置變得簡單、可行。