歷經(jīng)六載,長揚(yáng)科技發(fā)布了新一代態(tài)勢感知平臺,通過采用新技術(shù)、新模式和新運(yùn)營建設(shè)開放生態(tài),平臺實(shí)現(xiàn)了一體化安全,能夠?yàn)榭蛻舫掷m(xù)創(chuàng)造價值。
今天,我們將為您揭示該平臺背后十大核心技術(shù)。其中,基于ATT&CK攻擊知識圖譜進(jìn)行攻殺鏈矩陣分析、AI模型與預(yù)測技術(shù)(SKCAP)、網(wǎng)絡(luò)空間安全分析(CSA)以及基于編排自動化與響應(yīng)閉環(huán)處置的自動化安全運(yùn)營(A2SOAR)是構(gòu)成新一代態(tài)勢感知能力的核心組成部分。
01 異常攻擊行為一網(wǎng)打盡
N/HIDS引擎
NIDS和HIDS分別是網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System)和主機(jī)入侵檢測系統(tǒng)(Host Intrusion Detection System)的簡稱,二者用于監(jiān)控和檢測計算機(jī)網(wǎng)絡(luò)中潛在入侵行為。
集成NIDS和HIDS是兩種不同類型的入侵檢測引擎。前者基于網(wǎng)絡(luò)入侵檢測系統(tǒng),通過監(jiān)控網(wǎng)絡(luò)流量來檢測是否存在異常和攻擊行為。例如,NIDS引擎可以檢測到網(wǎng)絡(luò)中是否存在大量的來自同一個IP地址的請求,或者某些傳輸?shù)臄?shù)據(jù)包中是否含有惡意代碼等,內(nèi)置規(guī)則2.6w+;后者則基于主機(jī)入侵檢測系統(tǒng),通過監(jiān)控主機(jī)操作系統(tǒng)的事件、文件、進(jìn)程等數(shù)據(jù)來檢測是否存在異常和攻擊行為。例如,HIDS引擎可以檢測到系統(tǒng)管理員賬號的異常登錄行為,或者是否存在某個進(jìn)程執(zhí)行惡意代碼等。
這個過程中,兩者進(jìn)行關(guān)聯(lián)監(jiān)測。
入侵檢測配置
02 對關(guān)鍵信息的捕獲、分析與洞察
CEP規(guī)則引擎
CEP(Complex Event Processing,復(fù)雜事件處理)可實(shí)時監(jiān)測、分析和處理大量事件流,能夠從多個數(shù)據(jù)源中提取并處理事件,且能根據(jù)預(yù)定義的規(guī)則和模式進(jìn)行實(shí)時分析和推理。
該引擎通過使用多種窗口函數(shù),處理事件流中一段時間窗口內(nèi)的數(shù)據(jù),幫助用戶捕獲及分析事件流中的關(guān)鍵信息,并從中得出有價值的結(jié)論和洞察。該引擎內(nèi)置了四種窗口函數(shù):
1.滑動窗口:分析事件流的趨勢和變化。
2.固定窗口:分析事件流的周期性和統(tǒng)計特征。
3.增量窗口:僅對新增數(shù)據(jù)進(jìn)行處理,實(shí)時更新分析結(jié)果。
4.會話窗口:通過特定規(guī)則將事件流劃分為多個會話,使得每個會話內(nèi)數(shù)據(jù)相互關(guān)聯(lián),以便分析事件流的交互和關(guān)聯(lián)性。
CEP規(guī)則配置
03 多平臺使用,高效實(shí)時檢測
病毒檢測引擎
病毒檢測引擎主要用于檢測及清除病毒、惡意軟件和其他惡意代碼,可在Linux、Unix、Windows等多個平臺使用,集成多種反病毒軟件,支持自定義規(guī)則和白名單。其內(nèi)置規(guī)則數(shù)2500+,支持常見病毒、木馬、蠕蟲、惡意軟件等多種類型檢測,應(yīng)用于以下安全場景:
1.文件監(jiān)控:監(jiān)控服務(wù)器中的文件,檢測其是否包含病毒、木馬或惡意軟件等。
2.郵件監(jiān)控:監(jiān)控郵件及附件,防止郵件中傳播病毒和惡意軟件。
3.網(wǎng)絡(luò)流量監(jiān)控:監(jiān)控和過濾網(wǎng)絡(luò)流量中數(shù)據(jù),防止網(wǎng)絡(luò)中傳播病毒和惡意軟件。
4.Web應(yīng)用程序監(jiān)控:監(jiān)控Web應(yīng)用程序上傳的文件,防止Web應(yīng)用程序中傳播病毒和惡意軟件。
5.數(shù)據(jù)庫監(jiān)控:監(jiān)控數(shù)據(jù)庫中的文件和數(shù)據(jù),檢測其是否包含病毒、木馬或惡意軟件等。
6.USB設(shè)備監(jiān)控:監(jiān)控插入計算機(jī)中的USB設(shè)備,防止USB設(shè)備中傳播病毒和惡意軟件。
病毒檢測
04有效防御網(wǎng)絡(luò)威脅
數(shù)字指紋及深度分析引擎
新一代網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的主要分析方法是保護(hù)企業(yè)/組織防御網(wǎng)絡(luò)威脅的關(guān)鍵工具。通過綜合應(yīng)用告警直報、黑白名單、動態(tài)基線分析、機(jī)器學(xué)習(xí)等多種技術(shù)手段,網(wǎng)絡(luò)安全專家可以更好地識別及應(yīng)對威脅,從而提高網(wǎng)絡(luò)安全水平。
主要分析方法如下:
工控安全基線及工業(yè)設(shè)備數(shù)字指紋可以幫助組織及時發(fā)現(xiàn)和處理潛在工控安全問題,防止安全威脅對工控系統(tǒng)和運(yùn)行造成損害。其應(yīng)用場景如下:
工控網(wǎng)絡(luò)入侵檢測:具備入侵行為特征庫,可對工控網(wǎng)絡(luò)通訊中的協(xié)議、應(yīng)用、通訊行為提供深入準(zhǔn)確的分析、檢測及安全診斷,能夠及時捕獲網(wǎng)絡(luò)異常行為,發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并分析潛在安全威脅,如:DNS隱蔽信道、反彈Shell、普通主機(jī)掃描(源IP相同)、分布式主機(jī)掃描(目的IP相同)、普通端口掃描(源IP相同)、分布式端口掃描(目的IP或端口相同)、暴力破解檢測、源與目的IP暴力破解、惡意代碼檢測等。
工控內(nèi)網(wǎng)安全監(jiān)視:記錄功能碼、數(shù)據(jù)地址、寄存器地址、對象名、屬性、數(shù)據(jù)類型、類型標(biāo)識、傳輸原因、應(yīng)用程序數(shù)據(jù)單元、數(shù)據(jù)塊等工控協(xié)議的主要參數(shù)和特征,通過機(jī)器學(xué)習(xí)技術(shù)分析并學(xué)習(xí)通信正常模式,及時發(fā)現(xiàn)異常流量和攻擊行為。
工控合規(guī)性檢測:對協(xié)議通訊內(nèi)容進(jìn)行鑒別與合規(guī)性檢查,及時發(fā)現(xiàn)違規(guī)使用行為并進(jìn)行告警展示,如:危險指令、數(shù)據(jù)夾帶、弱口令、外部訪問、橫向訪問、內(nèi)部主機(jī)外聯(lián)、風(fēng)險端口訪問等。
工控網(wǎng)絡(luò)全流量審計:系統(tǒng)提供實(shí)時分析功能,并能長時間保存全流量數(shù)據(jù),以支持審計和追溯。此外,系統(tǒng)會永久保存關(guān)鍵取證數(shù)據(jù)的數(shù)據(jù)包和統(tǒng)計信息,例如協(xié)議流量分布、總流量、最大速率、平均速率以及最大載荷等。
工業(yè)設(shè)備安全數(shù)字指紋:通過AI模型自動采集分析,建立工業(yè)設(shè)備的安全數(shù)字指紋,及時預(yù)警安全隱患。
05 網(wǎng)絡(luò)運(yùn)行效率和安全性雙重提升
多網(wǎng)DPI引擎
DPI引擎(深度數(shù)據(jù)包檢測)能夠深度解析網(wǎng)絡(luò)流量,實(shí)現(xiàn)對不同類型數(shù)據(jù)流和應(yīng)用程序的精細(xì)管理和控制,繼而提升網(wǎng)絡(luò)運(yùn)行效率和安全性。在當(dāng)前網(wǎng)絡(luò)威脅與需求日益增加的背景下,其應(yīng)用價值和意義愈發(fā)凸顯。
本產(chǎn)品將DPI應(yīng)用在多個領(lǐng)域,包括信息網(wǎng)、工控網(wǎng)、涉密網(wǎng)、視頻網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、移動網(wǎng)等。
多網(wǎng)協(xié)議DPI
06 安全專家的利器
網(wǎng)絡(luò)安全知識圖譜
基于ATT&CK圖譜的網(wǎng)絡(luò)攻擊鏈生成技術(shù)可以提供一種標(biāo)準(zhǔn)化方法描述并分析網(wǎng)絡(luò)攻擊,幫助安全專家更好地理解和應(yīng)對各種高級威脅,主要涉及以下幾個方面:
1.技術(shù)標(biāo)注:原始數(shù)據(jù)納入攻擊鏈生成系統(tǒng)的首要任務(wù)就是技術(shù)標(biāo)注,遵循ATT&CK技術(shù)標(biāo)準(zhǔn)并根據(jù)原始數(shù)據(jù)特性,技術(shù)標(biāo)注可分為三種類型:Suricata技術(shù)標(biāo)注、Sigma技術(shù)標(biāo)注以及規(guī)則關(guān)系抽取技術(shù)標(biāo)注。
技術(shù)標(biāo)注示意圖
2.攻擊鏈建模編輯器:在瀏覽器中運(yùn)行,幾分鐘內(nèi)便可完成攻擊流程的創(chuàng)建。該編輯器提供了一個工作空間,用戶可以輸入攻擊行動及其他背景信息,通過繪制箭頭,用戶可將這些信息編織成一個攻擊流程,明確展示事件或活動中觀察到的攻擊技術(shù)執(zhí)行順序。
攻擊流程圖
3.攻擊鏈生成引擎:攻擊鏈生成引擎采用流處理技術(shù),支持高吞吐量、低延遲的大規(guī)模數(shù)據(jù)處理。
攻擊鏈生成引擎流程圖
4.預(yù)測攻擊鏈:通過使用已訓(xùn)練的模型,預(yù)測潛在攻擊鏈路,包括攻擊手段、攻擊流程以及攻擊目標(biāo)等信息。根據(jù)這些預(yù)測結(jié)果,用戶可采取相應(yīng)安全防御措施進(jìn)行應(yīng)對。
ATT&CK攻擊矩陣
07全方位保障隱私聚集地
網(wǎng)絡(luò)空間安全分析(CSA)
萬物互聯(lián)背景下,網(wǎng)絡(luò)空間安全越來越受到組織、公司乃至國家的高度重視,它不僅關(guān)系著國家安全和社會經(jīng)濟(jì)穩(wěn)定,同時也與我們?nèi)粘I蠲芮邢嚓P(guān)。比如我們時時刻刻都在使用的手機(jī)、電腦,是我們個人隱私的另一聚集地,也是網(wǎng)絡(luò)空間的載體。
長揚(yáng)態(tài)感網(wǎng)絡(luò)空間安全分析功能以資產(chǎn)為核心,從區(qū)域、聯(lián)通性、病毒、情報、漏洞、基線、溯源、UEBA行為等多個方面進(jìn)行全方位、立體化分析。
資產(chǎn)分析
網(wǎng)絡(luò)安全實(shí)體異常行為分析
溯源分析
聯(lián)通性分析
情報分析
基線分析
08更科學(xué)的安全策略
智能資產(chǎn)管理
通過主動、被動兩種方式進(jìn)行定時和實(shí)時的資產(chǎn)信息采集,建立準(zhǔn)確的資產(chǎn)清單和資產(chǎn)軌跡;再通過建立資產(chǎn)畫像,幫助組織和企業(yè)更好地了解其網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的情況,進(jìn)而制定更科學(xué)的安全策略。
網(wǎng)絡(luò)安全資產(chǎn)畫像包括(1)資產(chǎn)指標(biāo):資產(chǎn)類型、 協(xié)議類型、IP地址、端口、操作系統(tǒng)、安全配置、應(yīng)用程序、漏洞信息、位置信息、 運(yùn)行狀態(tài)等。(2)風(fēng)險評分:通過對資產(chǎn)畫像進(jìn)行評估,建立相應(yīng)的風(fēng)險評分模型,對組織和企業(yè)的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行評估和管理。
資產(chǎn)畫像
09定制化方案高度滿足客戶需求
組件式大屏UI
根據(jù)用戶要求進(jìn)行設(shè)計和定制大屏用戶界面,對使用場景進(jìn)行調(diào)整和優(yōu)化,以滿足特定功能要求和美觀要求。其主要特點(diǎn)和優(yōu)勢如下:
1.功能需求:針對用戶使用場景和需求進(jìn)行設(shè)計和定制。
2.界面設(shè)計:依照用戶審美標(biāo)準(zhǔn)和使用習(xí)慣進(jìn)行設(shè)計和定制。
3.數(shù)據(jù)展示:根據(jù)用戶數(shù)據(jù)及數(shù)據(jù)分析需求,設(shè)計數(shù)據(jù)展示和可視化形式,以便用戶進(jìn)行數(shù)據(jù)分析和決策。
4.可操作性:考慮到用戶交互方式和操作習(xí)慣,確保操作快速性和便利性。
3D大屏
10運(yùn)營效率及精確度大幅提升
安全編排自動化與響應(yīng)
基于SOAR的網(wǎng)絡(luò)安全運(yùn)營能夠助力組織和企業(yè)優(yōu)化網(wǎng)絡(luò)安全事件的管理,提升處理效率和準(zhǔn)確性,降低安全風(fēng)險和損失。通過實(shí)現(xiàn)安全事件智能化處理和響應(yīng),能顯著提高網(wǎng)絡(luò)安全運(yùn)營的效率和精確度。其主要特點(diǎn)和優(yōu)勢如下:
1.自動化響應(yīng):依據(jù)預(yù)設(shè)的安全編排規(guī)則,實(shí)現(xiàn)對安全事件的自動化分類、分析和響應(yīng),以確保安全事件得到快速且準(zhǔn)確地處理。2.集成安全工具:通過可插拔插件,集成各類安全工具和設(shè)備,如防火墻、入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)等,將這些工具嵌入到自動化流程中,實(shí)現(xiàn)全方位安全運(yùn)營。3.安全編排規(guī)則:根據(jù)各類安全策略和需求,配置編排規(guī)則,實(shí)現(xiàn)靈活且高效的安全運(yùn)營。4.事件閉環(huán):實(shí)現(xiàn)安全事件從發(fā)現(xiàn)到處理全程監(jiān)控和管理,確保每一項(xiàng)事件都得到有效處理和響應(yīng)。
智能化安全編排
全場景劇本案件倉庫
智能終端事件閉環(huán)處理
本次揭秘的新一代態(tài)勢感知平臺十大核心技術(shù),不僅充分展示了長揚(yáng)科技突破性的創(chuàng)新和成績,也標(biāo)志著長揚(yáng)科技在該領(lǐng)域達(dá)到了新高度,同時也是一個嶄新的起點(diǎn)。
未來,長揚(yáng)科技將繼續(xù)勇于探索和創(chuàng)新,不斷完善態(tài)勢感知相關(guān)技術(shù)和產(chǎn)品,為客戶提供更加可靠、安全的解決方案。隨著科技不斷發(fā)展和變化,長揚(yáng)科技將始終保持敏銳的洞察力和前瞻性眼光,與時俱進(jìn),秉持創(chuàng)新精神,致力于打造更加安全和穩(wěn)定的網(wǎng)絡(luò)環(huán)境,為客戶和行業(yè)發(fā)展作出更大貢獻(xiàn),為網(wǎng)絡(luò)安全事業(yè)打造更加美好的明天。
評論