内容安全运营是做什么的(关基安全平台|网络安全运营实战报告)
-
-
FRIDAY 这家伙很懒,还没有设置简介...
0 人点赞了该文章 · 48 浏览
某客户单位,十分重视网络安全建设,在网络边界部署了防火墙、入侵检测等安全监测系统,但对于内部网络中的信息资产安全性,一直缺乏有效监测和管理技术手段。移动互联网和各类新兴技术的发展应用,推动了千行百业的数字化转型,安全外沿不断扩大,已经从传统的网络安全,扩大到了数据安全、业务安全、人身安全、资产安全、社会稳定和国家安全。
关基安全平台|网络安全运营实战报告
近年来,我国网络安全政策法规密集出台。2021 年 3 月,“十四五”规划纲要对建设数字中国和打造网络安全强国做出了重要部署,共提及“网络安全” 14 次、“数据安全” 4 次,涉及数字经济、数字生态、国家安全、能源资源安全四大领域。《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律陆续实施,网络安全等级保护制度 2.0 和《关键信息基础设施安全保护条例》等标准办法先后出台。在强有力的政策推动下,网络安全产业快速发展,产业增速全球领先,技术创新、产业发展的良性生态正在加速形成。
同时,随着互联网、云计算、工业互联网、物联网和人工智能技术的不断发展,各行各业的数字化程度不断提升。相应的,全社会网络安全意识和防护水平也在“水涨船高”,网络安全开始向纵深维度发展,价值持续提升。
某客户单位,十分重视网络安全建设,在网络边界部署了防火墙、入侵检测等安全监测系统,但对于内部网络中的信息资产安全性,一直缺乏有效监测和管理技术手段。即是否存在已经被入侵的电脑、是否存在失陷主机。
应客户邀请,同智伟业网络安全技术中心的工程师为客户部署了同智伟业自研的网络安全监测系统“关基安全平台”,旨在为客户提供整个内部网络的安全性评估。
系统于当日中午部署,当天下午客户就发现了内部存在失陷主机。分析过程如下:
1、网络行为安全分析
通过“关基安全平台”的【网络行为安全分析】功能,评估了整个内部网络的安全性,并基于系统的“信任评价体系”,了解网络行为安全等级,找到评级为D和C级的网络行为。
2、发现存在风险计算机
通过筛选发现存在安全风险的计算机为“192.168.1.35”和“192.168.3.116”。根据客户网络划分,“192.168.1.0/24”网段为业务服务器地址段,“192.168.3.0/24”网段为办公电脑地址段。
3、相关网络威胁数据汇集
【网络行为安全分析】提供了所有相关网络威胁数据的汇集。通过查看“192.168.1.35”计算机的安全分析汇总,可以看到该主机主要通过445端口,利用smb协议进行永恒之蓝漏洞的探测,通过查看告警payload信息,帮助安全运维人员判断该告警是否为误报。
4、失陷主机分析
通过查看“192.168.3.116”计算机的安全分析汇总,可以看到该主机频繁连接Lemon_Duck C2,Beapy域名,即黑客的远程命令和控制域名。通过payload信息可以看到远程连接的域名地址“info.zz3r0.com”“ info.ackng.com”。
5、开源威胁情报复查
通过开源威胁情报复查,告警准确。
6、网络攻击溯源
应用了【网络攻击溯源】功能,溯源“192.168.1.35”和“192.168.3.116”是如何被攻陷的。“192.168.1.35”作为攻击源对内网多个主机进行了攻击。
7、网络威胁详情分析
在【网络威胁事件】中筛选攻击源可查看详情。系统提供了详细的安全分析,和知识库联想功能。
总结:
通过“关基安全平台”的【信任评价体系】可以快速、精准定位内部网络中的高危通信行为,通过【网络攻击溯源】分析网络入侵路径,通过【网络威胁事件】审查攻击源的全部威胁行为。整个网络威胁分析过程操作简单,分析过程高效,客户表示网络管理员通过使用“关基安全平台”即可承担网络安全运维的角色。
同智伟业“关基安全平台”分析并记录网络中的正常和异常网络行为,具有“网络流量”+“业务应用日志”双分析引擎,具有五个核心能力,分别是:
1. 用户实体行为分析UEBA:
应用机器学习技术,建立内部用户访问模型,有效检测“业务系统账号被盗用”“内部用户异常系统操作”“服务器异常访问”“数据泄漏/拖库”行为。
2. 网络安全信任评价体系:
全面审查、记录正常流量、异常流量,建立网络通信行为级别的动态评价体系,单机设备即可支持动态分析百万级别网络通信行为。通过网络威胁、违规外联、失陷主机、恶意流量、恶意加密流量、UEBA等多个维度评价网络行为安全等级。
3. 基于信任体系的主动防御:
安全信任体系动态评价网络行为,最大限度避免单一类型告警、误报现象,通过主动防御策略,动态拦截高危网络行为,并在信任等级恢复后自动放行,极大降低安全运维难度,缩短安全处置周期。
4. 人工智能辅助安全检测:
最高80TFLOPs FP32算力,具备对网络扫描、网络爬虫、DDoS、暴力猜解、僵尸网络、终端非法入侵等8类攻击的实时检测能力,具有发明专利的恶意加密流量分析技术,配合密码空间感知功能,支持分析GMSSL和TLS_SSL的加密流量。
5. 扎实的安全分析规则/威胁情报:
支持17类攻击类型,44种攻击方式,2.7W+签名规则,每日更新CnC域名、恶意IP情报,漏洞利用、APT组织武器库签名规则及时更新
在单机与局域网时代,计算机和网络只是数据运算、存储和传输的工具,网络安全风险造成的损失较小。随着互联网时代的到来,传统网络边界被打破,安全问题日益凸显,影响到企业生产和经营,网络安全逐渐被重视。移动互联网和各类新兴技术的发展应用,推动了千行百业的数字化转型,安全外沿不断扩大,已经从传统的网络安全,扩大到了数据安全、业务安全、人身安全、资产安全、社会稳定和国家安全。随着中国网络安全自主创新能力不断提升,安全产业将呈现百花齐放的格局。网络安全产业将与芯片、人工智能等领域并驾齐驱,成为中国数字化经济转型的核心驱动力。
