2018年7月安全BU总部SIP产品组内网高级威胁防护场景数据中心探针STA办公区探针STA安全感知平台SIPEDR插件EDR插件EDR插件InternetInternet新型威胁或病毒变种突破防御后,网络内部缺乏有效检测和响应能力;一旦出现安全事件,处置过程复杂,难以高效处置问题;整体网络缺乏有效的可视能力;背景需求多维度智能分析,有效发现高级威胁以全流量分析为基础,结合大数据分析、行为分析、机器学习、UEBA、关联分析等技术,精准识别高级威胁,快速定位失陷主机。综合安全风险可视,深度洞察高级威胁基于业务和攻击链角度,通过业务风险可视、攻击链可视、影响面可视、访问关系可视、综合态势可视、横向威胁可视、业务外连可视、资产与脆弱性可视等帮助客户简化运维、辅助决策。网端协同联动,闭环处置安全风险一旦发生安全事件,可通过平台一键下发安全策略,对主机的恶意程序迅速隔离查杀,同时利用EDR客户端的微隔离功能,封堵主机的攻击行为,全面封锁威胁。解决方案全网安全监测场景绕过防御的潜伏威胁缺乏有效检测手段发生安全问题难以定位,看不到全网安全状况通报预警机制缺失,问题通报困难,效果难以跟踪;背景需求网站实时监测:通过云眼实现网络7*24小时不间断监测,一旦出现问题第一时间内告知,在该风险引起危害之前及时处置,避免通报或带来损失。全网安全态势感知:通过SIP对全网流量、攻击、安全状况进行统一采集分析,结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价,以各个分支机构的视角进行呈现,并给每个分支的安全状况评级,可有效的把握整体安全态势。通报预警与工单处置:结合网站安全监测、全网态势感知、通报预警平台进行网络安全通报,并以工单的形式实时下发,通报方法结合邮件、短信等多种方式,可为总部和下属单位提供实时告警,提升安全响应速度解决方案勒索病毒防护解决场景基于特征的检测机制难以有效应对新型勒索病毒;一旦发生勒索病毒事件,难以快速定位,看清影响面;病毒查杀和隔离处置不彻底,容易导致反复感染发作;背景需求事前防御:通过部署终端检测响应系统能够检测系统漏,主动进行风险分析;通过人工智能SAVE引擎预测入侵攻击;通过安全基线核查主机安全配置。事中监测:通过SIP实时监测内网,快速发现入侵勒索病毒,形成安全事件和安全状态可视化;通过SIP和EDR实时监控文件和网络流量,检测安全事件;通过SIP确认风险并按优先级划分威胁等级。事后响应:针对已中毒主机,通过EDR阻止勒索病毒扩散,一键微隔离,并将告警信息上送SIP;通过SIP联动EDR定点查杀病毒和溯源分析;专业人工威胁的响应服务MDR,修复文件,形成安全威胁闭环管理。解决方案专网安全监测场景专网防护力不足:如信息交换不合规、边界防护不到位、内部访问不设限;缺乏监测措施:监测预警能力弱、审计不到位、缺乏集中管控;高级威胁检测能力弱:病毒库/特征库滞后、缺乏内部横向检测、缺乏智能检测机制等;背景需求加强事前防御和脆弱性检查准确识别全网资产和脆弱性并进行有效管理,边界设备优化访问控制规则,严格限制开放端口,升级各种病毒库和特征库。多维度智能分析,有效发现高级威胁实时监测专网内部流量,通过智能检测算法发现潜伏到专网的高级威胁,通过UEBA检测并发现越权访问、数据外发等风险。集中采集海量日志,多种工具利于时候追溯对接各类第三方设备,并收集日志,结合大数据关联技术,发现异常风险点。一旦发现安全事件,能快速辅助定位和追溯问题。网端协同联动,闭环处置安全风险一旦发生安全事件,可通过平台一键下发安全策略,对主机的恶意程序迅速隔离查杀,同时利用EDR客户端的微隔离功能,封堵主机的攻击行为,全面封锁威胁。解决方案