攻击面可视化技术如何解决传统网络防御的被动处境?
防御者又该如何做到全时、全网、全面?
当前,众多组织机构都必须针对——由其网络中成千上万个潜在的可利用攻击向量组成的——网络攻击面进行防御。随着新应用和技术的不断推出、新漏洞的不断发现,攻击面的规模和复杂性也在不断扩大。
在这样的情况下,攻击者具有压倒性的优势,他们可以在任一时间、任一地点、利用任一漏洞发动攻击,而防御者必须做到全时、全网、全面。如何实现网络攻击面的监测、评估与收敛是防御者亟需解决的问题。
以攻击面可视化技术为基础的网络攻击面可视化平台采用 Gartner 提出的自适应安全架构,将安全基础架构建模与脆弱性评估技术相结合,计算给定网络系统的安全拓扑,实现资产、网络拓扑、安全访问控制、漏洞与威胁等要素的关联分析。
平台能够对给定网络系统脆弱性的暴露程度进行评估,进而对其安全状态做出客观评价,并运用数据可视化技术对攻击面状态进行实时监控与分类指标呈现,实现:
安全路径与资产安全状态关联,安全拓扑端到端可视化;
重要资产与脆弱性定位,攻击面收敛与防御体系优化;
脆弱性关联网络暴露面,漏洞优先级精确评估;
网络异常与攻击事件定位,事件路径分析与溯源。
通过提高网络自身免疫力,增强对内部、外部威胁的防御能力,将企业对各种威胁的被动防御上升为主动部署,打造全面清晰的网络安全防御体系作战地图。攻击面可视化技术能够有效解决传统防御的被动处境,为防御体系增加强大的实时监控和响应能力,帮助企业和机构有效预测风险,精准感知威胁。
平台分为数据采集、数据处理和数据应用三个层级。数据采集层分别通过SSH、Telnet、TCP等协议以模拟登陆、分光镜像及Agent的方式采集设备配置、网络流量、敏感信息、服务器日志等数据。这些数据存储到数据处理层的分布式文件系统和分布式列存储数据库中,以数据建模、机器学习、网格计算、关联分析等方法进行数据的融合分析计算。其结果为数据应用层提供数据支撑,通过监控大屏、Web门户两种方式提供攻击面分析与控制、攻击面态势监控服务。同时提供第三方接口,支持与其他安全管理产品进行功能结合。
平台从六个维度的可视化出发,对它们进行智能关联和综合分析,全面提升安全防御能力,为用户的核心业务安全保驾护航。
1、网络安全策略可视化
针对防火墙、路由器、交换机等网络节点设备的安全访问控制策略进行优化、检查、分析,梳理出空策略、过期策略、隐藏策略、冗余策略、宽松策略、可合并策略六种可优化策略,协助运维人员对其进行精简和优化。收缩网络访问权限,降低网络安全风险。
其中,隐藏策略即一条范围较宽的允许策略将后续配置的一条禁止策略隐藏,这意味着需要关闭的一条通道未关闭,那这条通道就有可能被攻击者利用。宽松策略意味着开放的网络端口或允许的网络对象范围大,极有可能开放了一些不必要的网络权限,被攻击者利用的可能性增大。平台可对隐藏策略和宽松策略做到有效筛查,从而规避由其引发的网络风险。
2、安全基础架构可视化
实现防火墙、路由器、交换机等设备配置信息的自动提取与解析,解析内容包括对安全访问路径产生影响的路由信息、访问控制、NAT策略。运用可视化技术生成网络安全拓扑,体现安全域划分及安全域内业务系统、网络、安全设备节点、网络逻辑的连接关系和安全访问关系,从而实现全网安全基础架构的可视化展示。
通过基础架构的可视化展示,管理者可以清晰看到核心业务资产在网络中的分布、业务系统与网络对象之间的逻辑连接与访问控制关系,在此基础上看清当前安全域的划分与安全控制设置是否合理;在发生安全事件时,还可以为事件处置提供决策依据。如当某一区域某一主机中毒时,可以从网络拓扑上分析如何对这个主机进行隔离,防止病毒近一步蔓延,为病毒查杀工作争取时间。
3、网络暴露面可视化
支持以某一业务或服务器为目的,进行安全访问关系的查询,直观展现网络中哪些源对象可以通过什么端口、协议访问目的。反之,支持以某一安全域、网段、主机等为源,展示此源对象能够通过什么端口、协议访问网络中的哪些对象。
基于以上功能,可以发现网络安全控制存在的风险,全面掌握重要信息系统与核心关键数据的安全性和风险点。比如,以某一重要业务主机为目的进行查询,网络中哪些对象能够通过高危端口访问此主机,由此发现网络中的危险访问通道。再如,基于某一终端域为源进行查询,此终端可以通过哪些端口访问网络对象,由此分析病毒在网络中的传播路径。
结合业务流程、应用架构、数据架构等网络现状,在安全基础架构图层上查询与展示安全路径,实现从源到目的多条网络路径的可视化。当通过暴露面分析功能发现网络对象间存在含风险的访问关系后,可通过此功能进一步查询具体路径细节,为网络路径风险处置提供依据。
通过业务访问关系的梳理,设定安全域间、业务间、用户与业务间的网络安全访问控制策略矩阵,并对基线矩阵进行持续监控,当发生安全访问关系的非法、非授权修改时,相关区域闪红告警,提示运维人员及时处置。
4、重要主机资产可视化
帮助用户从安全角度自动构建细粒度资产信息库,支持对业务层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供 10 余类主机关键资产清点,200 余类业务应用自动识别,并拥有良好的扩展能力。
自动化构建资产信息,资产清晰可见
可在 15 秒内,不打扰正常运行的情况下,自动构建主机业务资产结构,集中统一管理。随时发现网络环境内没有纳入安全保护的主机,确保安全覆盖无死角。对高价值、高敏感业务资产进行针对性建模,与风险发现、入侵检测功能配合提供保护。
资产变化实时通知,安全不再落后于业务
平台对资产持续监控,保证监控数据与实际业务数据的一致。对一些需要特殊关注的敏感资产,发生变化可实时或定时通知,实现资产动态保护。
灵活的检索方式,快速定位关键
结合通用安全检查规范与安全事件的数据需求,形成细粒度资产清点体系。利用多维度视图,引导用户轻松获得需要的资产信息;借助多角度搜索工具,帮助用户快速定位关键资产信息。
5、脆弱性风险可视化
帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险,并提供详细的资产信息、风险信息以供分析和响应。
提高攻击门槛,有效缩减 90% 攻击面
在资产细粒度清点的基础上,持续、全面地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议,用户可及时处置重要风险,从而大大提高系统的攻击门槛。
企业风险可视化,安全价值清晰可衡量
持续监测所有主机的安全状况,图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析,使安全状况的改进清晰可衡量;为安全运维人员实时展示风险分析结果、风险处理进度,提供专业可视化的风险分析报告,使运维工作价值得到可视化呈现。
持续性监控分析,及时发现最重要的风险
主动、持续地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等,并结合资产的重要程度,准确定位最紧急的风险,帮助企业快速有效解决潜在威胁。另外,不断增加最新漏洞的检测能力,实现紧急安全事件快速响应。
6、网络入侵可视化
提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段。
多锚点的检测能力,实时发现失陷主机
通过多维度的感知能力叠加,对攻击路径的每个节点都进行监控,并提供跨平台多系统的支持能力,保证能够实时发现失陷主机,对入侵行为进行告警。
不依赖对漏洞和黑客工具的了解,有效发现未知黑客攻击
结合专家经验,威胁情报、大数据、机器学习等多种分析方法,通过对用户主机环境的实时监控和深度了解,有效发现包括“0day”在内的各种未知黑客攻击。
对业务系统“零”影响
Agent 以其轻量高效的特性,在保证对用户主机安全监控的前提下,不对其业务系统产生影响,为用户的主机安全提供高效可靠的保护。
结合资产信息,为响应提供最准确的一线信息
在独有的资产管理能力支持下,不只能发现入侵,更能够提供深入详细的入侵分析和响应手段,从而让用户精准有效地解决问题。