微步在线发布Web攻击感知平台TDPS 2.0,情报赋能生

图片 1

摘要: 本文从“洞察”、“洞悉”、“洞彻”三个方面,对云盾态势感知的安全分析能力、应用管理能力以及威胁发展趋势预测能力进行了评估与分析。

2019年2月,微步在线正式宣布,旗下产品Web攻击感知平台Threat Detection Platform for Server推出2.0版本。经过数年的迭代升级,TDPS已经具有准确预警、溯源分析、资产梳理等多项成熟能力,实现攻击行为准确感知、攻击过程完整追溯、攻击成功精准告警、企业实际暴露资产梳理等典型安全需求,目前已有金融、能源、互联网、政务云等行业客户。用好威胁情报,化繁为简、聚焦真正威胁

 

“网络中只有两种企业,一种知道自己被黑了,另一种不知道。”这已经成为企业安全人员的共识,要有效应对网络威胁,首先要承认敌在暗我在明,想对企业发起攻击的攻击者们不计其数。既然无法防止攻击的发生,就只能在攻击发生后尽快察觉并阻断。

如今网络安全的“投入”前提,往往是触觉。在安全事件发生之后,“痛感”成了激发安全防护意识的基础。而看见威胁的“视觉”能力往往被人忽视。

真实的攻击是综合攻击手法的叠加,横跨各个应用层面,但80%是来自于Web层面的。解决这80%来自Web的攻击,将会解决企业日常安全运营中主要的威胁。而就威胁情报的角度来看,威胁情报在IP和攻击情报能力上的边界,又将在很大程度上影响攻击感知能力的边界。这是Web攻击感知平台的立足点。Web攻击感知平台以情报驱动,以攻击感知为核心,企业安全人员只需要投入精力去关注首页的两个指标:攻击成功、针对性攻击。

笔者认为,基于“触觉”的安全投资时代即将过去,例如这次WCry事件让全世界意识到,在勒索软件面前,事后修补的效果微乎其微,只有全面的安全治理,是未来的企业安全方向。

攻击成功是指给主机、网络和业务造成实质性的损害,或已经控制或拿到数据。而针对性攻击指标意味着这些攻击者并不是在广撒网,而是瞄准了这家公司,即使对方没有攻击成功,安全人员也需要关注对方的活动和行为。一旦攻击成功威胁性可能更高。

企业安全的“视觉”时代,企业更应把看见威胁/提前预防/全面治理,作为新的原则。其中,全方位/全天候的态势感知系统,将成为企业安全的大脑,帮助企业洞察/洞悉/洞彻威胁。

微步在线将攻击成功和针对性攻击作为核心指标,能大大减轻数据噪声,从而为企业安全人员节省工作时间。如果安全产品以告警为核心,那么安全人员将被每日数万乃至数十万的告警淹没,不得不在大量的误报中寻找真正有威胁的告警,而安全人员每日能够处理的威胁大概在3-5起左右。Web攻击感知平台不仅能让安全人员只关注真实存在风险的告警,还能够智能聚合攻击源,将多个告警汇总成为一次攻击事件,从而将该次攻击事件的时间线梳理出来,并将相关日志都提取出来呈现给安全人员。梳理客户资产,给客户安全感

 

微步在线的核心创始团队基本来自于企业安全团队,因此Web攻击感知平台在设计阶段就致力于为客户提供知己知彼的能力。

全知即安全:视觉时代的新防护理念

“态势感知”这个名词,最早是在军事领域出现的。在两次海湾战争中,美军依靠绝对的信息技术优势,对伊军行动了如指掌。采用精确打击的方式,对伊军事目标精准的进行摧毁。如今在太空研究,核反应控制、国际关系等领域,都有态势感知的身影。

知己知彼,百战百胜。无论是军方/企业还是机构,对敌方情报存在越多的盲区,就越难合理配比资源、主动出击。而作为一个帮助企业“看见”风险的大脑,笔者认为态势感知的核心能力在于其大数据分析能力和云上威胁情报共享。据了解,态势感知每年帮助阿里云用户进行87万次的安全漏洞修补,平均每天协助用户修补安全漏洞的数量接近2400次。云盾态势感知的威胁库更在以平均每天2万次更新数量在飞速增长。

下面我们从“洞察”、“洞悉”、“洞彻”三个方面,对云盾态势感知的安全分析能力、应用管理能力以及威胁发展趋势预测能力进行了评估与分析。

 

能够妥善处理攻击,靠的是威胁情报的一双“慧眼”,分辨出来者是黑是白,这正是“知彼”,而当企业无法探知网络世界中来自外部的威胁时,企业还可以将自身潜在的风险点梳理清楚,从风险点来反推自己可能会遭到哪些攻击,这是“知己”。

洞察——态势感知安全分析能力解析

企业如果可以对自身的安全况态实时进行洞察、对网络威胁动态清晰掌握,自然可以查敌先机,先于对手做好防御工作,甚至主动出击将黑客擒拿归案,使其接受法律的制裁。那么如何可以对自身应用做到洞察秋毫呢,下面我们从态势感知的“感胁”、“弱点”、以及“紧急事件”几个部分,来具体做分析:

威胁分析

从海量的正常应用中识别网络威胁是安全分析平台很重要的能力。

图片 2

态势感知的威胁分析功能可以对Web攻击、密码爆破、撞库、扫描器等网络威胁和异常登录、非常用IP连接、批量账号登录等异常网络行为进行统计。当态势感知对此类攻击查觉之后,会向用户提供出有针对性的解决方案,便于用户及时对威胁进行处理。

图片 3

在威胁分析中,不但可以对常见的普通攻击进行统计,还可以将只针对于某特点用户或业务的攻击进行记录。和撒大网一样的普通攻击相比,针对性攻击往往意味着黑客已经对企业数据进行了“重点关注”。

图片 4

在这方面,威胁分析可以将黑客最感兴趣的资产IP统计出来,以便于用户更加具有针对性的去进行防护。当黑客的攻击行为,不在隐匿在黑暗之中,可以被用户极时的时行感知,并有针对性的进行处理,黑客对企业的威胁必然也将随之下降。

 图片 5

图片 6

威胁分析不但可以有效的将用户从海量日志分析中解放出来,直观的对攻击者的IP、攻击时间、次数、频率以及攻击方式进行记录,协助用户对攻击者进行溯源,以便从根源上解决问题之外,更重要的是,这些模型全部运行在云盾的实时检测引擎中,以前做这样的分析,需要写大段脚本并用离线的方式做大量计算,现在云盾的实时引擎可在5分钟内对黑客历史的数据进行遍历,以最快的方式分析出最新的网络威胁,真正的为用户提供了一双可以及时对威胁进行洞察的双眼。

弱点检测

企业信息系统中难免会存在一些旧有,或新出现的系统漏洞。这些弱点问题如果不能及时处理,也会对系统安全造成威胁。态势感知的弱点检测功能,可以有效的弥补这一短板。

弱点功能,不光覆盖了常见的SQL注入,XSS等awasp定义的各类漏洞,还能对互联网最新曝光的漏洞进行快速扫描外。在漏洞的发现上,做到快速和准确。

此外,弱点检测功能可以通过对资产的依赖关系,通过针对漏洞的攻击识别和攻击效果(例如有没有攻击成功、WAF是否防御、漏洞是否能直达核心服务器、是否能拖走数据库等),对当前漏洞的风险进行动态评估,并对补丁的下发,补丁是否需要重启服务器等信息做补全,方便客户做应急响应和业务决策。

比如前些天爆发的全球性勒索软件事件主因是这个漏洞: “MS17-010 远程命令执行漏洞”。用户可前往《云盾》-《态势感知》-《弱点》查看是否存受影响:

图片 7

当监测到漏洞出现之后,态势感知会及时向用户告警,并提供相应解决方案,协助用户及时将漏洞进行弥补。

图片 8

紧急事件

紧急事件就是客户最需要紧急处理的事件!不处理就会产生资损或业务中断。

态势感知的紧急事件功能,可以针对页面篡改、肉鸡行业、暴力破解成功、后门、DDoS、非法登陆、异常网络连接等多种网络威胁行为进行感知,并及时向用户进行告警。并可对受影响资产信息以及威胁事件进行详细描述,以便于用户有针对性的去解决问题。

紧急事件中,大部分告警都来自于网络,主机,应用,三种不同维度的大数据分析的结果。这里面的核心能力是在于,这三种数据的数据结构完全不同,属于异构数据,态势感知的紧急事件功能,利用云计算的大数据处理能力,能够在几分钟内快速的处理上TB的数量量,并能对各维度的威胁和异常点进行关联,最后产出能引起资损的紧急事件。

图片 9

当用户接到紧急事件告警后,可以通过查看报告了解威胁的具体情况,并且可以根据态势感知提供的解决方案,对事件妥善进行处理。

本文由优信彩票购彩大厅发布于互联网资讯,转载请注明出处:微步在线发布Web攻击感知平台TDPS 2.0,情报赋能生

您可能还会对下面的文章感兴趣: