山石智·感助中國科學院計算機網絡信息中心建設內網安全態勢感知


價值:

在中國科學院計算機網絡信息中心項目中,山石網科智能內網威脅感知系統(BDS-iSensor)旁路部署在用戶核心交換機上,將核心交換機進出服務器區流量鏡像到山石智·感上,對進出數據中心的流量進行安全檢測。利用高級威脅檢測技術、異常行為分析技術、關聯分析技術、欺騙檢測技術對內網流量進行分析,并通過透視鏡的方式呈現出內網安全態勢,有效保障了信息中心的內網安全。

概要:

傳統的網絡安全解決方案只是將安全防護產品部署在邊界,作為第一道防線固然充當著重要的角色,但這僅限于解決邊界的安全問題,無法檢測出變種的高級威脅和內網中發生的攻擊。隨著黑客技術的提高,現代網絡攻擊的目標逐漸從直接目標轉換成了間接目標,從核心資產服務器轉換成個人主機,通過大量先進的攻擊策略繞開邊界的防護,控制個人主機,以個人主機為跳板迅速感染其他內網主機,從網絡內部攻擊核心資產服務器,達到破壞核心業務或竊取機密性數據的最終目的。

需求分析:

目前中國科學院計算機網絡信息中心已在互聯網出口部署了防火墻及入侵防御設備,對進出信息中心的出口流量進行實時防護。但不同業務區之間是通過防火墻實現隔離,防火墻處于高位部署,許多未經防火墻的內部互訪流量得不到保護??蛻粢笤诔浞直U线吔绨踩耐瑫r,對內網中存在的風險實施態勢感知。具體需求如下:

  • 感知內部主機/服務器健康狀態:由于信息中心內網主機及服務器數量龐大,一旦黑客繞過邊界的防護侵入內網,利用失陷主機進一步破壞核心業務或竊取數據,后果將不堪設想。因此需要對內網中存在風險的主機進行精準定位,以采取相應的安全防護措施。
  • 監控內網互訪流量:信息中心內部網絡結構復雜、主機與服務器間互訪流量不可見,現急需一款產品可以提供網絡安全持續監控能力,及時發現各種攻擊威脅與異常,建立威脅可視化及分析能力,對威脅的影響范圍、攻擊路徑、目的、手段進行快速判斷,全面掌握攻擊者的目的和手段。達到對整個內網的態勢感知,最終根據檢測情報發現內網中存在的隱患,并實行阻斷。

解決方案:

鑒于當前內網中存在的安全問題,建議使用山石網科智能內網威脅感知系統BDS- iSensor,彌補傳統邊界網絡安全建設的漏洞,形成邊界 + 內網的整體網絡安全解決方案,發現已知及未知網絡攻擊及網絡行為異常,保護數據中心的核心資產服務器,定位失陷主機及跳板主機,防止重要性、機密性、敏感性數據發生泄露。

本次方案將山石智·感旁路部署在用戶核心交換機上,將核心交換機進出服務器區流量鏡像到山石智·感上,對進出數據中心的流量進行安全檢測。

山石智·感基于高級威脅檢測和異常行為分析兩大功能,結合高度可確認性失陷指標IOC,有效感知內網中的已知及未知威脅、定位失陷主機、發現服務器業務風險。利用反攻擊手段(蜜罐技術)欺騙和檢測黑客的目的,并基于攻擊鏈還原攻擊細節。通過透視鏡的方式進行內網態勢的深度分析,最終管理員可確認高風險威脅事件,通過與山石防火墻聯動來阻斷網絡中失陷的主機及存在的隱患。

運行效果:

山石智·感上線檢測一個月時間內,通過異常行為分析技術檢測到某服務器會話異常(比平時高出數倍,遠超其他主機),在iCenter界面中通過攻擊鏈的展示,逐步反查分析找到了初始的攻擊源為內網的一臺失陷主機,同時管理員在透視鏡視圖發現內網中還有多臺主機與此服務器有過異常訪問,最終判定是失陷主機向內網發起了擴散,管理員對威脅事件進行了確認,聯動山石邊界防火墻將失陷主機加入黑名單中實行阻斷,從而防止攻擊進一步擴散??蛻魧Ξa品的透視鏡視圖和攻擊鏈展示效果表示了認可,同時也表示,智能的未知威脅檢測能力與防火墻配合,能更有力的保障網絡安全。

相關產品

?智能內網威脅感知系統BDS
(山石智·感)

山石智感(BDS),聚焦流量實時監測,采用智能安全檢測技術,發現已知及未知網絡威脅,致力于核心業務安全,精準定位風險服務器和風險主機。構建可視化、可管理、可信任的完全網絡。