近年來,大陸網絡安全政策法規密集出台。2021 年 3 月,“十四五”規劃綱要對建設數字中國和打造網絡安全強國做出了重要部署,共提及“網絡安全” 14 次、“資料安全” 4 次,涉及數字經濟、數字生态、國家安全、能源資源安全四大領域。《網絡安全法》《密碼法》《資料安全法》《個人資訊保護法》等法律陸續實施,網絡安全等級保護制度 2.0 和《關鍵資訊基礎設施安全保護條例》等标準辦法先後出台。在強有力的政策推動下,網絡安全産業快速發展,産業增速全球領先,技術創新、産業發展的良性生态正在加速形成。
同時,随着網際網路、雲計算、工業網際網路、物聯網和人工智能技術的不斷發展,各行各業的數字化程度不斷提升。相應的,全社會網絡安全意識和防護水準也在“水漲船高”,網絡安全開始向縱深次元發展,價值持續提升。
某客戶機關,十分重視網絡安全建設,在網絡邊界部署了防火牆、入侵檢測等安全監測系統,但對于内部網絡中的資訊資産安全性,一直缺乏有效監測和管理技術手段。即是否存在已經被入侵的電腦、是否存在失陷主機。
應客戶邀請,同智偉業網絡安全技術中心的工程師為客戶部署了同智偉業自研的網絡安全監測系統“關基安全平台”,旨在為客戶提供整個内部網絡的安全性評估。
系統于當日中午部署,當天下午客戶就發現了内部存在失陷主機。分析過程如下:
1、網絡行為安全分析
通過“關基安全平台”的【網絡行為安全分析】功能,評估了整個内部網絡的安全性,并基于系統的“信任評價體系”,了解網絡行為安全等級,找到評級為D和C級的網絡行為。
2、發現存在風險計算機
通過篩選發現存在安全風險的計算機為“192.168.1.35”和“192.168.3.116”。根據客戶網絡劃分,“192.168.1.0/24”網段為業務伺服器位址段,“192.168.3.0/24”網段為辦公電腦位址段。
3、相關網絡威脅資料彙集
【網絡行為安全分析】提供了所有相關網絡威脅資料的彙集。通過檢視“192.168.1.35”計算機的安全分析彙總,可以看到該主機主要通過445端口,利用smb協定進行永恒之藍漏洞的探測,通過檢視告警payload資訊,幫助安全運維人員判斷該告警是否為誤報。
4、失陷主機分析
通過檢視“192.168.3.116”計算機的安全分析彙總,可以看到該主機頻繁連接配接Lemon_Duck C2,Beapy域名,即黑客的遠端指令和控制域名。通過payload資訊可以看到遠端連接配接的域名位址“info.zz3r0.com”“ info.ackng.com”。
5、開源威脅情報複查
通過開源威脅情報複查,告警準确。
6、網絡攻擊溯源
應用了【網絡攻擊溯源】功能,溯源“192.168.1.35”和“192.168.3.116”是如何被攻陷的。“192.168.1.35”作為攻擊源對内網多個主機進行了攻擊。
7、網絡威脅詳情分析
在【網絡威脅事件】中篩選攻擊源可檢視詳情。系統提供了詳細的安全分析,和知識庫聯想功能。
總結:
通過“關基安全平台”的【信任評價體系】可以快速、精準定位内部網絡中的高危通信行為,通過【網絡攻擊溯源】分析網絡入侵路徑,通過【網絡威脅事件】審查攻擊源的全部威脅行為。整個網絡威脅分析過程操作簡單,分析過程高效,客戶表示網絡管理者通過使用“關基安全平台”即可承擔網絡安全運維的角色。
同智偉業“關基安全平台”分析并記錄網絡中的正常和異常網絡行為,具有“網絡流量”+“業務應用日志”雙分析引擎,具有五個核心能力,分别是:
1. 使用者實體行為分析UEBA:
應用機器學習技術,建立内部使用者通路模型,有效檢測“業務系統賬号被盜用”“内部使用者異常系統操作”“伺服器異常通路”“資料洩漏/拖庫”行為。
2. 網絡安全信任評價體系:
全面審查、記錄正常流量、異常流量,建立網絡通信行為級别的動态評價體系,單機裝置即可支援動态分析百萬級别網絡通信行為。通過網絡威脅、違規外聯、失陷主機、惡意流量、惡意加密流量、UEBA等多個次元評價網絡行為安全等級。
3. 基于信任體系的主動防禦:
安全信任體系動态評價網絡行為,最大限度避免單一類型告警、誤報現象,通過主動防禦政策,動态攔截高危網絡行為,并在信任等級恢複後自動放行,極大降低安全運維難度,縮短安全處置周期。
4. 人工智能輔助安全檢測:
最高80TFLOPs FP32算力,具備對網絡掃描、網絡爬蟲、DDoS、暴力猜解、僵屍網絡、終端非法入侵等8類攻擊的實時檢測能力,具有發明專利的惡意加密流量分析技術,配合密碼空間感覺功能,支援分析GMSSL和TLS_SSL的加密流量。
5. 紮實的安全分析規則/威脅情報:
支援17類攻擊類型,44種攻擊方式,2.7W+簽名規則,每日更新CnC域名、惡意IP情報,漏洞利用、APT組織武器庫簽名規則及時更新
在單機與區域網路時代,計算機和網絡隻是資料運算、存儲和傳輸的工具,網絡安全風險造成的損失較小。随着網際網路時代的到來,傳統網絡邊界被打破,安全問題日益凸顯,影響到企業生産和經營,網絡安全逐漸被重視。移動網際網路和各類新興技術的發展應用,推動了千行百業的數字化轉型,安全外沿不斷擴大,已經從傳統的網絡安全,擴大到了資料安全、業務安全、人身安全、資産安全、社會穩定和國家安全。随着中國網絡安全自主創新能力不斷提升,安全産業将呈現百花齊放的格局。網絡安全産業将與晶片、人工智能等領域并駕齊驅,成為中國數字化經濟轉型的核心驅動力。