全面評估:針對于威脅終端進行全面的安全評估,結合終端背景數(shù)據(jù),對于終端的安全漏洞、威脅的攻擊步驟進行分析評估,發(fā)現(xiàn)整個攻擊鏈與終端淪陷的根本原因。
多場景的可視化分析
DNS安全檢測和分析
對終端硬件資產、軟件與操作系統(tǒng)、網(wǎng)絡配置變動的監(jiān)控,還提供終端體檢與系統(tǒng)修復、升級與補丁分發(fā)、流量管理、系統(tǒng)優(yōu)化與加速、企業(yè)級軟件商店等幾十項安全管理功能。可以根據(jù)企業(yè)單位內部要求、行業(yè)管理規(guī)定、終端風險等級下發(fā)統(tǒng)一安全策略,針對不同狀態(tài)的終端執(zhí)行特殊安全策略,實施手術刀似的精準管理。通過細粒度的統(tǒng)計與詳盡的日志報表可以縱觀全網(wǎng)終端的安全態(tài)勢,包括病毒查殺趨勢、高危漏洞修復態(tài)勢、文件風險等級劃分等,對全網(wǎng)終端風險做到量化觀測,高效管理,全面監(jiān)控。采用大數(shù)據(jù)分析技術,持續(xù)收集持續(xù)收集用戶和設備的環(huán)境數(shù)據(jù)、用戶的業(yè)務訪問行為數(shù)據(jù),并進行風險建模和關聯(lián)分析,度量潛在的安全風險。
(1) 身份明確化
隨著攻擊日益縝密和不斷演進,靜態(tài)技術無法與時俱進。阻止網(wǎng)絡攻擊和應對未知威脅需要足夠的情報和精準度。以業(yè)務發(fā)展為基礎,以事件核查為線索,以能力提升為關鍵,以持續(xù)優(yōu)化為根本,跟進業(yè)務發(fā)展并提供細化分工的安全服務并持續(xù)提升。結合終端在網(wǎng)絡中使用環(huán)境不同的特點,以不同的場景進行終端安全建模,實現(xiàn)基于場景特點的安全可視化,滿足不同業(yè)務、不同環(huán)境的安全需求。
終端設備分布廣泛,具有多種使用場景和環(huán)境,并且數(shù)量大,容易造成安全隱患。終端設備的安全程度,對于整體網(wǎng)絡安全至關重要,需要保障不同類型和不同場景的終端設備進入安全合規(guī),并且對終端進行實時的監(jiān)控,及時發(fā)現(xiàn)淪陷設備和高危行為,快響應和處置,提升終端的安全能力。
終端認證與授權控制
(2) 風險度量化
終端按照終端能否部署防病毒軟件、桌面管理系統(tǒng)和EDR等軟件可以進行終端行為數(shù)據(jù)采集的可以分為兩類,部署了防病毒軟件、桌面管理系統(tǒng)和EDR等軟件可以進行全網(wǎng)終端的安全數(shù)據(jù)進行采集和監(jiān)測,實時收集IM文件傳輸信息、驅動信息、操作系統(tǒng)信息、進程信息、DNS訪問審計、IP訪問記錄、U盤使用記錄、軟件安裝信息、郵件日志信息、證書相關信息等。將采集到的終端安全數(shù)據(jù)會匯總到數(shù)據(jù)采集平臺上進行統(tǒng)一的數(shù)據(jù)分析。
(2) 全面的行為和流量檢測能力
身份認證完成后,對準入客戶端將自動對終端進行環(huán)境安全檢查,檢查項包括系統(tǒng)弱密碼、漏洞、共享安全、U盤自啟動、必裝軟件、終端防火墻等10余項評估項。只有各項檢查均通過的終端,才允許進入網(wǎng)絡,防止不合規(guī)終端入網(wǎng),給網(wǎng)絡帶來安全風險。對于環(huán)境安全檢查未通過的終端,準入客戶端將引導其進行修復,修復完成并重新檢查通過后,方可進入網(wǎng)絡。
將分散的終端行為數(shù)據(jù)、 終端防病毒數(shù)據(jù)、業(yè)務訪問行為數(shù)據(jù)、準入審計數(shù)據(jù)、設備資產數(shù)據(jù)、網(wǎng)絡流量解析數(shù)據(jù)和DNS域名檢測數(shù)據(jù)進行統(tǒng)一收集,形成以終端-業(yè)務-行為為中心的行為畫像,以大數(shù)據(jù)分析技術和多維分析技術,進行以威脅視角的關聯(lián)分析,及時得到受害目標、 攻擊者、攻擊手法、漏洞情況、惡意樣本、傳播方式等威脅詳情,針對分析的威脅結果,通過威脅的驗證,判斷威脅真實性和影響面。
(1) 全面的終端接入控制能力
建設任務
終端合規(guī)檢測與監(jiān)控
信息安全問題技術復雜、牽涉極多,往往顯得非常神秘,既不被上級領導理解,也不被自己掌控,安全管理往往像是在黑暗中的摸索。結合線索可視化分析技術,實現(xiàn)安全問題的可視化、安全分析的可視化,直觀呈現(xiàn)全局安全趨勢、變化、對比。通過與防病毒軟件進行聯(lián)動,通過EDR模塊細粒度地采集終端的進程socket事件、進程dns事件、帶附件郵件發(fā)送接收事件、出入文件事件和接收上傳附件事件等日志信息集中上傳到分析平臺,通過全流量威脅分析的威脅情報、大數(shù)據(jù)分析能力和深度檢測技術發(fā)現(xiàn)本地未知威脅的惡意行為。針對該威脅的處理建議和相關威脅情報信息發(fā)送給分析平臺,由安全專員參考該建議通過客戶端、準入網(wǎng)關和防火墻對有危害的終端威脅進行處理。構建對以終端的威脅、終端異常行為、高危行為和入侵攻擊等風險從精確檢測到深度防御的縱深防范閉環(huán)體系。
對于不能部署終端數(shù)據(jù)采集軟件的終端,如攝像頭、打印機、專業(yè)行業(yè)終端、工業(yè)控制終端等,通過準入控制的審計檢測,獲取終端身份仿冒接入、終端網(wǎng)絡端口與服務風險檢查、操作系統(tǒng)風險與弱口令、網(wǎng)絡連接方式、異常流量與行為異常檢測、外聯(lián)情況等信息,實時的提供給分析平臺。
多維度數(shù)據(jù)的智能分析,同時采集本地數(shù)據(jù),結合第三方數(shù)據(jù)與情報,實現(xiàn)云端和本地相結合的各類安全事件監(jiān)測、資源監(jiān)測,獲得多種數(shù)據(jù)來源和精確實時的分析結果。主要提供針對海量數(shù)據(jù)的實時處理能力,數(shù)據(jù)可視化能力,與終端業(yè)務緊密貼合的工作模型。實現(xiàn)安全可看見,可監(jiān)管,可響應。
網(wǎng)絡終端設備種類多,情況復雜,部分設備有完整的操作系統(tǒng),可以采用多種認證方式,部分設備的系統(tǒng)的特殊性,在認證上手段具有局限性。所以在終端設備的認證支持多種認證方式包含:用戶名密碼、數(shù)字證書、Ukey、短信碼、設備唯一識別碼、終端指紋、二維碼、一次性令牌。短息支持短息貓和短信平臺等多種方式。
(4) 終端可視化安全運營能力
