和讯网:深度体验慧眼云 探秘国内失陷主机检测系统
发表日期:2015-09-08 15:24:44
近年来,网络安全事件频频爆发,因为网络安全事件导致的损失不计其数,更有因为网络安全事故引发的高层离职事件,而因此导致公司濒临倒闭的情况也是屡见不鲜。我们不难发现,“网络安全”从来没有像今天这样备受关注,也从未像现在这样给全社会带来了严重的影响。
究其根源其实并不难理解,随着云计算云计算、大数据、移动互联网这些新的应用和技术的普及,网络已经成为每个人不可或缺的一部分,而“数据”则成了抢手货。然而在面对技术飞速发展的今天,传统安全产品显然有些力不从心,终端杀毒、防火墙、IPS、Web 安全这些基于已知特征和预设规则展开工作的防护手段已经无法应对未知威胁、内部威胁。
为此,网康这个安全业内的老兵转变了作战思维,化被动为主动,化防御为对抗,提出了下一代网络安全架构。该架构的核心思想,是通过预测发现潜在威胁,并进行持续主动的检测核实网络是否已被入侵,对于确认的入侵行为进行还原回溯,最后进行防御。
而网康慧眼云作为下一代网络威胁感知系统,可以对已知威胁和未知威胁进行全面检测,也是目前国内首个失陷主机检测系统。接下来,让我们一起揭开慧眼云神秘的面纱。
首先是登录界面,慧眼云的登录界面非常简洁,蓝色的背景让人眼前一亮。左侧部分则滚动展现了该系统的几个重点部分,即“失陷主机”“情境分析”“威胁情报”“日志搜索”。
登录后,我们便进入了慧眼云的管理控制台,这部分的应用则将该系统的全部功能展现,使用者可以按照自己的需要开始工作。
安全无小事,当你想知道目前的安全大环境是怎么样的,以及预测可能要发生的攻击情况,这里将给你想要的一切。
慧眼云的威胁情报系统分为两部分:情报地图和情报检测。
通过慧眼云威胁情报地图可以实时查看最新的网络攻击情况,包括攻击时间、攻击源国家,被攻击国家和攻击类型等等,帮助客户感知威胁态势。以下是情报检测部分,主要基于威胁情报的对撞,查看当前用户网络中指定时间内的威胁情况,包括威胁的种类、威胁源国家、趋势图等,从而帮助客户了解未知的历史攻击,提升安全意识和防御能力。
慧眼云的“失陷主机”功能是目前国内首个失陷主机检测系统。其主要通过一张二维图形进行全局的分布展示,基于“确定性指数”和“威胁性指数”两个维度划定不同的风险级别区别,从而给出不同主机的风险级别。
横轴为“确定性指数”, 纵轴为“威胁性指数”,当鼠标点击威胁点,也可看到收到攻击的IP地址及确定性指数和确定性指数
慧眼云基于这两个维度,将失陷主机大概划分为三个区域:低度风险区域、中度风险区域、高度风险区域。当主机分布在中度风险区域时,处于预警状态,提醒客户需要重点对这部分主机进一步跟踪分析。当主机分布在高度风险区域时,说明需要立刻采取措施,否则有可能产生不可估量的损失。
此外,慧眼云可以钻取每一台主机的失陷分析过程,通过威胁活动的几个阶段(遭受入侵、收到控制、发起内部攻击、发起恶意行为),分析出当前主机的确定性指数和威胁性指数,并可以看到指定时间内该主机失陷情况的走势图,从而判断出失陷主机的活跃程度和风险级别。
慧眼云通过时间维度看到指定主机整个威胁活动的分布图,可以帮助客户对失陷的情况有个直观的认识,而攻击过程的还原可以帮助客户找到失陷的源头,分析出已经产生的危害,为安全评估提供可视化的支撑。
慧眼云情境分析,可以基于客户的业务场景,通过对网络行为的大数据分析,能够自适应的建模出客户当前业务下的安全威胁模型,从而更有针对性的发现网络中存在的异常,提高安全等级。统计结果主要为: 渗透攻击的IP排行、被渗透攻击的事件排行、间谍软件行为的IP排行、间谍软件行为的事件排行、访问恶意URL的IP排行、访问URL的事件排行、下载病毒木马的IP排行、下载病毒木马的事件排行等.
在关联分析中,我们可以看到基于主机类型、连接方向、源地址,目的地址等属性作情境关联分析。例如,某遭到渗透攻击IP的攻击源(IP地址、所属地域)、攻击方式、应用载体;又如,下载某病毒的源IP地址、目的IP地址、应用载体等。
慧眼云的日志搜索提供大数据搜索服务,帮助安全人员进行快速的事件定位和回溯。更重要的是,这里实现了对用户所有接入慧眼云安全设备的日志的集中管理和关联分析,有效的解决了单机设备所面临的信息孤岛问题。管理者可以通过全局日志分析更有效的了解整个网络的全局安全态势。
慧眼云安全报告主要基于资产安全、威胁分析、应用分析、病毒与恶意URL分析等维度分析,定时定期的将分析好的报告发送到安全分析员手中,帮助安全分析员实时全面了解网络中可能存在的安全问题,及时采取措施。
同时,基于日、周、月、年的报告可以看到整个网络安全趋势,帮助管理者对未来的安全走势进行把握,提前进行安全布局,提升安全能力。以上就是慧眼云平台的全部功能,由于涉及到用户隐私,记者特意隐去了IP地址等关键信息。据悉慧眼云还可与网康的安全网关设备(如下一代防火墙 NGFW)进行联动,通过安全服务等方式将分析检测后的结果下发到网关设备,从而构建从发现到阻断的整体防御体系,进行多级协同防御,彻底提升网络安全防护能力。