因此嘉韦思认为,合理的防御体系应该是全面防御+整体监测相结合。基于此,今年4月,嘉韦思正式推出一款“以全流量为核心的全面威胁感知平台”— 慧眼全流量威胁分析系统。
嘉韦思慧眼全流量威胁分析系统
集五大核心能力于一体
嘉韦思认为践行等保2.0,实现主动防御、全面审计的目标,离不开监测预警体系的支撑,并且需要解决好“看得全”、“看得见”和“看得方便”的问题。嘉韦思主张“流量是第一现场,里面真实地记录了所有的网络行为”。
慧眼全流量威胁分析系统通过实现全链路、全流量无损网络行为记录,全协议解析、存储,将威胁感知、监测、溯源建立在一个“看得全”的基础之上。
在“看得见”的方面,嘉韦思致力于解决由遗漏的网络资产、未注意到的网络活动、识别不了的未知威胁带来的安全“死角”问题。慧眼全流量威胁分析系统基于全流量感知完成对网络资产的自动梳理、补全;在威胁感知上结合多种威胁检测引擎实现了已知、未知威胁的全面感知,并标记出可疑的网络活动,消除盲区。
慧眼全流量威胁分析系统将原本分散在各个独立的安全设备上的日志和事件转变为依靠全流量汇聚进行统一检测、统一审计、统一分析,将原本割裂的安全视角变为全局的安全视角,省去企业自己收集日志、分析日志、定性事件、溯源取证的过程。
慧眼全流量威胁分析系统集通信感知、威胁感知、威胁响应、资产感知、全面分析于一体:
• 通信感知
实现对监测网络中所有通信行为的捕获,并基于捕获数据包开展协议内容、文件内容、网络会话还原。现涵盖Web类、数据库类、远程控制类、邮件服务类、认证计费类、数据传输类、基础网络类的通信内容还原与审计。
• 威胁感知
基于入侵检测、文件检测、机器学习、威胁情报、流量模型实现对入侵行为、流量攻击、文件威胁、加密流量威胁、黑产挖矿牟利等各类已知、未知威胁的感知。
• 威胁响应
针对已发现的威胁可按策略进行实时或汇总性告警,并记录威胁事件关联的溯源信息和PCAP文件,以供后续溯源取证。
• 资产感知
基于流量自动识别、梳理企业内部网络资产,发现隐形、无主、灰色资产,识别内对外高危服务、风险组件、弱口令,并提供基于资产的网络通信审计、威胁审计、登录审计等,提升资产管理水平。
• 全面分析
针对威胁事件按照Kill Chain模型进行攻击阶段分析,辅助用户判定事件性质和发展阶段,便于有选择地开展威胁处理工作。提供多视角的统计分析,便于掌握网络整体、资产、访问者、攻击者活动及威胁特征。
建设主动监测预警体系
为企业安全建设提供数据和决策支撑
慧眼全流量威胁分析系统的本质是数据的整合,涵盖了数据采集、安全分析、监测预警、追踪溯源的完整流程,可将传统的事后审计变更为事前、事中、事后审计相结合,深入践行等保2.0。产品可应用于如下主动监测预警体系的建设:
(1)构建企业主动监测预警中心
慧眼全流量设备通过旁路部署在企业网络出口交换或内部关键节点交换旁,实现基于全流量的安全运维,完成所有数据集中处理、集中分析、集中呈现,构建全局安全视角的安全监测预警平台,赋能企业提升对潜伏威胁活动、违规网络活动、未知威胁的感知能力和溯源取证能力。
(2)构建攻防实战监测指挥平台
慧眼全流量威胁分析系统可用于构建攻防实战监测指挥平台,在网络安全建设规划过程中管理者可使用资产库确定资产的类型、数量、价值、风险等信息,为安全建设提供数据支撑。在日常安全运维中可帮助运维人员掌握网络安全现状,及时感知发生在网络各处的异常,指导安全运维人员重点关注哪个区域。在风险处置过程中,提供基于威胁事件。基于网络通信活动、基于攻击链的溯源取证能力,便于快速定位判断需要处置哪些风险项。
(3)构建多分支机构统一威胁监测平台
慧眼全流量威胁分析系统可用于多分支场景下的统一威胁监测平台建立,通过系统分布式级联部署能力实现总部与分支机构网络安全数据的贯通与全面感知,打通区域之间的信息壁垒,提升总部与分支的协同联防能力。
关于嘉韦思
作为基于SECaas的网络安全产品与服务运营商,嘉韦思产品图谱主要覆盖网络与基础架构安全、Web应用安全和业务安全3大通用安全产品领域,并提出CCI(合规+认证+保险)信息安全新理念,推出网络安全合规和网站安全认证服务,研发了业内首创的“安全服务+保险金融”的网络安全保险服务产品,打造网络安全完整闭环。同时,面向中小企业和大型企业的中小系统,嘉韦思打造了安全即服务SECaas 平台,为用户提供一站式安全运营服务。
截至目前,嘉韦思参与了“花博会”、“进博会”、“建国70周年”、“上合组织峰会”、“一带一路峰会”等国家重大活动网络安保,产品应用到2022冬奥会相关网络场景防护中,同时服务了包括中国银行、中宣部、中国远洋、东方航空、字节跳动等数千家客户。
京公网安备 11010802033237号
