当前位置: 首页 > 关于我们 > 新闻中心 > 新闻快讯 > 2015

关于我们About Us

  • 关于网康

    公司简介
    企业文化
    品牌期刊

  • 新闻中心

  • 视频专区

    产品视频
    客户案例
    媒体专访
    市场活动

  • 公司优势

  • 联系我们

IT168:新时代新需求网康慧眼云开启防御新思路

     发表日期:2015-08-31 11:41:02

【IT168 资讯】2015年7月,美联邦政府机构被黑客攻击,2150万人资料遭泄露。此次黑客的行为造成了巨大破坏,上千万政府记录被窃取,受影响者包括1970万涉及背景调查的政府雇员。

近年来,网络安全事件可谓层出不穷。网络安全从来没有像今天一样,已经对社会的各行各业产生严重影响。而中国也同样面临着网络安全问题,甚至更为严重,2014年14大网络安全事件中,就有5起发生在中国。网络安全问题究竟为什么如此突出?我们又应该如何应对呢?

网络安全现状

云计算、大数据、移动互联网等新技术、新应用的普及,“互联网+”趋势下传统产品向互联网转型,使得网络越来越贴近我们的生活。但是,由于0-day漏洞潜在的巨大经济利益,黑色产业链逐渐形成并发展壮大,网络攻击已从早期的泛攻击演变为利用0-day漏洞、以获取重大经济、军事、政治利益为目标的针对性攻击。

然而传统的安全产品,都是基于已知特征和预设规则展开工作的,其理论依据是边界安全与P2DR防护模型。当未知威胁来临、内部威胁增多,网络边界逐渐模糊化甚至消失后,传统安全模型不再能够应对当前网络攻击趋势。

传统网络安全失效分析

网络攻击已经从早期的泛攻击演进为利用0-day漏洞、以获取重大经济或政治利益为目标,升级为定向持续的高级攻击,未知威胁成为目标攻击使用的主流,传统安全防护濒临失效。那么为什么传统安全防护会失效?

新时代新需求网康慧眼云开启防御新思路
▲传统安全方法论亟待改变

传统安全方法论假设IT信息系统存在的风险和威胁可以基于P2DR防护模型经过评估、充分认知和发现;并且认为网络是有边界的,安全防护一切围绕边界防护即可。这种静态、被动、防御性战略思维已经无法应对新的安全威胁。

面对如此困局,有必要提出新一代的安全方法论。既然所有的网络都可以被攻破,就一定会有被攻破的失陷点,如何在这些失陷点发生危害之前,找到它们,成为解决问题的关键,应对未知威胁成为网络安全防护的必然之路。

下一代安全方法论假设IT信息系统永远存在未知的威胁,无法通过评估充分认知与发现,而是需要通过预测发现潜在威胁,并进行持续主动的检测核实网络是否已被入侵,对于确认的入侵行为进行还原回溯,最后进行防御。

大数据分析方法论

通过大量攻击案例的分析,网康将攻击可分为4个阶段:入侵、远程控制、内部渗透、信息窃取。由于0-day等未知威胁的利用,入侵成功的概率越来越高,一旦入侵成功后,入侵者将找到一个支撑点,通过这个支撑点再逐渐内部渗透,在此过程中,将产生大量的行为记录。

正是在此基础上,网康提出了下一代网络安全架构。而基于下一代网络安全架构和大数据驱动的威胁情报方法论,网康创新性地推出了下一代网络威胁感知系统慧眼云。

慧眼云面向网络中失陷系统进行大数据分析检测,通过异常行为识别技术和威胁情报技术,快速、持续的发现失陷主机,在危害发生之前,采取对应的安全措施,从而帮助客户彻底提高安全防护能力。

新时代新需求网康慧眼云开启防御新思路

·失陷主机

新时代新需求网康慧眼云开启防御新思路

基于“确定性指数”和“威胁性指数”两个维度,将失陷主机分为三个区域,分别为低度风险区域、中度风险区域、高度风险区域。一旦主机处于高度风险区域,说明需要立刻采取措施,否则有可能产生不可估量的损失。

同时,慧眼云可以钻取每一台主机的失陷分析过程,通过威胁活动的几个阶段(遭受入侵、收到控制、发起内部攻击、发起恶意行为),分析出当前主机的确定性指数和威胁性指数,并可以看到指定时间内的走势图,从而判断失陷主机的活跃程度和风险级别。

·威胁情报

网康的威胁情报来源主要分为两部分:一是网康遍布全国的安全探针;一是与第三方的情报共享合作。通过威胁情报,可以实时的查看到传统网络安全检测不到的网络威胁。

新时代新需求网康慧眼云开启防御新思路

威胁情报地图可展示最新的全局威胁攻击情况,包括攻击时间、攻击源国家,被攻击国家和攻击类型等等,帮助客户实时感知威胁态势。

·情景分析

慧眼云情境分析分为“统计总览”和“关联分析”两大部分。

新时代新需求网康慧眼云开启防御新思路

“统计总览”以柱状图、饼状图的形式呈现一段时间内网络攻击信息的统计结果,包括被渗透攻击的IP排行、被渗透攻击的事件排行、间谍软件行为的IP排行、间谍软件行为的事件排行、访问恶意URL的IP排行、访问URL的事件排行、下载病毒木马的IP排行、下载病毒木马的事件排行等。“关联分析”可以基于主机类型、连接方向、源地址,目的地址等属性作情境关联分析。

·日志分析

日志搜索是慧眼云提供的一套大数据搜索工具,它可实现:

  1. 基于安全事件进行快速追溯,几秒内可以完成几十T的数据搜索;

  2. 支持文本和规则运算及递进搜索,更深度的精准搜索;

  3. 对日志搜索结果可进行结构化和图形化显示,便于分析定位问题。

·安全报告

基于资产安全、威胁分析、应用分析、病毒与恶意URL分析等维度,定时定期的将分析好的报告发送到安全分析员手中,帮助安全分析员实时了解网络中存在的安全问题,及时采取措施。

总结:在面对新时代网络安全新形势时,一成不变的方法是不可取的,在大数据时代,我们需要通过大数据分析的方法,网康慧眼云具备创新的网络威胁感知功能,能够更好的维护网络安全。