【网信案例展】金融行业睿眼Web攻击溯源实践
2022-10-27 16:20:45
关键词:
紧跟网信前沿技术,整合行业案例资源,中关村网络安全与信息化产业联盟(以下简称“联盟”)组织开展“强国复兴有我,喜迎党的二十大”——网信案例展活动。被活动发布的案例也将有机会编入联盟2022年中国网信产业桔皮书——《数据安全》。
第四期正式发布,敬请关注!
案例名称
金融行业睿眼Web攻击溯源实践
——中睿天下金融行业网络安全实践案例
案例背景
近年来,网络安全形势愈发严峻,病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷,黑客和网络犯罪分子利用瞬息万变的技术,捕捉技术漏洞和人为错误对金融机构进行有组织的攻击,造成了数百万美元的损失和市场声誉风险,给金融行业带来了巨大的损失。
不间断的网络攻击威胁事件始终是金融机构迫需要解决的难题,金融机构需要寻找准确、有效应对安全挑战的创新解决方案,降低风险,维护消费者对金融平台的信任。
关键挑战
某金融行业客户的互联网区域部署众多Web应用,有效防护和检测Web应用安全是其信息安全领域的一项重点工作。经过多年的网络安全建设,该金融客户已初步建立了网络安全防御体系,但目前在安全监测方面仍存在较大的不足,亟需对应用系统特别是Web应用,建立安全监测机制,实时感知和检测网络中的漏洞,进一步提升其互联网出口的安全性。
解决方案
中睿天下依据Web攻击检测溯源、三层安全架构、风险管理体系的设计思路,结合该金融客户互联网业务逻辑架构,设计规划了此次解决方案的部署架构。该方案采用的部署架构是将Web攻击溯源系统通过旁路的方式接入到客户互联网专区,管理接口负责与统一监控平台进行联动,镜像接口负责采集双向进出互联网区域的Web应用层流量。同时,该方案规划部署了睿云统一监控平台,负责管理Web攻击溯源系统,在管理平面执行策略命令等管理操作。
部署架构图
该解决方案主要采用以下关键技术建立Web应用安全防御体系:
(1) 流量深度分析技术:从时间、会话、协议、事件等不同维度进行网络流量追踪分析,根据发现的异常事件进行深度追踪、溯源,快速确定潜在的威胁,全面评估事件的危害程度;
(2) 纵深检测技术:建立纵深检测体系,覆盖攻击者攻击的主要环节。即使某一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难从检测中逃逸;
(3) 攻击研判技术:智能研判技术采用智能匹配深度报文检测,操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术实现智能化、自动化的工具,对攻击事件进行关联分析、聚类分析、攻击成功研判;
(4) 攻击场景还原技术:基于攻击者视角,在攻击路径的每一个环节设置有效的检测和防御措施,通过攻击溯源技术关联分析每个攻击事件,还原攻击的全过程,揭示系统漏洞及攻击来源。
该解决方案的功能特点有以下几点:
(1) 威胁检测:从时间、会话、协议、事件等不同维度进行网络流量追踪分析,基于攻击模型与攻击行为检测,以攻击者视角出发,参考攻击者思路进行建模收集、归纳、验证攻击行为信息,并根据验证结果的危害程度,划分等级进行呈现及响应,全面展示事件的危害;
威胁检测告警
(2) 攻击研判:智能攻击研判技术采用深度报文检测、操作行为分析检测、模拟加载法检测、基于增式学习算法自适应检测等多种技术,实现智能化、自动化对攻击事件进行关联分析、聚类分析、攻击成功研判;
攻击检测研判体系
(3) 攻击过程还原:对攻击事件进行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,极大地方便了用户对攻击态势的清晰认知。不仅如此,还可以实现攻击过程回放功能,以黑客视角真实还原出攻击细节,为后续的溯源提供了强有力的现实依据;
攻击链条
(4) 黑客攻击画像:领先的溯源技术可帮助用户最大化地搜集攻击者信息,分析攻击者的来源、身份、背景、目的,以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。同时,系统还能依据攻击行为辨别出攻击者是否采用跳板、关联恶意域名等拓展资源,从而保障了溯源与检测的准确度;
黑客画像
(5) 告警响应处置:系统可配置邮件通知与短信通知,根据实际情况配置预警通知的选项,包含特定资产IP、威胁程度、攻击特征、攻击状态、阈值、触发时间段等,当遭受攻击事件时,可通过邮件或短信提供实时报警提示,助力安全运营人员及时处理威胁。同时支持协同处置,通过联动防火墙下发响应指令,及时阻断威胁,保护资产;
(6) 威胁可视化:系统支持3D/2D地球方式实时展示攻击详情,提供3D展示数据模式与业务模式的切换,业务模式可针对不同业务区域的划分进行威胁展示,数据模式可展示后门弱点数、攻击状态、各项威胁指标Top5等关键告警数据与统计,清晰呈现威胁态势;
3D/2D威胁态势图
(7) 安全报表:系统为用户提供威胁报告、安全周报、资产报告等丰富的报表报告。其中,威胁报告、安全周报支持导出,当前具备HTML、PDF两种类型。
威胁报告主要展示攻击统计、攻击成功事件、致命威胁事件、攻击图表统计等威胁详情;安全周报主要展示对应时间段的威胁态势,报告中提供安全评级、黑客数量、检测攻击数、成功攻击事件及黑客攻击趋势、攻击类型分布、攻击资产统计、黑客工具统计、恶意IP分布等图表统计;让安全运营人员清晰且全面地掌握威胁动态。资产报告主要展示资产的脆弱性,包括漏洞数量,漏洞特征,已处理漏洞,未处理漏洞等,提醒运营人员及时处理漏洞,降低安全风险。
中睿天下安全报告示意
案例创新性与优势
(1) 深度检测,有效发现未知威胁
采用了中睿天下自主研发的多层检测引擎,并集成了由中睿天下核心成员多年研究而成的千余种攻击模型,能够适用于不同的生产环境,使检测成功率更为精准、检测范围更为广泛、检测效果更为优良,尤其是在面对复杂攻击或0day攻击时也能具备出色的检测能力;
(2) 关联分析,精准研判攻击结果
基于多年的攻防经验,总结出基于攻击结果的研判方法论,通过挖掘数据包中的请求包与返回包信息,对攻击成功与否给予研判。并解决传统安全防御设备所面临的告警数据量大,价值信息难提取等问题,最终形成以事件为单位的聚类分析,研判出攻击伤害;
(3) 分析溯源,完整溯源安全威胁
能够对攻击事件进行深度分析,全量储存黑客的攻击路径,包括攻击次数、攻击手法、攻击工具等关键信息,将原本繁杂冗余的告警信息转换成简单有序的“攻击时间线”,清晰完整地呈现攻击态势。
最大化地收集攻击者信息,分析攻击者的来源、身份、背景、目的以及所使用的攻击工具、攻击手段、攻击特征等一切可掌握的数据,再联动云端威胁情报中心的攻击者档案,完成对黑客的精确画像。让用户准确地知道是谁攻击了我,攻击了我什么,使用了什么手法,资产是否沦陷,窃取了什么信息;
(4)响应处置,及时消除安全风险
当威胁发生时,通过系统预算制定通知策略,可使用短信、邮件等方式进行告警;同时,通过处置联动功能,发送指令给防火墙设备,对外网IP进行封禁,对内网IP进行通信阻断,快速消灭威胁,为资产保驾护航;
(5)安全可视,清晰掌握威胁态势
能够将攻击成功事件、攻击等级、攻击次数、后门数、弱点数、威胁排行等威胁态势以3D/2D地球的方式进行可视化实时展现,让用户清晰掌握潜在安全风险及每一次发生的安全风险。
应用效果
(1)满足国家监管要求
威胁事件是网络运营人员用以了解攻击详情的最佳方式之一,所以留存威胁事件至关重要,系统可设置威胁数据库存储时间为770天,符合《中华人民共和国网络安全法》第二十一条:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月,满足国家的政策要求;
(2)提高应用安全防护能力
该金融客户依靠目前已建设的安全防护体系,威胁检测主要依赖于规则库及主动防御,依然存在部分漏报、误报的现象。睿眼Web攻击溯源系统基于“攻击模型”的双向流量检测方法将会大大加强现有安全体系的检测能力,同时可以帮助其提高安全防护的整体防护能力;
(3)提高工作效率节约客户成本
此前,该金融客户通常在攻击事件发生后,需要通过人工分析大量安全设备告警信息,服务器日志等信息,才能分析出攻击的详情,以及资产的损失。通过部署睿眼Web攻击溯源系统,在事件发生的同时立即作出分析,判断攻击状态成功与否、还原攻击场景、追溯攻击者以及能够迅速判断资产弱点和后门,大大提高安全分析效率。同时第一时间得出的分析结果有助于提高响应的效率,节约大量人力资源成本;
(4)完善客户网络安全防御体系
该金融客户已部署的传统安全产品,缺乏有效的检测与响应机制,通过部署睿眼Web攻击溯源系统,不仅能有效检测到威胁并及时响应处置,同时能把攻击过程完整地展示出来,使管理者明确了解到攻击者是如何一步步进行攻击的,哪儿存在弱点和后门,并给出对应的修复方案,并且能对攻击者的攻击目的、身份背景、利益关系等进行分析溯源反制。
联盟将持续征集网信行业案例,欢迎各会员单位积极参与!
声明:本文所配图片均来自于网络,如侵犯到您的权益,请及时与我们联系,联系电话:010-57328155
相关新闻
| 最新专题
| 联盟要闻
| 行业资讯
地址:北京市海淀区地锦路9号院9号楼 电话:010-57328155 邮箱:admin@zisia.org.cn 传真:010-88888888
京公网安备11010802045578号
扫码关注
微信公众号