中山绿盟可管理的威胁检测与响应服务(NSfocus Managed Detection and Response Service,以下简称绿盟MDR服务)是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务,通过入侵检测防御系统、全流量分析系统、态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务。
1、避免企业信息安全建设面临的管理风险
当前企业机构的信息安全建设往往采用先采购安全设备和安全平台类产品,后采购运维外包服务方式解决安全问题。这种建设方式,往往在工期上、人员配备上、技术集成上存在较大风险。实现不同厂商安全设备的统一运维与管理、不同安全设备与平台同步开发、联调对接、安全运维外包服务或安全运维人员招聘和培养等问题给企业增加了供应商管理及外包管理成本和风险,难以确保采购的安全设备、平台及服务能够形成完整的、有效的运营体系应对日益复杂的安全威胁。
绿盟MDR服务是一体化的、端到端的安全运营支撑服务,通过一体化的设计有效整合了安全威胁分析平台、安全检测设备及安全运维专家资源,并在技术上、流程上和人员配备上形成有效的安全运营支撑体系,从而避免了企业在安全建设上的风险。
2、配置灵活,成本可控,降低总体成本
绿盟MDR服务可采用灵活方式采购。一方面,客户可以根据自身业务系统的类型、规模及规划灵活地选配威胁检测与分析所需要的设备。另外一方面,在安全设备及安全平台建设上,企业可以根据自身的安全预算情况选择租赁或采购的方式。对于已购买绿盟安全设备的客户,还可以选择在原有安全设备基础上扩建的方式完成MDR服务的采购。通过以上方式,企业可以大幅降低信息安全建设的一次性投入,并且在确认安全运营支撑服务效果后逐步追加投资。
3、降低运营负担,适配企业原有的管理流程
绿盟MDR服务专注于安全事件发生中和发生后两个阶段的监测与响应,可以为企业客户提供以下两点核心价值:
1、安全止损:绿盟MDR服务通过事件监测或审计的方式帮助企业及时发现安全灾害事件,并尽快提供消除灾害影响的操作建议,大幅降低安全灾害事故带来的损失和影响。另外一方面,在安全事件发生后,绿盟MDR服务通过本地化应急响应确认进行攻击溯源,确认引发安全事件根源并采取积极措施消除安全隐患,避免安全灾害事故重复发生。
2、降低安全风险:绿盟MDR服务通过威胁监测或审计方式协助企业发现具有持续性攻击或针对性攻击的高危访问源,并提供封杀操作建议,通过攻防对抗方式有效提升攻击者攻击成本,迫使攻击者放弃攻击,最终达到降低企业安全风险的目的。
绿盟MDR服务功能主要包括热点事件预警与防护、攻陷主机与事件的防护和高危访问源的监测与封禁,具体功能如下表所示:
事中 热点事件预警 互联网热点事件监测、通告与预警
1)时效:在热点事件发布后24小时之内,进行安全预警和通告
2)范围:针对可能造成主机被控制且会广泛影响金融、运营商、政府、交通、能源、教育、医疗的新型漏洞或威胁,事件范围参见《附件一》为了确保能及时发现威胁、应对威胁,绿盟MDR服务采用5种不同类型安全设备或平台,包括绿盟Web应用防火墙、绿盟入侵检测与防护系统、绿盟全流量检测系统、绿盟统一威胁分析系统、绿盟态势感知系统。这五类设备和装置在服务中发挥着不同的功能和作用,帮助企业完成威胁的检测和响应。设备与平台列表如下表:
热点事件是指大范围影响单个或多个行业或地域的群体性安全事件,例如Struts2漏洞曝光、永恒之蓝攻击代码曝光等,这类事件往往伴随大量灾害和损失发生。根据绿盟网站安全监测与防护服务的统计,每一次热点事件的曝光的24小时以内,互联网都会出现大量与公布漏洞或代码相关的新型攻击。对企业来说,每一次热点事件曝光后的排查与加固实质上都是与攻击者面对面的较量,攻击者抓紧时间完成根据新曝光的漏洞信息或攻击代码完成攻击工具,而企业需要完成漏洞的排查与加固。而对于大部分企业来说,确保在24小时之内完成排查和加固是个大的挑战,所以热点事件往往会给企业带来大安全风险。
绿盟MDR服务可以帮助企业客户在完成加固之前,抢先在互联网出口完成预防工作,将来自于互联网的新型攻击有效拦截,大幅降低热点事件导致的安全风险。
绿盟MDR服务对热点事件的预警与防护分为通告预警和安全防护2个阶段。在通告预警阶段,当前出现热点事件时,绿盟MDR服务会通过电话、短信、邮件等方式向企业客户发起安全事件的预警,将安全事件相关背景信息、漏洞与攻击相关特征及通用处置建议发送给企业。在安全防护阶段,绿盟MDR服务云端安全专家可在客户授权下,对安全检测和防护类设备的规则库进行升级并配置安全防护策略,通过这种方式预防来自互联网的新型威胁。
1、有“案底”的高危访问源,即在攻击发生之前曾经对其他主机或系统采取攻击行为的高危访问源;绿盟MDR服务采用绿盟威胁情报(NTI)可识别全球新的威胁源,根据IP信誉识别并捕获高危访问源。
2、扫描探测类的高危访问源,绿盟MDR服务通过威胁分析平台对访问流量和日志分析,可识别各类有扫描行为和探测行为的访问源。这类访问行为往往是攻击的前兆。
3、具有攻陷意图的高危访问源,绿盟MDR服务采用大数据分析和机器学习技术,自主开发了访问行为理解引擎,可以识别攻击者攻陷行为的七个步骤和环节,从而识别具有攻陷意图的高危访问源。
由于移动终端的普及,攻击者往往采用攻陷个人移动终端的方式来渗透企业内网,企业内网安全已经无法单纯依赖于互联网边界的威胁检测与防护。绿盟MDR服务提供采用互联网边界访问行为检测与流量深度分析相结合的方式,帮助企业客户发现并确认可疑的安全事件。
绿盟MDR服务可以通过系统攻击检测、web攻击检测、网站安全监测(或通告)和威胁情报四种有效方式发现可疑安全事件,前两者属于本地检测方式发现自内网外联的可疑行为,后两者都是通过外部能力或情报发现企业内网对外攻击行为或已被的攻陷痕迹。
当前绿盟MDR服务发现可疑安全事件以后,将可疑事件相关信息,尤其是异常终端访问信息传递给云端安全专家进行排查和确认,在专家排查确认后尽快向企业发起安全事件通告,并开始启动应急响应。
总结:
绿盟MDR服务是无论是在服务模式上还是在技术上都是业界先进的,该服务不仅为客户提供了安全一体化建设方案,避免安全建设项目的风险,还进一步融合业界先进的大数据分析技术、机器学习技术、智能决策技术为客户有效地识别安全威胁和事件,从而协助企业持续有效地降低安全风险和安全事故带来的损失。