基于网康云和下一代防火墙失陷主机检测解决方案(v1.1).pdfVIP

智能协同 主动防御 基于网康云和下一代防火墙的 失陷主机检测解决方案 北京网康科技有限公司 目录 1. 概述1 1.1. 传统网络安全的局限1 1.2. 检测——网络安全新战场2 2. 失陷主机检测（Breach Host Detection ）2 2.1. 高级威胁的一般过程2 2.2. 失陷主机的定义3 2.3. 失陷主机检测技术4 3. “云-管”协同的失陷主机检测解决方案4 3.1. 技术原理及部署架构5 3.2. 下一代防火墙的能力和作用6 3.2.1. 用户行为洞察6 3.2.2. 威胁活动感知7 3.3. 网康云的能力和作用8 3.3.1. 威胁情报8 3.3.2. 失陷主机9 3.3.3. 情境分析11 3.3.4. 日志搜索14 3.3.5. 安全报告14 4. 方案优势及价值16 4.1. 方案优势16 4.2. 价值提升16 基于网康云和下一代防火墙的失陷主机检测解决方案 1. 概述 近年来，网络安全事件频发，危害逐渐升级。据 CNCERT 《2014 年中国互 联网网络安全态势报告》，2014 年通报的漏洞事件达 9068 起，比 2013 年增长 3 倍，其中“心脏滴血”和“破壳”漏洞，涉及基础应用与硬件设备，影响极为 广泛严重；中国被控制的主机数量规模庞大，有 1081 万台僵尸主机被境外 4.2 万台服务器控制，针对互联网 DNS 服务、电商等大规模的 DDoS 攻击，与此不 无关系。国际上，网络安全形势犹有过之，RSA 总裁 AmitYoran 认为 2014 年 的网络安全是“Mega Breach”（Breach ，失陷），而2015 年的安全形势比 2014 年更糟，将是“Super Mega Breach”的一年。 1.1.传统网络安全的局限 在过往，大部分攻击者在选择攻击目标时往往抱有 “机会主义”的心态， 会以 “遍地开花”的形式广泛扫描存在已知漏洞的目标进行渗透。理论上讲 ，企 业的防护强度超过平均水平，就可以获得相对的安全，防护措施薄弱的系统往往 会先于他们被攻击者发现并攻陷。 因此 ，传统网络安全以 “防范”为中心 ，始终遵循 P2DR （策略-防护-检测 -响应）模型。即首先对信息系统的风险进行全面评估，然后制定相应的防护策 略，包括：在关键风险点部署访问控制设备（防火墙，IPS ，认证授权等），修复 系统漏洞，正确配置系统，定期升级维护，教育用户正确使用系统等。检测是响 应和加强防护的依据，通过检测网络流量和行为，与预设策略进行匹配，如果触 发防护策略，则认为发生了网络攻击，响应系统就执行预设动作阻止攻击，并进 行报警和恢复处理。 与之对应的 ，传统安全产品，如终端杀毒、防火墙、IPS、Web 应用防火墙 等 ，均是基于已知特征和预设规则展开工作，其理论依据同样是 P2DR 防护模 型，这是一种静态的、被动的、防御思维的安全模型。 然而 ，近年来曝出的安全事件不断向我们证明 ，黑客攻击手段已从传统的泛 攻击演进为高级威胁。利用系统的 0-day 漏洞，无法预先防御；目标明确，定向 攻击；损失巨大，难以挽回。 P2DR 模型中，所有的防护、检测和响应都是依据策略实施的，因此策略是 模型的核心，其完备性至关重要。它假设信息资产面临的风险是可以充分评估预 知的，然而这种假设在 0-day 攻击和 APT 攻击面前完全失效，未知威胁可以轻 1 / 17 基于网康云和下一代防火墙的失陷主机检测解决方案 松绕过防