1、APT攻击事件检测滞后
APT攻击事件目的性强、目标明确且持续时间长,传统安全防御手段大多是利用已知攻击的特征对攻击行为进行简单的模式匹配,针对“0day”事件无法及时识别和阻断。
2、安全事件溯源难
大部分攻击告警事件中所包含的信息无法反应真实的攻击信息,告警的源IP安全日志无法提供足够的安全分析及溯源信息,导致无法有效还原攻击者的攻击路径与攻击手法。
3、安全事件无法可视化展现
各个安全设备日志只展现单个系统的安全态势,没有网络安全态势感知平台对全网数据流量进行分析和可视化展现,导致整体网络安全态势无法感知。
4、安全运营人员匮乏
随着网络安全态势的日渐严峻,信息系统中发生的安全威胁事件频率也在不断增加,安全服务人员数量不足,人员专业技能参差不齐,严重影响安全威胁事件的检测、分析与处置的效率,无法保证安全事件的闭环管理。
通过部署态势感知平台融合“安全运营”和“高级威胁检测”两大场景能力,为用户构建一套集检测、可视、响应于一体的大数据智能安全分析平台,让网络安全可感知、易运营,安全事件快速联动闭环。
(1)事前预知
通过潜伏威胁探针、态势感知分析平台以及安全服务人员等构成持续检测的技术架构,实现内部资产自动识别和标记,自动识别服务器上开放端口和存在的漏洞,弱密码等风险。
(2)事中防御
通过安全设备间联动加强防御体系的时效性和有效性,一旦发现异常流量立马联动其他安全设备进行拦截,并提供网络是否受到攻击的详细信息,再结合安全服务人员对安全事件的分析、研判、处置,实现安全事件快速联动闭环。
(3)事后检测
做好网络内部的检测及响应措施,可以极大程度降低安全事件产生的影响,即使在黑客入侵之后,也能够帮助用户及时发现入侵后的恶意行为,并快速推送告警事件,协助用户进行响应处置。同时借助日志审计系统,对各类安全设备日志进行收集,以便后期事件溯源。
