▎内网失陷将会带来什么危害
案例一:干扰服务器核心业务
案例二:窃取业务敏感数据
产品核心价值:可发现/可管理/可追溯/可信任
▎产品价值
发现高度可确信的已知及未知网络攻击及网络行为异常,精准定位失陷主机、跳板主机、风险服务器;
全局内网风险动态实时监控,透视内网主机及服务器的业务应用和互联流量,可视化管理内网全局威胁影响及互访关系;
通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表,全面掌握内网风险态势,为内网风险的判定、处置和预测提供信息支撑;
弥补传统边界网络安全建设的漏洞,联动山石NGFW,形成边界+内网的整体网络安全解决方案;
▎核心技术构架
▎部署场景
▎功能亮点
实时威胁检测
实时检测内网已知及未知威胁,精准定位异常网络行为的风险主机及服务器;从海量的内网威胁中,突出有价值的高风险信息,降低噪音。使内网安全可信任,可管理。
基于静态签名技术检测发现已知网络威胁。
基于大数据分析网络攻击行为,并归类到不同的攻击行为族,通过匹配行为相似度,检测发现未知威胁。
基于机器学习技术学习主机及服务器的网络行为流量,通过数学建模算法建立主机及服务器的行为基线,以此检测发现主机及服务器的异常网络行为。
创新式融合欺骗式检测技术,集成本地蜜罐,模拟内网关键服务,检测发现高度可确信威胁。
采用Threat Hunting威胁追踪技术,持续采集网络威胁数据并定义存储,以进行威胁检测结果的威胁行为追踪和威胁行为证据信息的挖掘,从而提供更多的威胁行为证据信息。
深入攻击原理分析,基于威胁潜在关联性规则,通过源目的信息关联一定时间窗口内的威胁事件,主动还原多阶段的高级威胁攻击过程。
▎风险态势可视化
识别监控内网主机及服务器业务流量,透视核心资产东西向威胁及异常流量,基于内网攻击路径进行分析、溯源、取证;
核心资产服务器流量和威胁双向维度深度可视化,充分还原攻击细节。使内网安全可视其形,可明其理。
全局内网风险态势的实时动态监控。
提供风险态势、网络威胁、外部攻击地理分布的可视化呈现。
图形化内网核心资产分布,基于T
2 Scope模型呈现服务器业务威胁及流量状态。
基于网络攻击链还原攻击细节,将威胁事件映射到不同的攻击阶段。
基于应用、源目的IP、源目的安全域等多维度监控统计内网业务应用流量。
▎风险评估及联动响应
可配置生成内网安全评估报告,全面掌控内网风险态势;支持一键式安全处置,联动边界NGFW,形成内网安全闭环,简单、快速、高效部署安全策略。
使内网安全可控制,可预防。
详细的知识库信息及处置建议,助力安全运维分析。
基于风险资产导出风险评估报告。
基于全局内网风险态势导出内网安全评估报告。
支持记录事件日志、网络日志、配置日志和威胁日志,并可通过Syslog和Email外发日志。
联动Sysmon服务,网络侧威胁行为进行终端侧信息的关联溯源,从而定位到具体的终端进程、可执行程序、文件路径等关键信息。
联动山石NGFW,加密处理信息交互,确认威胁,一键完成处置策略下发,快速完成威胁处置。
