典型场景与解决方案

全流量威胁检测与响应解决方案

 

需求

• 外网攻击、内网失陷、内部区域间横向渗透无法全面识别，

且无法以攻击者视角还原攻击全貌

• 互联网出口、DMZ/数据中心边界、办公内外网、下属单位

汇聚口无法全面覆盖，集中管控

• 现有入侵检测设备很多，但是在APT攻击、HW攻击等场景

下起不到太大作用

 

方案

• 针对企业互联网总出口，通过TDP发现外部攻击者针对集团整

体攻击，以及整个内网失陷事件及对外攻击事件，严控企业互

联网出口，避免GA/网信监管通报，并作为总控实现总览。

• 总控定位失陷网络区域，下级平台定位具体主机，Agent定位

主机进程

• 在DMZ/数据中心边界，通过TDP识别针对生产业务系统的真

实攻击、数据窃取，并实现应用服务资产梳理

• 在分支机构上联口，通过TDP识别分支机构内部威胁，以及作

为跳板攻击其他分支和总部攻击事件

• 在企业核心交换，通过TDP发现内部各区域间横向攻击行为

 

价值

• 该方案实现全部网络流量与威胁全方位覆盖

• 高质量规则、情报，以及事件关联模型，确保精准告警

• 情报更新机制，确保HW及突发安全事件快速更新识别

• 集检测、分析、处置、溯源、情报共享、级联管控与一体

 

攻击阶段覆盖全、告警精准、攻击还原粒度、黑客画像与溯源、处置响应

 

 

覆盖事前、事中、事后的HW解决方案

 

需求

• HW单位资产暴露风险、漏洞、泄露敏感数据众多

• HW红队钓鱼邮件等攻击防不胜防，如何预防社工攻击

• 如何在海量告警中识别HW攻击并进行应急响应

• 缺乏溯源线索提取、攻击者身份和所属攻击队溯源能力

• 个别客户初次HW对人员、设备、流程、规则知之甚少

 

方案

• 安全设备、情报数据、一线安服驻场、二线分析师、项目

经理相结合，提供覆盖事前、事中、事后的HW解决方案

• 事前提供方案制定、资产梳理、漏洞扫描、渗透测试、安

全加固、攻防演练、安全培训等服务

• 事中通过自有安全设备与企业现有安全设备进行攻击/社

工监测、应急处置、追踪溯源、情报共享等服务

• 事后提供复盘总结、技战法与hw总结报告编制、安全体

系优化加固等服务

 

价值

• 业内顶尖的HW情报共享与落地应用能力

• 2020年HW 2W+溯源加分与单报告2575加分

• 覆盖流量与终端的HW检测产品，以及蜜罐与溯源工具

• 项目经理、专业驻场、安全分析与溯源团队服务支撑

 

领先的溯源加分能力、HW阶段全覆盖、HW情报共享与应用技战法、专业团队

 

 

情报赋能态势感知解决方案

 

需求

• 态感平台采集各类安全设备海量告警日志，其中存在大量

无价值告警甚至误报，如何筛选关键事件

• 态势感知建设周期长投入大，如何能快速提升态势分析能

力并提升效果

• 海量数据如何建立数据之间的关联分析场景模型和处置模

型，提升安全运营效率

 

方案

• 本地部署威胁情报管理平台，将高质量威胁情报数据本地

化存储，并通过API/syslog方式与态感平台关联赋能

• 通过情报查询接口对海量态感日志进行过滤、筛选、处置

优先级排列、上下文丰富，提升态感平台检测与关联分析

能力

• 基于上述情报赋能识别关键事件，并联动各类网络与安全

设备进行自动化处置

 

价值

• 提升平台的威胁发现和关联分析能力，例如失陷检测、告警过

滤、业务风控、登录异常、情报共享、自动拦截等。

• 联动现有设备，提升原有安全投入的价值，加速响应过程

• 全面赋能态感平台，聚焦真实事件、构建关联分析模型、自动

化处置能力，全面加速MTTD、MTTR

 

减少告警、提炼事件、情报赋能、情报生产、联动处置

 

 

威胁情报检测与管理中心解决方案

 

需求

• 缺少载体向人行态势感知与信息共享平台上报企业安全数据

• 企业总部办公网缺少内网失陷威胁检测能力

• 分行流量采集检测系统威胁检测能力弱

• Arcsight、CIS、终端日志存储审计平台等大数据平台被海量日志淹没

• 高级威胁事件缺少攻击者背景信息难以进行深入分析与溯源

• 企业手中掌握的情报数据没有落地平台且数据质量差

 

方案

• 一期是以TDP 为基础，构建总行威胁情报检测中心，通过对出站

流量的持续检测，形成覆盖总行办公网的失陷威胁检测能力

• 二期是以TIP为核心，构建威胁情报管理中心，通过与分行流量采

集检测系统、Arcsight 和安全设备建立情报查询 API 接口进行情

报赋能，提高分行和各类大数据分析平台威胁检测与分析能力

• 以 TIP 平台为依托，快速构建人行金融行业态势感知与信息共享

上报模块，并承接人行下发的情报数据，落实人行相关要求

 

价值

• 快速有效应对人行安全数据上报要求

• 大幅降低总行内网被控主机数量

• 有效提升总行与分行的威胁态势感知与分析能力

• 大幅缩减安全运营团队威胁处置响应效率

• 威胁情报中心全面赋能企业整体安全能力

 

覆盖全行的基于威胁情报检测分析能力、情报赋能分析平台、人行上报

 

 

流量检测响应平台与主机检测响应平台联动方案

 

需求

• 越来越多的网络流量采用加密方式使流量检测成为盲点

• 无文件落地、免杀和样本变种使终端检测愈发困难

• 单纯依靠流量和终端检测方式很难全面发现各类威胁

• 高级威胁深入溯源分析需要结合网和端两侧数据

• Webshell和远控木马，变种多发现难，是网端联动典型场景

 

方案

• TDP与OneEDR联动，实现流量NDR与EDR的深度结合，一方

面从流量侧和终端侧互补全面准确发现威胁；另一方面，从流

量侧发现威胁，从终端侧深度定位溯源攻击路径。

• 围绕webshell场景，通过TDP精准发现webshell，并将受攻击

主机IP和shell URL同步OneEDR，OneEDR定位shell路径，最

终全面呈现webshell存放路径、威胁类型特征、网络连接行为

• 围绕失陷主机，TDP利用情报和模型精准发现失陷主机，并将主

机IP同步给OneEDR，OneEDR具体定位被控主机进程，并完成

还原进程攻击链条，实现远控威胁深度溯源。

 

价值

• NDR与EDR结合形成XDR解决方案

• 网络侧与终端侧互补全面发现攻击威胁

• 网络侧精准发现威胁，终端侧深度定位追溯源头

• 完整串联网络与进程链，以及主体与主体行为的关联关系

 

NDR与EDR联动、webshell与远控程序的精准发现与深度溯源

 

 

安全数据上报与威胁情报共享解决方案

需求

• 网络安全法、人行金融业态感平台、国有企业数字化转型

都要求逐级上报安全数据，逐级构建安全总览与态势感知

能力

• 行业标杆企业与集团总部希望通过规范数据标准和安全数

据层层上报，实现安全可视可管可控

• 下游企业希望通过上级单位情报共享赋能自身安全能力

 

方案

• 构建“两类平台、三大模块、两条路径”，实现逐级感知

感知与威胁情报共享赋能

• 总部层面以TIP为基础，构建态势感知与情报共享总平台，

在二三级分支机构构建态势感知与情报共享分平台

• 总平台与分平台主要包括安全事件上报、威胁情报共享，

以及态势统计展示

• 自下而上上报安全数据形成态感感知能力，自上而下共享

威胁情报数据，赋能安全能力

 

价值

• 规范体系内安全事件数据与威胁情报标准，为各级单位安全协

同（一点感知、全网联动）奠定数据基础

• 上级单位能够对辖属单位安全态势和具体安全事件进行总览，

提高安全集中管控能力

• 总部自产情报或引入三方情报，为下级单位提供情报数据，赋

能各安全体系检测、分析与处置能力

 

统一安全数据与情报标准、逐级安全态势感知、逐级情报共享赋能

 

 

 

远程办公安全接入互联网解决方案

 

需求

• 疫情期间，远程办公终端激增，难以短时间内完成安全防

护，并且安装Agent极易出现兼容性与稳定性问题

• 员工在外违规上网及感染恶意程序等问题，极易带入企业

内网，造成大面积感染

• 传统漫游终端难以对高级威胁进行自动化响应，并且众多

终端难以进行集中管控和策略管控

 

方案

• 利用OneDNS互联网安全接入服务，并在近万台漫游终端

安装a g e n t ， 通 过 修 改 D N S 递 归 解 析 地 址 指 向 云 端

OneDNS

• 通过VPN准入控制快速实现近万台主机的Agent安装

• 办公终端在企业内网与远程办公漫游下安全防护无缝切换

• 远程办公终端安全威胁全面防护（APT、钓鱼、恶意程序等）

• 上网行为统一监控管理，威胁主机精准定位

• 海量远程办公终端统一监控、管理与展示

 

价值

• 通过轻量化Agent，结合VPN准入控制，实现海量终端的快速安装

• 办公终端无论是否在内网后，能实现安全防护的无缝衔接

• 基于情报拦截有害程序恶意通信方式，威胁覆盖度高且拦截精准

• 实现对远程办公员工上网行为的识别和访问策略限制

• 从云端整体视角对上万台主机威胁风险和上网行为进行监控和管理

• 云端SaaS成本较低，而且统一维护升级和配置管理等运维成本较低

 

 

SaaS安全云、轻量部署低成本、恶意通信与上网行为管控、阻断与定位

 

 

互联网暴露资产收敛与风险监控解决方案

 

需求

• 大型集团总部及分支机构互联网出口众多，是黑客和HW攻

击队重要的攻击目标

• 大量域名、IP、服务、端口暴露互联网，有意无意泄露的

邮箱、口令、代码等数据资产极易被利用进行钓鱼攻击

• 新增、未经审核、未知的企业网站和互联网暴露资产

• 针对各级互联网出口的威胁监控和集中管控缺失

 

方案

• 依托云端资产风险监控技术（外部威胁监控平台），从攻击者

视角发现暴露资产

• 出口部署内部资产梳理设备（威胁感知平台），从内部视角细

粒度发现资产

• 内外资产映射对应关联、新上线资产、互联网暴露资产

• 互联网出口位置部署攻击感知设备（威胁感知平台），级联实

现全集团出口威胁态势总控

• 针对无安全人员机构和远程办公人员，接入OneDNS

• 引入专业安全服务，持续响应针对互联网出口的安全事件

 

价值

• 攻击者与内部双向视角监测资产，兼顾网络资产、数据资产与

安全威胁

• 互联网出口资产与威胁检测全覆盖

• 可扩展级联总控模式

• 本地设备资产与威胁一体，减低实施与部署成本

• 服务形成动态、闭环管理

 

互联网出口收敛、资产梳理与威胁监控、级联总控模式