全流量威胁检测与响应解决方案
需求
• 外网攻击、内网失陷、内部区域间横向渗透无法全面识别,
且无法以攻击者视角还原攻击全貌
• 互联网出口、DMZ/数据中心边界、办公内外网、下属单位
汇聚口无法全面覆盖,集中管控
• 现有入侵检测设备很多,但是在APT攻击、HW攻击等场景
下起不到太大作用
方案
• 针对企业互联网总出口,通过TDP发现外部攻击者针对集团整
体攻击,以及整个内网失陷事件及对外攻击事件,严控企业互
联网出口,避免GA/网信监管通报,并作为总控实现总览。
• 总控定位失陷网络区域,下级平台定位具体主机,Agent定位
主机进程
• 在DMZ/数据中心边界,通过TDP识别针对生产业务系统的真
实攻击、数据窃取,并实现应用服务资产梳理
• 在分支机构上联口,通过TDP识别分支机构内部威胁,以及作
为跳板攻击其他分支和总部攻击事件
• 在企业核心交换,通过TDP发现内部各区域间横向攻击行为
价值
• 该方案实现全部网络流量与威胁全方位覆盖
• 高质量规则、情报,以及事件关联模型,确保精准告警
• 情报更新机制,确保HW及突发安全事件快速更新识别
• 集检测、分析、处置、溯源、情报共享、级联管控与一体
攻击阶段覆盖全、告警精准、攻击还原粒度、黑客画像与溯源、处置响应
覆盖事前、事中、事后的HW解决方案
需求
• HW单位资产暴露风险、漏洞、泄露敏感数据众多
• HW红队钓鱼邮件等攻击防不胜防,如何预防社工攻击
• 如何在海量告警中识别HW攻击并进行应急响应
• 缺乏溯源线索提取、攻击者身份和所属攻击队溯源能力
• 个别客户初次HW对人员、设备、流程、规则知之甚少
方案
• 安全设备、情报数据、一线安服驻场、二线分析师、项目
经理相结合,提供覆盖事前、事中、事后的HW解决方案
• 事前提供方案制定、资产梳理、漏洞扫描、渗透测试、安
全加固、攻防演练、安全培训等服务
• 事中通过自有安全设备与企业现有安全设备进行攻击/社
工监测、应急处置、追踪溯源、情报共享等服务
• 事后提供复盘总结、技战法与hw总结报告编制、安全体
系优化加固等服务
价值
• 业内顶尖的HW情报共享与落地应用能力
• 2020年HW 2W+溯源加分与单报告2575加分
• 覆盖流量与终端的HW检测产品,以及蜜罐与溯源工具
• 项目经理、专业驻场、安全分析与溯源团队服务支撑
领先的溯源加分能力、HW阶段全覆盖、HW情报共享与应用技战法、专业团队
情报赋能态势感知解决方案
需求
• 态感平台采集各类安全设备海量告警日志,其中存在大量
无价值告警甚至误报,如何筛选关键事件
• 态势感知建设周期长投入大,如何能快速提升态势分析能
力并提升效果
• 海量数据如何建立数据之间的关联分析场景模型和处置模
型,提升安全运营效率
方案
• 本地部署威胁情报管理平台,将高质量威胁情报数据本地
化存储,并通过API/syslog方式与态感平台关联赋能
• 通过情报查询接口对海量态感日志进行过滤、筛选、处置
优先级排列、上下文丰富,提升态感平台检测与关联分析
能力
• 基于上述情报赋能识别关键事件,并联动各类网络与安全
设备进行自动化处置
价值
• 提升平台的威胁发现和关联分析能力,例如失陷检测、告警过
滤、业务风控、登录异常、情报共享、自动拦截等。
• 联动现有设备,提升原有安全投入的价值,加速响应过程
• 全面赋能态感平台,聚焦真实事件、构建关联分析模型、自动
化处置能力,全面加速MTTD、MTTR
减少告警、提炼事件、情报赋能、情报生产、联动处置
威胁情报检测与管理中心解决方案
需求
• 缺少载体向人行态势感知与信息共享平台上报企业安全数据
• 企业总部办公网缺少内网失陷威胁检测能力
• 分行流量采集检测系统威胁检测能力弱
• Arcsight、CIS、终端日志存储审计平台等大数据平台被海量日志淹没
• 高级威胁事件缺少攻击者背景信息难以进行深入分析与溯源
• 企业手中掌握的情报数据没有落地平台且数据质量差
方案
• 一期是以TDP 为基础,构建总行威胁情报检测中心,通过对出站
流量的持续检测,形成覆盖总行办公网的失陷威胁检测能力
• 二期是以TIP为核心,构建威胁情报管理中心,通过与分行流量采
集检测系统、Arcsight 和安全设备建立情报查询 API 接口进行情
报赋能,提高分行和各类大数据分析平台威胁检测与分析能力
• 以 TIP 平台为依托,快速构建人行金融行业态势感知与信息共享
上报模块,并承接人行下发的情报数据,落实人行相关要求
价值
• 快速有效应对人行安全数据上报要求
• 大幅降低总行内网被控主机数量
• 有效提升总行与分行的威胁态势感知与分析能力
• 大幅缩减安全运营团队威胁处置响应效率
• 威胁情报中心全面赋能企业整体安全能力
覆盖全行的基于威胁情报检测分析能力、情报赋能分析平台、人行上报
流量检测响应平台与主机检测响应平台联动方案
需求
• 越来越多的网络流量采用加密方式使流量检测成为盲点
• 无文件落地、免杀和样本变种使终端检测愈发困难
• 单纯依靠流量和终端检测方式很难全面发现各类威胁
• 高级威胁深入溯源分析需要结合网和端两侧数据
• Webshell和远控木马,变种多发现难,是网端联动典型场景
方案
• TDP与OneEDR联动,实现流量NDR与EDR的深度结合,一方
面从流量侧和终端侧互补全面准确发现威胁;另一方面,从流
量侧发现威胁,从终端侧深度定位溯源攻击路径。
• 围绕webshell场景,通过TDP精准发现webshell,并将受攻击
主机IP和shell URL同步OneEDR,OneEDR定位shell路径,最
终全面呈现webshell存放路径、威胁类型特征、网络连接行为
• 围绕失陷主机,TDP利用情报和模型精准发现失陷主机,并将主
机IP同步给OneEDR,OneEDR具体定位被控主机进程,并完成
还原进程攻击链条,实现远控威胁深度溯源。
价值
• NDR与EDR结合形成XDR解决方案
• 网络侧与终端侧互补全面发现攻击威胁
• 网络侧精准发现威胁,终端侧深度定位追溯源头
• 完整串联网络与进程链,以及主体与主体行为的关联关系
NDR与EDR联动、webshell与远控程序的精准发现与深度溯源
安全数据上报与威胁情报共享解决方案
需求
• 网络安全法、人行金融业态感平台、国有企业数字化转型
都要求逐级上报安全数据,逐级构建安全总览与态势感知
能力
• 行业标杆企业与集团总部希望通过规范数据标准和安全数
据层层上报,实现安全可视可管可控
• 下游企业希望通过上级单位情报共享赋能自身安全能力
方案
• 构建“两类平台、三大模块、两条路径”,实现逐级感知
感知与威胁情报共享赋能
• 总部层面以TIP为基础,构建态势感知与情报共享总平台,
在二三级分支机构构建态势感知与情报共享分平台
• 总平台与分平台主要包括安全事件上报、威胁情报共享,
以及态势统计展示
• 自下而上上报安全数据形成态感感知能力,自上而下共享
威胁情报数据,赋能安全能力
价值
• 规范体系内安全事件数据与威胁情报标准,为各级单位安全协
同(一点感知、全网联动)奠定数据基础
• 上级单位能够对辖属单位安全态势和具体安全事件进行总览,
提高安全集中管控能力
• 总部自产情报或引入三方情报,为下级单位提供情报数据,赋
能各安全体系检测、分析与处置能力
统一安全数据与情报标准、逐级安全态势感知、逐级情报共享赋能
远程办公安全接入互联网解决方案
需求
• 疫情期间,远程办公终端激增,难以短时间内完成安全防
护,并且安装Agent极易出现兼容性与稳定性问题
• 员工在外违规上网及感染恶意程序等问题,极易带入企业
内网,造成大面积感染
• 传统漫游终端难以对高级威胁进行自动化响应,并且众多
终端难以进行集中管控和策略管控
方案
• 利用OneDNS互联网安全接入服务,并在近万台漫游终端
安装a g e n t , 通 过 修 改 D N S 递 归 解 析 地 址 指 向 云 端
OneDNS
• 通过VPN准入控制快速实现近万台主机的Agent安装
• 办公终端在企业内网与远程办公漫游下安全防护无缝切换
• 远程办公终端安全威胁全面防护(APT、钓鱼、恶意程序等)
• 上网行为统一监控管理,威胁主机精准定位
• 海量远程办公终端统一监控、管理与展示
价值
• 通过轻量化Agent,结合VPN准入控制,实现海量终端的快速安装
• 办公终端无论是否在内网后,能实现安全防护的无缝衔接
• 基于情报拦截有害程序恶意通信方式,威胁覆盖度高且拦截精准
• 实现对远程办公员工上网行为的识别和访问策略限制
• 从云端整体视角对上万台主机威胁风险和上网行为进行监控和管理
• 云端SaaS成本较低,而且统一维护升级和配置管理等运维成本较低
SaaS安全云、轻量部署低成本、恶意通信与上网行为管控、阻断与定位
互联网暴露资产收敛与风险监控解决方案
需求
• 大型集团总部及分支机构互联网出口众多,是黑客和HW攻
击队重要的攻击目标
• 大量域名、IP、服务、端口暴露互联网,有意无意泄露的
邮箱、口令、代码等数据资产极易被利用进行钓鱼攻击
• 新增、未经审核、未知的企业网站和互联网暴露资产
• 针对各级互联网出口的威胁监控和集中管控缺失
方案
• 依托云端资产风险监控技术(外部威胁监控平台),从攻击者
视角发现暴露资产
• 出口部署内部资产梳理设备(威胁感知平台),从内部视角细
粒度发现资产
• 内外资产映射对应关联、新上线资产、互联网暴露资产
• 互联网出口位置部署攻击感知设备(威胁感知平台),级联实
现全集团出口威胁态势总控
• 针对无安全人员机构和远程办公人员,接入OneDNS
• 引入专业安全服务,持续响应针对互联网出口的安全事件
价值
• 攻击者与内部双向视角监测资产,兼顾网络资产、数据资产与
安全威胁
• 互联网出口资产与威胁检测全覆盖
• 可扩展级联总控模式
• 本地设备资产与威胁一体,减低实施与部署成本
• 服务形成动态、闭环管理
互联网出口收敛、资产梳理与威胁监控、级联总控模式
