首页 > 解决方案 > 运营商办公内网高级威胁防护方案

运营商办公内网高级威胁防护方案

产品文档

一.  背景和需求

作为支撑MSS系统(管理支撑系统)的重要组成,运营商行业办公网承载了OA、企业门户、财务等管理信息系统,处理大量重要管理和运营数据与信息,这对其安全性提出了很高的要求。

虽然电信办公网部署了各类传统安全产品,但近年来,运营商仍发生了多起信息泄露事件。随着近年APT这类高级威胁的频繁发生,传统安全产品的防线很容易被突破,电信内网面临的挑战加剧。在这种背景下,需要考虑电信网络对APT威胁这类高级威胁的防范,相关安全风险及需求如下:

1.       来自互联网的高级入侵。办公网访问WEB、外部邮件、文件上传下载都易引入文件捆绑类的高级入侵攻击。内部失陷主机也会通过互联网接受黑客远程控制。

2.       内网办公终端的高级恶意代码威胁。未知的僵木蠕等恶意代码,可以轻易躲避反病毒软件并在内网长期控制和渗透。重点关注运维终端的特种木马防范,这是登陆服务区的入口。

3.       邮件和文件服务器的恶意代码传播。邮件和文件服务器中的恶意文件是内部传播恶意代码的主要途径。需要进行重点防范。

4.       MSS等内部服务区域的高级恶意代码防范。MSS系统内部存在大量重要、核心数据。需要防范高级恶意代码攻击。

二.  方案设计

2.1  概述

通过在运营商办公网建立一套覆盖网络流量威胁检测产品(铁穹高级持续性威胁预警系统)和终端威胁检测产品(明镜木马深度检测系统)的方案,实时检测和响应来自互联网的高级攻击,发现和清理内部办公终端、业务服务区等隐藏的特种木马。对MSS区域和邮件/文件服务器实施重点监控,防范高级恶意攻击和传播。

2.2  方案组成

如下图所示。铁穹旁路部署在内、外部各网络边界,明镜终端探针根据需要随时安装在各终端上,

1.      各办公网出口部署东巽铁穹产品。在各区域办公网出口位置分别部署东巽铁穹产品,实时监控来自互联网的钓鱼邮件/网站、文件捆绑类高级攻击,监控外部黑客对内网主机的远程控制行为,定位内部失陷主机。

2.      内部邮件和文件服务器前部署铁穹。集中检测内部通过内部邮件或文件进行渗透传播的各类恶意代码攻击,防范常见的APT入侵途径。

3.      MSS系统的内网重要应用/业务服务器前部署铁穹。针对重要业务实施重点防护。

4.      内网部署一套明镜木马深度检测系统。用于对基于铁穹或其他安全产品定位的可以主机,进行分布式实时取证和集中式分析,深度检测未知的终端特种木马。也可定期对终端进行巡检,清理各类高级的僵木蠕恶意代码。

5.      高级安全服务:东巽安全服务团队基于部署的东巽APT产品,提供定期(月/季)木马巡检服务,高级木马人工分析服务,帮助清除内网各类恶意代码和攻击威胁。

 

2.3  功能

1.   攻击流量检测

通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等威胁

2.   失陷主机定位

通过网络流量分析定位被攻击并植入恶意代码的失陷主机。

3.   攻击态势感知

多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角。

4.   铁穹和明镜的闭环分析

支持铁穹检测和定位失陷主机和未知木马可以行为,明镜进行深度的取证分析和判定。

5.   终端木马行为痕迹深度取证

终端探针工作在驱动层,对木马执行涉及的终端进程、文件、服务、内存、注册表、钩子、网络等可疑数据进行全面、深度的数据采集和取证。

6.   终端已知/未知的木马、间谍、后门等恶意代码深度分析

基于终端取证数据,分析中心采用木马行为分析、全球威胁情报检测、文件静态检测等引擎深入分析和判定各类已知和未知的木马、间谍、后门、蠕虫等终端恶意软件。

7.   灵活的终端木马分析方式

既支持对终端数据的实时分析,也支持历史数据的反复回溯分析。既支持对人工离线采集数据导入分析中心分析,也支持对终端在线采集数据的自动上传分析。

 

2.4  特点

1、  全面的威胁检测

铁穹基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率。

2、  未知威胁和APT攻击检测

采用木马流量和终端的行为模式分析技术、机器学习分析、动态虚拟执行分析、全球威胁情报等新一代动态威胁分析技术,深度分析未知攻击和终端木马。

3、  决策导向的可视化

独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸。

4、  独有的终端未知木马分析

国内独有的采用终端取证、木马行为模式分析,结合全球威胁情报技术,深度分析未知木马。

5、  联动网络检测,落地闭环处置

可配套铁穹和全球眼,形成网络检测和终端落地的联动方案,实现安全闭环。

6、  灵活部署方式

铁穹支持单机、集群及分布式部署、集中管理等方式,适应不同场景的部署。

三.  产品配置

3.1  产品配置清单

1.    根据现网流量大小和部署位置,选择合适的铁穹产品型号部署:

1)      百兆:TQ500PTQ500E

2)      千兆:TQ1000PTQ1000E

3)      多千兆:TQ3000PTQ3000E

2.    明镜木马深度检测系统除了系统软硬件的配置外,需要确定终端数目,以便购买 XXX数量的终端授权。