办公内网高级威胁防护方案

背景与需求

公安内网是公安部门内部办公、运营支撑等的内部系统,包含办公网、WEB承载的内部服务应用、业务信息系统等。公安内网是和互联网隔离的内部广域网,各地市公安内网通常集中连接到省网内网,省网上联部网络。公安内网通常是等保三级系统,内含大量机密信息。其一般存在以下安全风险:

  1. 1、省网内网和地市内网的连接。存在跨网攻击风险。如跨网的木马、蠕虫传播,木马控制,扫描和漏洞攻击等
  2. 2、内网恶意代码威胁。内网虽然对外隔离,但一旦感染僵木蠕等恶意代码,将在网内长期控制和渗透。伺机窃取数据(外接AP,网中网,U盘摆渡等)或进行破坏
  3. 3、WEB承载的内部服务应用遭受终端攻击

此外,需重点关注上述风险中的高级威胁——APT攻击风险。APT常采用邮件捆绑攻击、未知恶意文件攻击、高级木马或间谍软件等未知恶意代码等技术,可以有效躲避传统安全检测,需要重点防范。

解决方案

通过在公安内网建立一套覆盖网络流量威胁检测产品(铁穹高级持续性威胁预警系统)和终端威胁检测产品(明镜木马深度检测系统)的方案,实时检测和响应各地市和省网间的网络攻击及网络内部的各类攻击,定位和处置内部被植入恶意代码的主机。尤其针对未知木马、后门、蠕虫等APT攻击的检测和处置。

铁穹旁路部署在内、外部各网络边界,明镜终端探针根据需要随时安装在各终端上。
  • 各地市部署东巽铁穹产品。在各地市连接省网的位置分别部署东巽铁穹产品,帮助地市内网对来自省网的攻击进行检测和分析,同时及时监测本内网是否有发起针对省网的攻击。分析其中的高级攻击行为
  • 省网部署东巽铁穹产品。在省网连接各地市的节点部署铁穹产品,监控来自各地市的攻击及本网对各地市的攻击,发现高级恶意代码攻击
  • 各省、市内网分别部署明镜木马深度检测系统。明镜终端探针取证内网各终端上的可疑数据,集中发给内网的明镜分析中心,集中判定各类木马、蠕虫、间谍软件等,深度分析APT攻击中的高级恶意代码
  • 内部邮件和文件服务器前部署铁穹。集中检测内部通过内部邮件或文件进行渗透传播的各类恶意代码攻击,防范常见的APT入侵途径
  • 内网重要应用/业务服务器前部署铁穹。针对重要业务实施重点防护
  • 高级安全服务:东巽安全服务团队基于部署的东巽APT产品,提供定期(月/季)木马巡检服务,高级木马人工分析服务,帮助清除内网各类恶意代码和攻击威胁

方案功能

1、攻击流量检测
  • 通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等威胁
2、失陷主机定位
  • 通过网络流量分析定位被攻击并植入恶意代码的失陷主机
3、攻击态势感知
  • 多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角
4、铁穹与明镜的闭环分析
  • 通过网络流量分析定位被攻击并植入恶意代码的失陷主机
5、终端木马行为痕迹深度取证
  • 终端探针工作在驱动层,对木马执行涉及的终端进程、文件、服务、内存、注册表、钩子、网络等可疑数据进行全面、深度的数据采集和取证
6、终端已知/未知的木马、间谍、后门等恶意代码深度分析
  • 基于终端取证数据,分析中心采用木马行为分析、全球威胁情报检测、文件静态检测等引擎深入分析和判定各类已知和未知的木马、间谍、后门、蠕虫等终端恶意软件
7、灵活的终端木马分析方式
  • 既支持对终端数据的实时分析,也支持历史数据的反复回溯分析。既支持对人工离线采集数据导入分析中心分析,也支持对终端在线采集数据的自动上传分析

方案特点

1、全面的威胁检测
  • 铁穹基于网络杀伤链的武器投递、漏洞利用、终端植入、远程控制、价值实现等多阶段的威胁检测,大大提升对APT攻击的检测效率
2、未知威胁和APT攻击检测
  • 采用木马流量和终端的行为模式分析技术、机器学习分析、动态虚拟执行分析、全球威胁情报等新一代动态威胁分析技术,深度分析未知攻击和终端木马
3、决策导向的可视化
  • 独一无二的杀伤链、实体关系、时间线等的微观事件的可视化分析、结合宏观趋势和分布分析,真正支持攻击分析和决策,拒绝海量误报和信息爆炸
4、独有的终端未知木马分析
  • 国内独有的采用终端取证、木马行为模式分析,结合全球威胁情报技术,深度分析未知木马
5、联动网络检测,落地闭环处置
  • 可配套铁穹和全球眼,形成网络检测和终端落地的联动方案,实现安全闭环
6、灵活部署方式
  • 铁穹支持单机、集群及分布式部署、集中管理等方式,适应不同场景的部署