微步在线：典型场景与解决方案

2022-12-10 11:10阅读：

http://blog.sina.cn/dpool/blog/u/5662844557

全流量威胁检测与响应解决方案
需求
•外网攻击、内网失陷、内部区域间横向渗透无法全面识别，
且无法以攻击者视角还原攻击全貌
•互联网出口、DMZ/数据中心边界、办公内外网、下属单位
汇聚口无法全面覆盖，集中管控
•现有入侵检测设备很多，但是在APT攻击、HW攻击等场景
下起不到太大作用
方案
•针对企业互联网总出口，通过TDP发现外部攻击者针对集团整
体攻击，以及整个内网失陷事件及对外攻击事件，严控企业互
联网出口，避免GA/网信监管通报，并作为总控实现总览。
•总控定位失陷网络区域，下级平台定位具体主机，Agent定位
主机进程
•在DMZ/数据中心边界，通过TDP识别针对生产业务系统的真
实攻击、数据窃取，并实现应用服务资产梳理
•在分支机构上联口，通过TDP识别分支机构内部威胁，以及作
为跳板攻击其他分支和总部攻击事件
•在企业核心交换，通过TDP发现内部各区域间横向攻击行为
价值
•该方案实现全部网络流量与威胁全方位覆盖
•高质量规则、情报，以及事件

关联模型，确保精准告警
•情报更新机制，确保HW及突发安全事件快速更新识别
•集检测、分析、处置、溯源、情报共享、级联管控与一体
攻击阶段覆盖全、告警精准、攻击还原粒度、黑客画像与溯源、处置响应

微步在线：典型场景与解决方案

覆盖事前、事中、事后的HW解决方案
需求
•HW单位资产暴露风险、漏洞、泄露敏感数据众多
•HW红队钓鱼邮件等攻击防不胜防，如何预防社工攻击
•如何在海量告警中识别HW攻击并进行应急响应
•缺乏溯源线索提取、攻击者身份和所属攻击队溯源能力
•个别客户初次HW对人员、设备、流程、规则知之甚少
方案
•安全设备、情报数据、一线安服驻场、二线分析师、项目
经理相结合，提供覆盖事前、事中、事后的HW解决方案
•事前提供方案制定、资产梳理、漏洞扫描、渗透测试、安
全加固、攻防演练、安全培训等服务
•事中通过自有安全设备与企业现有安全设备进行攻击/社
工监测、应急处置、追踪溯源、情报共享等服务
•事后提供复盘总结、技战法与hw总结报告编制、安全体
系优化加固等服务
价值
•业内顶尖的HW情报共享与落地应用能力
•2020年HW2W 溯源加分与单报告2575加分
•覆盖流量与终端的HW检测产品，以及蜜罐与溯源工具
•项目经理、专业驻场、安全分析与溯源团队服务支撑
领先的溯源加分能力、HW阶段全覆盖、HW情报共享与应用技战法、专业团队

微步在线：典型场景与解决方案

情报赋能态势感知解决方案
需求
•态感平台采集各类安全设备海量告警日志，其中存在大量
无价值告警甚至误报，如何筛选关键事件
•态势感知建设周期长投入大，如何能快速提升态势分析能
力并提升效果
•海量数据如何建立数据之间的关联分析场景模型和处置模
型，提升安全运营效率
方案
•本地部署威胁情报管理平台，将高质量威胁情报数据本地
化存储，并通过API/syslog方式与态感平台关联赋能
•通过情报查询接口对海量态感日志进行过滤、筛选、处置
优先级排列、上下文丰富，提升态感平台检测与关联分析
能力
•基于上述情报赋能识别关键事件，并联动各类网络与安全
设备进行自动化处置
价值
•提升平台的威胁发现和关联分析能力，例如失陷检测、告警过
滤、业务风控、登录异常、情报共享、自动拦截等。
•联动现有设备，提升原有安全投入的价值，加速响应过程
•全面赋能态感平台，聚焦真实事件、构建关联分析模型、自动
化处置能力，全面加速MTTD、MTTR
减少告警、提炼事件、情报赋能、情报生产、联动处置

微步在线：典型场景与解决方案

威胁情报检测与管理中心解决方案
需求
•缺少载体向人行态势感知与信息共享平台上报企业安全数据
•企业总部办公网缺少内网失陷威胁检测能力
•分行流量采集检测系统威胁检测能力弱
•Arcsight、CIS、终端日志存储审计平台等大数据平台被海量日志淹没
•高级威胁事件缺少攻击者背景信息难以进行深入分析与溯源
•企业手中掌握的情报数据没有落地平台且数据质量差
方案
•一期是以TDP为基础，构建总行威胁情报检测中心，通过对出站
流量的持续检测，形成覆盖总行办公网的失陷威胁检测能力
•二期是以TIP为核心，构建威胁情报管理中心，通过与分行流量采
集检测系统、Arcsight和安全设备建立情报查询API接口进行情
报赋能，提高分行和各类大数据分析平台威胁检测与分析能力
•以TIP平台为依托，快速构建人行金融行业态势感知与信息共享
上报模块，并承接人行下发的情报数据，落实人行相关要求
价值
•快速有效应对人行安全数据上报要求
•大幅降低总行内网被控主机数量
•有效提升总行与分行的威胁态势感知与分析能力
•大幅缩减安全运营团队威胁处置响应效率
•威胁情报中心全面赋能企业整体安全能力
覆盖全行的基于威胁情报检测分析能力、情报赋能分析平台、人行上报

微步在线：典型场景与解决方案

流量检测响应平台与主机检测响应平台联动方案
需求
•越来越多的网络流量采用加密方式使流量检测成为盲点
•无文件落地、免杀和样本变种使终端检测愈发困难
•单纯依靠流量和终端检测方式很难全面发现各类威胁
•高级威胁深入溯源分析需要结合网和端两侧数据
•Webshell和远控木马，变种多发现难，是网端联动典型场景
方案
•TDP与OneEDR联动，实现流量NDR与EDR的深度结合，一方
面从流量侧和终端侧互补全面准确发现威胁；另一方面，从流
量侧发现威胁，从终端侧深度定位溯源攻击路径。
•围绕webshell场景，通过TDP精准发现webshell，并将受攻击
主机IP和shellURL同步OneEDR，OneEDR定位shell路径，最
终全面呈现webshell存放路径、威胁类型特征、网络连接行为
•围绕失陷主机，TDP利用情报和模型精准发现失陷主机，并将主
机IP同步给OneEDR，OneEDR具体定位被控主机进程，并完成
还原进程攻击链条，实现远控威胁深度溯源。
价值
•NDR与EDR结合形成XDR解决方案
•网络侧与终端侧互补全面发现攻击威胁
•网络侧精准发现威胁，终端侧深度定位追溯源头
•完整串联网络与进程链，以及主体与主体行为的关联关系
NDR与EDR联动、webshell与远控程序的精准发现与深度溯源

微步在线：典型场景与解决方案

安全数据上报与威胁情报共享解决方案
需求
•网络安全法、人行金融业态感平台、国有企业数字化转型
都要求逐级上报安全数据，逐级构建安全总览与态势感知
能力
•行业标杆企业与集团总部希望通过规范数据标准和安全数
据层层上报，实现安全可视可管可控
•下游企业希望通过上级单位情报共享赋能自身安全能力
方案
•构建“两类平台、三大模块、两条路径”，实现逐级感知
感知与威胁情报共享赋能
•总部层面以TIP为基础，构建态势感知与情报共享总平台，
在二三级分支机构构建态势感知与情报共享分平台
•总平台与分平台主要包括安全事件上报、威胁情报共享，
以及态势统计展示
•自下而上上报安全数据形成态感感知能力，自上而下共享
威胁情报数据，赋能安全能力
价值
•规范体系内安全事件数据与威胁情报标准，为各级单位安全协
同（一点感知、全网联动）奠定数据基础
•上级单位能够对辖属单位安全态势和具体安全事件进行总览，
提高安全集中管控能力
•总部自产情报或引入三方情报，为下级单位提供情报数据，赋
能各安全体系检测、分析与处置能力
统一安全数据与情报标准、逐级安全态势感知、逐级情报共享赋能

微步在线：典型场景与解决方案

远程办公安全接入互联网解决方案
需求
•疫情期间，远程办公终端激增，难以短时间内完成安全防
护，并且安装Agent极易出现兼容性与稳定性问题
•员工在外违规上网及感染恶意程序等问题，极易带入企业
内网，造成大面积感染
•传统漫游终端难以对高级威胁进行自动化响应，并且众多
终端难以进行集中管控和策略管控
方案
•利用OneDNS互联网安全接入服务，并在近万台漫游终端
安装ag e n t ，通过修改 DN S 递归解析地址指向云端
OneDNS
•通过VPN准入控制快速实现近万台主机的Agent安装
•办公终端在企业内网与远程办公漫游下安全防护无缝切换
•远程办公终端安全威胁全面防护（APT、钓鱼、恶意程序等）
•上网行为统一监控管理，威胁主机精准定位
•海量远程办公终端统一监控、管理与展示
价值
•通过轻量化Agent，结合VPN准入控制，实现海量终端的快速安装
•办公终端无论是否在内网后，能实现安全防护的无缝衔接
•基于情报拦截有害程序恶意通信方式，威胁覆盖度高且拦截精准
•实现对远程办公员工上网行为的识别和访问策略限制
•从云端整体视角对上万台主机威胁风险和上网行为进行监控和管理
•云端SaaS成本较低，而且统一维护升级和配置管理等运维成本较低
SaaS安全云、轻量部署低成本、恶意通信与上网行为管控、阻断与定位

微步在线：典型场景与解决方案

互联网暴露资产收敛与风险监控解决方案
需求
•大型集团总部及分支机构互联网出口众多，是黑客和HW攻
击队重要的攻击目标
•大量域名、IP、服务、端口暴露互联网，有意无意泄露的
邮箱、口令、代码等数据资产极易被利用进行钓鱼攻击
•新增、未经审核、未知的企业网站和互联网暴露资产
•针对各级互联网出口的威胁监控和集中管控缺失
方案
•依托云端资产风险监控技术（外部威胁监控平台），从攻击者
视角发现暴露资产
•出口部署内部资产梳理设备（威胁感知平台），从内部视角细
粒度发现资产
•内外资产映射对应关联、新上线资产、互联网暴露资产
•互联网出口位置部署攻击感知设备（威胁感知平台），级联实
现全集团出口威胁态势总控
•针对无安全人员机构和远程办公人员，接入OneDNS
•引入专业安全服务，持续响应针对互联网出口的安全事件
价值
•攻击者与内部双向视角监测资产，兼顾网络资产、数据资产与
安全威胁
•互联网出口资产与威胁检测全覆盖
•可扩展级联总控模式
•本地设备资产与威胁一体，减低实施与部署成本
•服务形成动态、闭环管理
互联网出口收敛、资产梳理与威胁监控、级联总控模式

微步在线：典型场景与解决方案

公司名称：北京哲想软件有限公司
北京哲想软件官方网站：cogitosoft.com
北京哲想软件微信公众平台账号：cogitosoftware
北京哲想软件微博：哲想软件
北京哲想软件邮箱：sales@ cogitosoft.com
销售（俞先生）联系方式： 86（010）68421378
微信：18610247936 QQ：368531638

举报/Report

我的更多文章

下载客户端阅读体验更佳