观安观鉴流量审计系统_网络威胁检测响应系统

观安观鉴流量审计系统

观安观鉴流量审计系统，通过镜像方式采集网络边界流量，对流量进行协议解析、文件还原、资产识别；基于流量特征检测、威胁情报匹配、协议行为分析、敏感信息检测和沙箱文件分析等技术手段识别已知、未知威胁；系统可以与态势平台、UEBA、通报预警系统、网络防护设备等第三方平台对接，实现威胁检测、数据共享、告警通知、联动响应，推动企业完善网络安全生命周期管理闭环。

立即咨询

业务安全需求一、潜在安全威胁 icon

社会影响（由业务攻击引发）

攻击长期未被发现，舆情集
中爆发，导致以下问题：
· 社会公信力下降
· 民众影响力下降
· 市场影响力下降
· 品牌声誉下降。

损失损害（由持续攻击累积）

异常通信持续存在，最终触发系统不可用等问题：

· 业务欺诈与直接经济损失

· 违规操作导致行政问责

· 关键业务异常
· 国家级关键业务安全风险。

业务中断（由异常通信导致）

异常通信占用资源、影响系统运行
· 网络行为被监控
· 违规操作和窃密

· 恶意流量占带宽
· 网络和系统瘫痪。

业务安全（被正常流量掩盖）

攻击隐藏在正常业务流量中，难
以被发现
· 主机中勒索病毒被加密

· 办公机器被当成“养马场”

· 办公机器被当成“肉鸡”

· 服务器数据库被监控

· 核心数据机器被窃密。

业务安全需求二、传统安全设备能力有限 icon

传统安全产品力不从心

现有防火墙、IPs等产品能够防御大多数攻击。单点检测的不足：无法识别跨阶段、低频通信行为。

面对海量安全数据无所适从

多种安全设备产生海量低精度告警信息，缺乏对原始流量与上下文的统一分析能力。

高级攻击导致严重危害

少数的高级攻击造成了大部分损失。

遇到攻击无法及时响应

无法快速还原攻击发生前后的通信过程与影响范围。

单点检测的不足

针对APT攻击，光靠单点检测不足以发现APT

APT等攻击并非单点事件，而是长期、低频、跨阶段的通信行为。

缺乏事后追溯与取证

缺乏原始流量记录和有效检索能力，难以事后追查原因与界定责任。

业务安全需求三、安全建设新趋势 icon

“检测能力"
指用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的"停摆时间”以及其他潜在的损失。检测能力非常关键，因为必须假设攻击已经混入正常业务流量之中。

安全建设重心，从 “事前阻断” 转向 “持续检测”
检测对象，从“攻击特征” 转向 "真实通信行为”
投资方向，从"边界防护” 转向 "流量与行为分析能力”

产品介绍

Gartner:2017年6月份，网络流量分析技术(NTA)入选了Gartner 《2017年11大顶尖信息安全技术》

Gartner作为国际知名的权威咨询机构指出：NTA解决方案通过监控网络流量、网络连接和网络对象来识别恶意的行为迹象。对于绕过网络边界安全进行高级持续攻击的识别，建议考虑使用NTA技术来帮助企业识别、管理和分类这些事件，并辅助进行安全决策。

通过镜像方式采集网络边界流量，对流量进行协议解析、文件还原、资产识别；基于流量特征检测、威胁情报匹配、协议行为分析、敏感信息检测和沙箱文件分析等技术手段识别已知、未知威胁；系统可对原始流量包、解析后的协议数据、还原文件及告警事件进行按需存储，方便事件溯源取证；系统可以与态势平台、UEBA、通报预警系统、网络防护设备等第三方平台对接，实现威胁检测、数据共享、告警通知、联动响应，推动企业完善网络安全生命周期管理闭环。

产品实现思路

产品理念
重视安全检测能力，在攻防演习、挖矿等场景发挥作用，和观安态势、UEBA平台完美搭配（有用）

提供运维人员感兴趣的安全视图和报表，提供低成本的产品运营模式（好用）。

产品介绍 - 功能架构 icon

核心功能 - 流量识别 icon

流量采集能力

1、网络层(VLAN、VXLAN等)、传输层(TCP、UDP等)协议解释
2、应用层协议解释深度解释支持50+-通用协议、数据库协议、VPN协议、工控物联网协议等
3、加密流量解释（证书日志、RSA私钥导入），不支持DHE、ECDHE等加密算法 (密钥每次都变)
4、支持7种协议中文件还原（HTTP、FTP、邮件等）
5、文件还原类型支持50+，支持自定义扩展文件类型。

核心功能 - 资产识别 icon

溯源反制能力

1、资产被动识别-通过流量被动识别资产并归并资产组。
2、资产服务被动识别-被动识别资产以及服务，包括Web服务、数据库服务邮件服务、远程操作服务、认证服务、文件传输服务等。旁路部署业务无影响，访问过必有痕迹。
3、API服务被动识别-域名资产以及上面的API服务

核心功能 - 资产识别 icon

1、通过流量被动识别有哪些资产，是否收到了监管，开放了哪些服务，资产的活跃情况等，并且提供了资产服务热力图，企业资产情况一目了然。

1、API是重要数据传输接口，面临的重大安全风险(OWASPAPITOP10)，所以第一步重要的措施就是API资产梳理-NTA可以通过流量被动的梳理API接口，对业务无任何影响。

核心功能 - 威胁检测 icon

攻击分析能力

1、特征检测引擎：漏洞统计、web应用攻击、攻击工具识别、扫描识别等

2、恶意文件检测引擎：分为静态检测 (杀毒、YARA) 和动态检测(沙箱-Windows/Linux/Android)
3、行为分析引擎：DGA、ICMP隧道、DNS隧道、协议暴力破解等
4、威胁情报引擎：IP/URL/DOMAIN/FileHash
5、自定义规则引擎：流量审计功能

6、敏感信息泄露风险识别，支持应用 (http、api、邮件、数据库)敏感信息识别及文本文件敏感信息识别。

核心功能 - 安全可视 icon

事件管理

流量特征引擎告警、沙箱告警、情报告警、自定义引擎告警统一事件管理攻击者视角、资产视角分析攻击者情况、受害资产状况。

自定义仪表盘

自主定义各类监控视图；

事件分析类、网络协议分析类、攻击者分析类、受害资产类、事件处置状态类、系统运维类图表50+。

安全大屏

综合安全大屏
资产风险大屏

攻击威胁大屏。

报告报表

报表模板可自定义
报告生成任务自由配置
报表内置图表50+。

核心功能 - 分析溯源 icon

溯源取证能力

1、网络日志：支持7层应用协议(常见协议、邮件协议、数据库协议、远程服务协议、工控协议等) 和会话协议(TCP、UDP、IP) 日志检索，并支持时间轴展示以及灵活的聚合分析

2、文件还原日志：灵活的搜索条件 (源目IP、文件名、行为、协议等)，以及统计信息(文件类型、协议等)

3、流量包分析：支持离线流量包分析以及在线抓包

4、文件威胁分析：支持离线文件威胁分析以及在线文件威胁分析 (FTP、TFTP、SMB等)

核心功能 - 数据共享 icon

联动处置能力

1、告警：邮箱、短信、消息中心
2、处置：内置于观镜联动、旁路阻断、
加白名单等
3、数据共享：通过syslog、kafka发送告警信息（支持告警等级、引擎类别过滤）或网络日志（支持日志类型过滤），也支持OpenAPI对关键信息的访问（事件、日志、流量包、文件还原
、资产服务、APl、设备状态等）

应用场景 - HW场景&日常攻防 icon

业务场景
HW是典型的事件驱动，也是推广网络安全产品最好的时机之一。在此场景下，客户(防守方)关注的是如何得分?
↓ 防守方得分
采用工具或手段
工具使用
监测发现
· 应用层漏洞利用
· 系统层漏洞利用
· 弱口令攻击
· 网站木马攻击
· 搭建隐蔽通道
追踪溯源
追溯朔源到攻击者信息-根据攻击主机或控制主机的可信度、路径长度、路径还原完整度和复杂度酌情给分。

Hw不同阶段采用观安网安不同产品

HW案例 - 不同阶段防护侧重点不同 icon

应用场景 - 挖矿检测 icon

业务场景
1、合规驱动
2021年9月24日，国家发改委等11部门发布《关于整治虚拟货币"挖矿”活动的通知》，严禁新增虚拟货币挖矿”项目，加快存量项目有序退出

各地通管局发文：
与通管局合作，借力向通报企业推NTA
2、业务驱动
对于运营商如果政企客户的主机被入侵用作挖矿，会影响整个通信带宽甚至硬盘
移动每年的试点示范项目。

与运营商合作，除了IT部门，还可以与政企客户合作，主打挖矿检测这个点。

挖矿检测效果示意图

应用场景 - 合规

业务场景

1、合规驱动

2022年基础电信企业专业公司网络与信息安全工作考核要点-网络安全态势感知平台应覆盖企业办公网所有互联网出入口流量，2022年9月底前通过集团公司完成实时对接部网络安全综合保障平台，不满足的扣30分

2、业务驱动
通过网络流量审计及安全态势感知平台。相关能力建设，整体提升基础电信企业办公网络、邮件系统安全防护水平。针对办公网络的木马远程控制、非法外联外部攻击入侵以及邮箱系统的异常登录、异常外发、异常下载等行为开展常态化监测，及时发现清除木马，封堵后门，消除重大安全隐患。

典型部署 - 独立部署 icon

一体机独立部署，监测内网安全态势。

将NTA一体机部署至核心交换机旁边，可以接收所有内网流量，监测内网安全态势，发现恶意文件传播、木马、蠕虫、Web攻击、远程控制等多种威胁;可将发现的恶意IP或URL下发策略到防火墙或者其他相应处置设备上，进行威胁处置，实现内网网络安全态势监控。

典型部署 - 分布式部署 icon

分布式部署，监测分支机构网络安全。

针对需要将来自不同区域流量进行区分的场景，可将流量探针分别部署在不同的办公区内，将管理平台、沙箱探针、态势感知设备部署在总交换机旁，各区域的流量采集探针将发送数据给管理平台，沙箱探针从管理平台获取文件进行检测，将检出的文件分析报告发送给管理平台进行统一呈现;用户即可在管理平台侧查看各分支结构的安全情况。支持在管理平台配置Syslog或Kafka相关数据发送策略，将流量数据发送给态势感知平台，实现威胁检测、数据共享、告警通知、联动响应的网络安全生命周期闭环。

此外，骨干网大流量场景也适用于分布式部署方式。

NTA经典成功案例 - 运营商行业 icon

项目背景
健全企业内网安全运维能力，尽快形成完整的内网信息安全防护管理体系，提高综合服务支撑能力为工作重点，实现在实战中提升网络安全防护和应急处置响应为目的。

客户需求
面对安全新痛点，满足业务系统集中化规划演进路线和新形势下安全威胁监测面临的挑战要求，需建设基于大数据分析的智能化量监测与审计系统。

解决方案

1、采购一套流量监测与审计系统，构建信息化安全智能防护能力，提升整体安全能力建设，实现安全威胁智能化模型分析、智能化快速处置。
2、通过流量监测与审计系统旁路部署，旁路采集汇聚交换机及核心交换机镜像流量，自动采集流量进行分析和检测，全部自动化分析处理。

客户收益

1、产品满足了新等保2.0对网络攻击检测和流量溯源要求，特别是针对未知的新型网络攻击和APT攻击。
2、提出了多种适用于流量场景下的安全分析模型，同时利用观安信息在大数据分析方面的技术能力，合力形成了安全大数据分析技术，使得观安信息能够将自身的安全业务能力充分落地到系统建设中。

NTA经典成功案例 - 政府行业 icon

项目背景
1、某大数据中心为贯彻落实国家大数据发展的方针政策，承担政务数据、行业数据、社会数据的融合工作，开展大数据挖掘、分析;指导区级各部门数据管理工作，配合相关部门开展全区数据安全、网络安全建设，全面推进全区政务信息系统整合，构建全区数据资源服务体系。

客户需求
1、加强信息系统边界的检测能力，快速有效的发现各种恶意行为

2、加强对oday漏洞、已知漏洞的识别能力，提升预警能力

3、加强关联分析能力，采取合理技术手段，通过关联分析发现攻击行为。

解决方案
1、通过流量监测与审计系统旁路，实现对海量网络流量的采集，同时结合DP技术对采集到的2~7层网络流量进行识别，对第7层协议进行深度包识别和解析拆分。支持HTTP、TLS、SSH、DNs和DHCP等数十种协议的深度解析。
2、针对异常流量，通过模型库里的许多不同算法和特征提取，训练后生成的不同的模型数据，最终给出威胁概率。

客户收益

1、基于安全事件的元数据上下文和攻击载荷，可以帮助安全运营人员发现、研判和处置重大安全事件，如：勒索病毒、APT事件、挖矿木马等。
2、记录威胁的来源、攻击手段、攻击过程、攻击目标、攻击影响等信息，实现对攻击的过程分析和溯源分析，确定内部主机的遭受的威胁程度。