icon从实战演练讲起icon

总部边界防护严密,核心系统是所有分支系统的业务集合;分支机构网络防护参差不齐,突破边界后获取某一分支的内网漫游权限;获取到分支机构服务器权限后,寻获靶标系统源码,审计得到该系统RCE 0day;大量子系统失陷,收获等同于总部靶标失陷的战果。

icon数字化转型下网络安全形势愈发严峻icon
1.应用被攻击的后果
• 数据被窃取 • 数据被勒索加密
• 业务不可用 • 其他严重后果…
2.为什么需要主机层安全
• 主机是应用的载体 • 网络边界弱化模糊
• 流量侧检测存在置后性 • 主机侧能采集全面的信息
3. 目标
• 摸清资产清单 • 监控资产状态
• 检测入侵行为 • 处置与加固 • 追踪和溯源
4. 难点
• 资源消耗与安全性 • 应用软件指纹
• 入侵检测算法 • 处置加固能力 • 融入安全运营体系
icon如何保护工作负载免受攻击影响icon
icon产品架构icon
 
探针端
探针作为采集客户端安装在需要进行安全管控的服务器上,支持一键批量安装与卸载,部署载体包括但不限于物理机、虚拟机和云服务器等。
管理端
管理服务为用户提供基于https的管控接口,可使用浏览器进行可视化管理、或使用API实施自动化运维。
icon稳定、低负载、轻量级探针icon
支持环境:Linux、Windows等。快速部署:一条命令自动安装。稳定运行:持续监控探针稳定性状态,采用非root用户权限运行机制,最小化原则,阈值限定。
自杀与降级机制,可在业务服务器CPU、内存等资源不足时启动,保障系统稳定运行。超低负载:普通状态下CPU占用不超2%,内存占用不超80MB,峰值状态CPU占用不超5%,内存占用不超200MB。轻量级:探针负责数据采集与状态监控,管理端负责安全分析与状态管理
iconRASP vs Single Agenticon

RASP(Runtime application self-protection):RASP,即运行时应用自我保护。RSAP将自身注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有自保护的能力。Single Agent:Non-intrusive agent是一种处于一定环境下包装的代理程序,能在该环境下灵活地,自主地活动。

icon产品定位icon
 
以主机资产为核心
持续监测资产变更情况,全面梳理现网主机资产动态
安全事件为驱动
资产、漏洞、威胁持续检测
输出精准现网安全情报与指标
打造主机资产安全运营平台
持续提升安全运营效果
支撑管理规范和制度的落地
icon资产清点icon
传统资产运维
从运维角度出发收集资产信息
端口、服务、进程
未知的软件程序版本、文件类型、文件内容
安全资产运维
从安全视角审视资产、收集资产,做安全管理
恶意进程、恶意文件、异常命令
安全参数全收集,横向对比评估安全风险
icon资产清点-具体功能icon
采用多种资产管理办法
• 调度自身探针:支持定时采集与手动触发
• CMDB同步资产:API接口同步资产管理属性
• 静态资产表导入:人工导入基础资产信息
• 无主资产快速发现:ICMP、端口扫描、ARP 业务管理属性关联
• 组织架构、业务结构、空间位置
• 管理属性与IT资产属性关联整合
• 基于业务场景管理IT资产
• 安全职责落实到人
持续采集主机资产对象
建立资产的动态和持续监测机制
icon资产清点-价值优势icon

资产全量收集,精确定位每一个威胁

自动化构建
自动化构建资产安全图谱
信息细粒度全面收集
动态追踪资产变化
未知、新入资产动态更新,资产全收录
应急响应、快速定位
定位每一个安全隐患所在的主机、目录、文件,快速应急响应
icon风险感知-具体功能icon
漏洞管理
涵盖全网漏洞,漏洞库数量16W+,Poc无损验证,HW期间0day,1day快速检测。
补丁管理
资产关联补丁,定位影响范围
补丁情报提醒,修复影响提醒
Windows补丁实现批量化推送
资产监控
内置攻击者常用端口字典
监控目录或单个文件
集成文件防篡改功能
弱口令
Hash碰撞快速扫描,低性能消耗
内置常用弱口令字典、字典自定义
每日智能体检
icon合规基线-基线标准icon
合规基线功能提供安全规范的合规检测能力,帮助用户快速掌握资产安全合规情况;检测规则可根据主机系统指纹信息自动识别所适用的基线策略。安全规范范围:CIS、等级保护、重保标准。
 
操作系统
Windows,CentOS,Ubuntu,RedHat …
关键应用
Nginx,Apache,Tomcat,Docker …
数据库
MySql,SqlServer,Oracle…
icon风险感知-价值优势icon
 
主机风险全面发现
持续发现主机脆弱性
白盒视角发现风险,更加精准
检测速度更快
误报率低
主机脆弱性全面覆盖
资产数据自动关联
icon入侵检测-基于攻防角度的检测能力icon
 
1.为什么我有那么多的安全产品防护,但还是被黑客攻击成功?
2. 为什么杀毒软件识别不出恶意文件和Webshell?
3. 被攻击后的文件、命令等详细信息能否审计出来?
icon入侵检测-基于攻防角度的检测能力icon

网络攻击链(Kill Chain)检测:通过Web后门监控,反弹Shell监控,后门检测,异常文件操作等安全检测动作识别持续网络安全攻击,完整覆盖网络攻击链。ATT&CK模型14项战术全覆盖:12项战术场景覆盖,105项技术覆盖,快速感知入侵及异常行为。

icon入侵检测-具体功能icon
暴⼒破解
灵活配置检测阈值
实时监测本地登录
支持多种爆破场景
Webshell
自动实时监控、事件平均检测速度10秒,支持PHP、JSP等 WebShell检测,语义分析、机器学习、动态沙箱等多种检测方法。
提权检测
通过对进程链上各进程的用户及文件的调用关系进行深度分析检测。根据权限提升漏洞利用程序(Exploit)的特征进行检测。
命令审计
支持替换bash与非替换bash两种模式,规则检测引擎与智能检测引擎结合,全量操作审计(替换bash)。
⽹络异常
支持对异常进程、异常DNS地址、异常IP地址的检测,支持自定义规则与事件过滤规则。
异常登录
支持登录IP、登录时间、登录用户三类条件多重组合。全面审计登录成功与登录失败事件。支持检测本地登录与远程登录事件。
反弹shell
对进程行为进行实时监控,发现进程非法Shell连接操作产生的反弹Shell行为。动态触发式扫描,避免事件漏报、深度行为检测。反弹Shell事件实时监测,提高事件响应速度。
恶意⽂件
动态触发式检测,恶意文件深度扫描使用静态特征,动态特征,沙箱模拟等多种方式对文件进行扫描。一键式 隔离/信任处置。多种检测引擎交叉验证,降低漏报提升检测准确度。
蜜罐诱捕
静态蜜罐、动态蜜罐、谛听联动蜜罐。强化主机安全,提升内网威胁感知能力。
icon安全防护与阻断icon

安全防护与事件阻断 全面保障工作负载机密性 完整性 可用性

• 文件类安全事件隔离处置 • 网络流量类事件阻断 • 文件完整性监控与防篡改

icon入侵检测-价值优势icon
未知威胁检测
基于语义分析、AI算法、大数据等多种检测模型检测未知威胁攻击。有效应对护网类高强度攻防演习场景的主机安全对抗关键点。
多锚点的攻击检测
对攻击路径每个节点进行安全检测,做到了实时监控的“全”方位。可对攻击时间和维度的深度分析,整理入侵事件的来龙去脉,与其他设备一起进行关联分析。
icon管理&探针端部署icon
管理端
牧云管理平台设计基于容器架构,可灵活扩展,支持单机部署和软件集群部署;通过自研分布式底座,部署载体不限于物理服务器和虚拟机,支持线下和云上部署同时支持SaaS服务。
探针端
快速部署:支持命令行或安装包进行安装,可直连部署或代理部署。部署载体:探针作为数据采集客户端需要安装部署在业务服务器上,部署载体不仅限于物理机和虚拟机。
icon产品优势icon
安全运维
牧云管理节点基于容器部署,可支持集群。探针稳定可控,资源占用低。探针运行权限非root,安全性高。
高性能
安全策略灵活定义、事件分权分责、事件实时告警通知、事件闭环管理,运维压力小。
检测能力
从安全检测上:牧云WebShell检测引擎、全量主机伪装欺骗、容器运行阶段入侵检测、恶意文件多引擎检测、多模式安全防护等,安全检测能力更突出。
生态联动
丰富的API接口、高交互蜜罐联动。
icon服务客户icon
产品推荐 查看更多>>
    珞安卫士 工控主机环境保护

    珞安卫士是一款专用于保护工控主机环境的安全软件产品,部署于工控上位机和服务器上,能防范各类已知和未知恶意程序的运行、控制USB移动存储介质的滥用、对主机系统进行安全加固等,实现对工控主机全面的安全防护。

    安全可靠

    高效稳定

    青藤云安全 入侵检测解决方案 (HIDS)

    青藤云安全,入侵检测解决方案 (HIDS)通过多维度的感知网络叠加能力,保证了能实时发现失陷主机,对入侵行为进行告警。能够提供深入详细的入侵分析和响应手段,从而让用户精准有效地解决问题。

    入侵分析

    实时监控

    深信服云内态势感知解决方案

    深信服云内态势感知解决方案,持续追踪云内高级威胁与异常行为,包含 HTTP 异常流量检测、SMB与RDP协议检测、DNS 隐蔽隧道检测等云内常用攻击手段检测。 配合文件与网络行为检测,持续提供整个云数据中心层面的检测能力。

    手段多样

    隐蔽性高

    传播速度快

    大规模处置困难