2.1.1 IT+OT網(wǎng)全面檢測
(一) 主機(jī)(探針+主機(jī)衛(wèi)士)+智能采集器精確定位
通過部署長揚(yáng)科技主機(jī)(探針+主機(jī)衛(wèi)士)+智能采集器結(jié)合AI智能識(shí)別定位技術(shù),對(duì)于存在惡意軟件自動(dòng)化傳播過程中常見的端口掃描、漏洞利用、暴力破解等異常網(wǎng)絡(luò)行為,信息網(wǎng)及工控資產(chǎn) CPU 等資源占用過高等異常現(xiàn)象進(jìn)行排查,同時(shí)針對(duì)狀態(tài)可疑的資產(chǎn)進(jìn)行協(xié)作分析,一旦發(fā)現(xiàn)包括挖礦木馬及病毒在內(nèi)的惡意軟件就可以提取其特征值形成精確檢測規(guī)則,持續(xù)補(bǔ)充挖礦治理專項(xiàng)工作的安全監(jiān)測能力,快速精準(zhǔn)定位挖礦主機(jī)及病毒。
(二) 防火墻+IPS/IDS特征攔截潛在的挖礦外聯(lián)行為
通過部署長揚(yáng)科技防火墻,結(jié)合IPS/IDS特征庫識(shí)別技術(shù),快速攔截通過釣魚郵件、惡意站點(diǎn)、軟件捆綁下載等方式誘導(dǎo)用戶點(diǎn)擊其惡意腳本程序,不僅能檢測出不可讀的隨機(jī)字符構(gòu)成的域名,還能檢測出使用單詞拼接方式仿造正常域名的惡意域名,快速識(shí)別異常外聯(lián)流量,定位組織網(wǎng)絡(luò)中的挖礦主機(jī)。
2.1.2 IT+OT網(wǎng)閉環(huán)處置
防火墻+IPS/IDS+主機(jī)衛(wèi)士閉環(huán)處置“挖礦木馬/病毒”
部署長揚(yáng)科技防火墻+IPS/IDS+主機(jī)衛(wèi)士,通過先期安全團(tuán)隊(duì)收集和集成一些已知威脅情報(bào)信息,相較于公開威脅情報(bào)還通過平臺(tái)運(yùn)營中安全告警事件處置中的樣本分析建立適應(yīng)網(wǎng)絡(luò)環(huán)境和惡意軟件流行家族的專有檢測能力。通過“從失陷資產(chǎn)找異常,從異常找失陷資產(chǎn)”不斷互補(bǔ)實(shí)現(xiàn)挖礦活動(dòng)檢測能力的持續(xù)提升,最終標(biāo)記出全網(wǎng)絡(luò)環(huán)境內(nèi)與挖礦活動(dòng)相關(guān)的失陷資產(chǎn),通過主機(jī)衛(wèi)士白名單及挖礦木馬/病毒處置功能推動(dòng)處置閉環(huán)。
2.1.3 IT+OT網(wǎng)立體防護(hù)
長揚(yáng)科技安全運(yùn)維團(tuán)隊(duì)針對(duì)“挖礦”治理提出IT+OT網(wǎng)立體防護(hù)解決方案,其中包括安全運(yùn)維、應(yīng)急處置及重大活動(dòng)安全保障三項(xiàng)措施。依據(jù)現(xiàn)有已建設(shè)完成的安全產(chǎn)品,結(jié)合我司的態(tài)勢(shì)感知工具,將信息網(wǎng)和工控網(wǎng)各安全產(chǎn)品及防護(hù)設(shè)備有序的結(jié)合起來,數(shù)據(jù)匯總分析,日志泛化處理,態(tài)勢(shì)感知預(yù)測。檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞及資產(chǎn)安全態(tài)勢(shì)。
2.2 垂直監(jiān)管
針對(duì)垂直管理組織架構(gòu)的集團(tuán)用戶,下屬企業(yè)及機(jī)關(guān)單位自身網(wǎng)絡(luò)安全防護(hù)不到位、網(wǎng)絡(luò)安全概念認(rèn)知不足的情況時(shí)有發(fā)生。按照國家或省級(jí)監(jiān)管單位對(duì)下屬企業(yè)“挖礦”管理要求、認(rèn)定規(guī)則及監(jiān)測通報(bào)機(jī)制,需要進(jìn)一步提高總部監(jiān)管單位對(duì)下屬企業(yè)機(jī)關(guān)“挖礦”及安全威脅態(tài)勢(shì)的感知能力。長揚(yáng)科技安全態(tài)勢(shì)感知團(tuán)隊(duì)提出針對(duì)“挖礦”治理的垂直監(jiān)管解決方案:
總部機(jī)構(gòu)部署長揚(yáng)科技態(tài)勢(shì)感知平臺(tái),同下屬機(jī)關(guān)單位的態(tài)勢(shì)感知平臺(tái)分布式對(duì)接,使其信息網(wǎng)生產(chǎn)網(wǎng)數(shù)據(jù)信息同總部實(shí)時(shí)同步,以“挖礦”流量數(shù)據(jù)、網(wǎng)絡(luò)安全數(shù)據(jù)、新基建關(guān)鍵基礎(chǔ)設(shè)施行業(yè)數(shù)據(jù)為基礎(chǔ),以資產(chǎn)指紋、漏洞信息、威脅情報(bào)、網(wǎng)絡(luò)模型等海量數(shù)據(jù)為資源支撐,運(yùn)用大數(shù)據(jù)、人工智能及云技術(shù),幫助中心機(jī)構(gòu)精準(zhǔn)識(shí)別網(wǎng)絡(luò)威脅,提升風(fēng)險(xiǎn)評(píng)估、態(tài)勢(shì)感知、監(jiān)測預(yù)警及智能運(yùn)營一體化的能力。
3 成果分享
3.1 精準(zhǔn)定位全面檢測,精確攔截閉環(huán)處置
長揚(yáng)科技態(tài)勢(shì)感知團(tuán)隊(duì)通過分布式部署的主機(jī)探針+采集器手段,快速定位發(fā)現(xiàn)網(wǎng)絡(luò)中不同區(qū)域不同IP段和不同中毒癥狀的IP。
3.2 針對(duì)非法外聯(lián)的閉環(huán)處置
通過集成多種攔截策略、特征庫及威脅情報(bào)反饋的防火墻、IPS/IDS設(shè)備,針對(duì)內(nèi)部網(wǎng)絡(luò)終端或者服務(wù)器的外聯(lián)行為進(jìn)行識(shí)別和攔截,設(shè)定允許終端或者服務(wù)器外聯(lián)的地址、外聯(lián)地址的服務(wù)及端口來定義正常外聯(lián)行為,定義的正常外聯(lián)行為之外的所有外聯(lián)行為全部作為非法外聯(lián)。
防火墻功能截圖
4 客戶價(jià)值
長揚(yáng)科技安全團(tuán)隊(duì)針對(duì)虛擬貨幣“挖礦”活動(dòng)提出全面檢測、閉環(huán)處置和立體防護(hù)的三位一體解決方案,為用戶提供信息網(wǎng)+工控網(wǎng)的全網(wǎng)精準(zhǔn)定位的有效檢測方式,通過安全防護(hù)設(shè)備快速響應(yīng)并處置網(wǎng)絡(luò)中的潛在威脅,配合具備豐富安全保障經(jīng)驗(yàn)的運(yùn)維團(tuán)隊(duì)提供724小時(shí)的監(jiān)測預(yù)警,為客戶的網(wǎng)絡(luò)安全保駕護(hù)航,做到真正意義上的立體防護(hù)。
新聞爆料
