面临的挑战
随着IT技术的飞速发展以及互联网的广泛普及,金融企业都建立了网络信息系统。虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部。在国内,高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度,造成内部网络木马、病毒、恶意软件肆虐,各种0day漏洞、APT攻击层出不穷。同时系统与应用软件的安全漏洞使得黑客入侵有机可乘;自主知识产权操作系统的缺乏,使得国内广大XP用户在停服后面临前所未有的挑战。
在金融业的信息安全防御思路中,事前发现、事中拦截、事后响应是最常见的方式。但是从Web安全走过了这么多年的结果中看到,在攻与防的博弈中,越来越多的案例证实攻方始终占据领先优势。而在传统的拦截手段逐步失去效果的情况下,如何快速的对威胁进行预测、检测、发现将成为安全的重点发展趋势。 在Web安全中,由于网站是开放给所有用户的,它在开放业务给用户的时候,也把自己暴露给了黑客,对网站的入侵相比其他的安全领域门槛更低,而Web网站的安全性恰恰影响到该金融公司的公共形象。比如:银行业的门户网站被入侵后,会导致大量的用户无法进行网上银行的交易。金融业的门户网站被入侵后,黑客进一步篡改网页信息,会导致大量的虚假消息误导用户。更有甚者,黑客可以通过网站挂马的技术,进一步的得到用户的账户信息。导致大量资产外流等恶性后果的产生。
网络安全事件的发展显示骇客正在使用越来越精密且有效率的方式来进行攻击。在金融行业,很多APT攻击都是通过鱼叉式钓鱼邮件或者水坑式攻击的方式,利用高级恶意软件去攻击终端主机,以进入组织的内部网络,进行偷窃或破坏。由于这种高级恶意软件的具备的特点(如:多种逃避检测技术、针对特定目标、零日攻击等)传统安全产品很难及时发现。组织不能有效的抵御这些高级恶意软件,意味有可能存在以下的风险:
竞争力受损:攻击者有可能盗窃商业机密、客户记录等业务资料,也有可能窃取知识产权信息,这些数据的曝光或者被竞争对手掌握,都可能严重损害竞争力。
声誉受损:客户和合作伙伴的信任是市场成功的关键,被曝光的安全事件、泄露客户个人资料以及成为攻击跳板都可能迅速的破坏这种信任关系。
业务中断:部分攻击的目的是为了中断组织的相关业务,使其无法正常运转。而安全事件爆发后的处理也会严重影响正常的运营。。
解决方案
奇安信天擎新一代终端安全管理系统是奇安信面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。奇安信天擎新一代终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。主要功能模块如下:
- 威胁发现
- 天擎终端可以收集终端上的各种安全状态信息,包括:漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。
- 立体防护
- 天擎终端具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次,为用户构建立体防护网,确保企业终端安全。
- 安全管控
- 天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、流量管理、软件统一分发卸载、终端安全策略管理等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。
- 终端检测和响应(EDR)
- 通过天擎的EDR模块细粒度的采集及分析终端的进程socket事件、进程dns事件、带附件邮件发送接收事件、出入文件事件和接收上传附件事件、终端软硬件资产、行为信息等相关数据并接收个威胁情报平台发送的告警信息等线索来快速定位问题根源,对威胁事件进行深度挖掘和关联,将入侵的链路完整呈现,这样才能进行有效的处置并提供安全基线、防止同类攻击再次发生。(流程如下图所示):
- 奇安信天擎为内网用户提供一体化智能漏洞修复方案,帮助内网终端用户快速发现各类补丁,提供补丁修复功能,且还有奇安信首创的补丁安装蓝屏修复机制,防止补丁修复异常带来的系统无法正常使用,确保终端都能及时、准确的打上补丁,以有效降低漏洞带来的其他安全风险。天擎还能为客户提供独有的大数据引擎(Big Data Engine:BDE)系统,将全网终端日常运维数据汇聚存储分析,并能显示客户内部的病毒木马爆发趋势及病毒种类排名做可视化的展示,也可根据客户的行业特点和客户运维管理所需的要求定制报表,为管理员提供更佳有效的终端安全运维依据,提高终端安全管理水平。
奇安信网站群监测系统依靠奇安信强大的云端资源,为用户提供网站可用性监控、网站挂马、钓鱼网站、网页篡改、暗链发现、漏洞扫描、漏洞舆情等安全服务。系统为用户提供统一云平台管理账号,用户处无需部署任何软硬件产品,可以随时随地,利用任何可联网终端通过浏览器对监控对象进行7x24小时的监控、查看与管理。
奇安信网站群监控系统由基础数据支撑系统,数据处理引擎,本地数据处理模块、系统管理与展示模块4部分组成:
奇安信网站群监测使用webscan扫描引擎,该引擎以多年网站防护经验为基础研发的一款扫描产品,周期性的提供安全漏洞就检测服务,自动更新补天及运营团队每日编写的检测规则。全面、快捷识别网站存在的最新漏洞。通过分析模型及海量样本库加权判断网站是否被仿冒,网页是否被挂马,检测网页被篡改位置及内容,及时告警使其得到快速处理。同时可以搜取更具有价值的相似页面,通过内容比对,上下文分析等技术为网站钓鱼提供判断依据。
奇安信网站群检测使用全国80个探测点定时对网站的可访问性、DNS解析失败率、连接失败率等基本访问情况进行探测。目前云服务监控拥有全国31个省市的80余个监测点,同时监测频率最小能到1分钟。能7x24小时实时监测用户的网站的可用性,并结合奇安信的大数据分析平台,对网站的性能指标进行详细分析,为网站的运维和优化提供数据支撑。
奇安信网站群检测DDOS分析系统,聚焦于全球DDOS攻击现状及趋势的分析功能。结合海量网络数据进行分析建模,有效发现异常访问流量。系统检测到被监管资产出现故障后,能有效分析网站是否遭受DDOS攻击,攻击类型,开始时间等重要信息供参考解决客户问题。
部署奇安信天眼未知威胁检测及回溯方案中的检测方案可以帮助金融客户及时有效的发现未知威胁,提升管理人员对未知威胁的发现速度和效率,最大限度的降低金融客户受攻击后的损失,回溯方案可以记录内网的任何一次网络行为为回溯提供强大的支撑。
- 威胁情报
- 奇安信天眼实验室在云端共搜集了200PB与安全相关的数据,涵盖了DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,最终形成云端威胁情报下发本地进行检测。
- 本地检测
- 传感器负责将所有镜像流量进行还原分析,提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容,将文件通过加密通道传送到检测器;检测器对所有文件进行解压缩,格式检查后,将使用静态检测、半动态检测、沙箱检测等多种检测手段对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁。使用该方案后,可以有效发现网络中出现的漏洞利用行为,木马控制行为,同时沙箱检测还可以提供更多高级沙箱防逃逸技术以避免攻击绕过整个检测系统。
- 回溯
- 分析平台可以依靠自身独特的分布式搜索架构设计,将所有传送至此的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以在分析平台上快速的搜索到。如此,安全管理人员便可以利用该方案记录过去一段时间内出现的任何一次网络行为,发现任何一次网络行为中的具体细节,提升网络透明度及可视性,快速发现高级威胁结合本地系统进行准确溯源,牢牢掌握金融客户安全工作的主导位置,满足上级监管单位对于安全工作的溯源及定位要求。
方案价值
-
为金融行业客户建设统一防病毒体系、统一计算机安全管理体系;利用管理和技术有效结合,可以完美解决终端系统所面临的病毒、恶意软件、补丁缺失、配置不规范问题,保障用户的终端安全。统一安全管理中心和模块化单一终端软件,易用的产品功能,可以降低运维人员维护成本。私有云病毒查杀功能,既保证了病毒查杀效率,也可以降低终端资源消耗,获得良好的内部用户体验。
-
通过奇安信厂商多年积累的大数据、成熟的样本分析模型、高尖端的安全运营团队为基础。为用户实时监控网站可用性、实时分析网站完整性、周期扫描网站脆弱性、及时通告网站0day及舆情、自动抓取并分析仿冒网站、事实监控网站是否遭受DDOS攻击等服务。做到事前告警、事中建议、事后溯源,协助用户解决网站资产安全问题。
-
通过部署天眼未知威胁感知系统,通过进行云端大数据计算和挖掘,结合专家分析所形成的威胁情报数据与本地流量进行关联分析,最大限度地发现金融行业客户内部未知威胁,从而使金融行业客户获得一般企业所不具备的未知威胁感知能力,使金融行业客户的安全检测能力处于行业领先地位。
