綠盟科技

400-818-6868
首頁->服務與支持->安全運營·遠航->綠盟威脅檢測與響應服務

服務與支持

綠盟可管理的威脅檢測與響應服務(NSfocus Managed Detection and Response Service,以下簡稱綠盟MDR服務)是一種集安全威脅檢測設備、安全威脅分析平台、安全專家服務于一體的一站式安全運營支撐服務,通過入侵檢測防禦系統、全流量分析系統、态勢感知系統等安全設備與平台及雲端遠程安全分析專家共同為企業客戶提供各類安全的威脅檢測與響應服務(如下圖所示)。

相對于傳統的安全産品與安全服務,綠盟MDR服務具備以下優勢:

1、避免企業信息安全建設面臨的管理風險

當前企業機構的信息安全建設往往采用先采購安全設備和安全平台類産品,後采購運維外包服務方式解決安全問題。這種建設方式,往往在工期上、人員配備上、技術集成上存在較大風險。實現不同廠商安全設備的統一運維與管理、不同安全設備與平台同步開發、聯調對接、安全運維外包服務或安全運維人員招聘和培養等問題給企業增加了供應商管理及外包管理成本和風險,難以确保采購的安全設備、平台及服務能夠形成完整的、有效的運營體系應對日益複雜的安全威脅。

綠盟MDR服務是一體化的、端到端的安全運營支撐服務,通過一體化的設計有效整合了安全威脅分析平台、安全檢測設備及安全運維專家資源,并在技術上、流程上和人員配備上形成有效的安全運營支撐體系,從而避免了企業在安全建設上的風險。

2、配置靈活,成本可控,降低總體成本

綠盟MDR服務可采用靈活方式采購。一方面,客戶可以根據自身業務系統的類型、規模及規劃靈活地選配威脅檢測與分析所需要的設備。另外一方面,在安全設備及安全平台建設上,企業可以根據自身的安全預算情況選擇租賃或采購的方式。對于已購買綠盟安全設備的客戶,還可以選擇在原有安全設備基礎上擴建的方式完成MDR服務的采購。通過以上方式,企業可以大幅降低信息安全建設的一次性投入,并且在确認安全運營支撐服務效果後逐步追加投資。

3、降低運營負擔,适配企業原有的管理流程

與傳統安全設備采購不同,綠盟MDR服務采用一體化建設方式,在原有安全運體系基礎上增加企業威脅檢測與防護的能力,能夠完整地實現企業原有的安全運維體系無縫對接,避免給企業安全運維帶來額外負擔,降低整體安全運營效率。

 

 綠盟MDR服務的價值與功能

綠盟MDR服務專注于安全事件發生中和發生後兩個階段的監測與響應,可以為企業客戶提供以下兩點核心價值:

1、安全止損:綠盟MDR服務通過事件監測或審計的方式幫助企業及時發現安全災害事件,并盡快提供消除災害影響的操作建議,大幅降低安全災害事故帶來的損失和影響。另外一方面,在安全事件發生後,綠盟MDR服務通過本地化應急響應确認進行攻擊溯源,确認引發安全事件根源并采取積極措施消除安全隐患,避免安全災害事故重複發生。

2、降低安全風險:綠盟MDR服務通過威脅監測或審計方式協助企業發現具有持續性攻擊或針對性攻擊的高危訪問源,并提供封殺操作建議,通過攻防對抗方式有效提升攻擊者攻擊成本,迫使攻擊者放棄攻擊,最終達到降低企業安全風險的目的。

綠盟MDR服務功能主要包括熱點事件預警與防護、攻陷主機與事件的防護和高危訪問源的監測與封禁,具體功能如下表所示:

階段

服務項

服務方式

SLA

事中

熱點事件預警

互聯網熱點事件監測、通告與預警

1)時效:在熱點事件發布後24小時之内,進行安全預警和通告

2)範圍:針對可能造成主機被控制且會廣泛影響金融、運營商、政府、交通、能源、教育、醫療的新型漏洞或威脅,事件範圍參見《附件一》

熱點事件預防

防護設備升級并配置防護策略

在熱點事件發布後24小時之内完成防護策略的建議或部署

持續性攻擊高危訪問源發現

互聯網邊界訪問行為審計

識别互聯網惡意訪問源、有掃描探測行為的高危訪問源及有明顯攻陷意圖的訪問源,并提供封殺建議和策略,每日一次

針對性攻擊高危訪問源發現

互聯網邊界訪問行為審計

識别針對已知漏洞進行攻擊的高危訪問源,并提供封殺建議和策略,每日一次

事後

可疑攻陷事件發現

互聯網邊界訪問行為審計

每日一次

範圍:參見《附件二》

可疑攻陷事件排查

流量深度分析(Payload級)

發現攻陷事件後30分鐘内完成

攻陷事件告警

電話/郵件通知

發現攻陷事件後5分鐘内完成

攻陷事件抑制

郵件發送

發現攻陷事件後5分鐘内完成

安全事件應急響應

本地人工

直轄市、省會城市8小時抵達現場

   

綠盟MDR服務采用的設備類型及部署方式

為了确保能及時發現威脅、應對威脅,綠盟MDR服務采用5種不同類型安全設備或平台,包括綠盟Web應用防火牆、綠盟入侵檢測與防護系統、綠盟全流量檢測系統、綠盟統一威脅分析系統、綠盟态勢感知系統。這五類設備和裝置在服務中發揮着不同的功能和作用,幫助企業完成威脅的檢測和響應。設備與平台列表如下表:

設備名稱

英文簡稱

作用

選項

綠盟Web應用防火牆

NSfocus WAF

互聯網側Web威脅檢測與攔截設備

(可選)

綠盟入侵檢測與防護系統

NSfocus IDP

互聯網側系統與應用威脅的檢測與攔截設備

(必選)

綠盟全流量檢測系統

NSfocus UTS

流量回話采集設備

(必選)

綠盟統一威脅分析系統

NSfocus TAM

可疑事件的分析平台

(必選)

綠盟态勢感知系統

NSfocus TAS

可疑事件檢測平台

(必選)

在部署上(如上圖),綠盟MDR服務需要在企業本地側部署安全運營支撐平台(包含綠盟統一威脅分析系統及綠盟态勢感知系統),并将威脅檢測類設備(包括綠盟Web應用防火牆、綠盟入侵檢測與防護系統、綠盟全流量檢測系統)接入至安全運營支撐平台,完成本地部署後,通過在線或離線方式将需要分析的日志信息傳送至雲端交由雲端安全專家完成各類日志分析及策略制定。



MDR服務的主要服務項介紹


熱點事件預警與防護

熱點事件是指大範圍影響單個或多個行業或地域的群體性安全事件,例如Struts2漏洞曝光、永恒之藍攻擊代碼曝光等,這類事件往往伴随大量災害和損失發生。根據綠盟網站安全監測與防護服務的統計,每一次熱點事件的曝光的24小時以内,互聯網都會出現大量與公布漏洞或代碼相關的新型攻擊。對企業來說,每一次熱點事件曝光後的排查與加固實質上都是與攻擊者面對面的較量,攻擊者抓緊時間完成根據新曝光的漏洞信息或攻擊代碼完成攻擊工具,而企業需要完成漏洞的排查與加固。而對于大部分企業來說,确保在24小時之内完成排查和加固是個極大的挑戰,所以熱點事件往往會給企業帶來極大安全風險。

綠盟MDR服務可以幫助企業客戶在完成加固之前,搶先在互聯網出口完成預防工作,将來自于互聯網的新型攻擊有效攔截,大幅降低熱點事件導緻的安全風險。

綠盟MDR服務對熱點事件的預警與防護分為通告預警和安全防護2個階段。在通告預警階段,當前出現熱點事件時,綠盟MDR服務會通過電話、短信、郵件等方式向企業客戶發起安全事件的預警,将安全事件相關背景信息、漏洞與攻擊相關特征及通用處置建議發送給企業。在安全防護階段,綠盟MDR服務雲端安全專家可在客戶授權下,對安全檢測和防護類設備的規則庫進行升級并配置安全防護策略,通過這種方式預防來自互聯網的新型威脅。

此外,在企業提供資産系統/組件/應用類型的前提下,綠盟MDR服務不僅可以對企業客戶通告新事件,還可以進一步幫助企業客戶及時确認事件影響的資産範圍,幫助企業排查隐患和加固。

綠盟MDR服務對熱點事件預警與防護

高危訪問源的監測與封殺

高危訪問源的監測與封殺的主要作用有兩個,一方面可以在攻擊者找到攻陷方法或路徑之前,針對訪問源進行攔截,破壞自動化攻擊行為,達到比設備自動攔截和防護威脅行為更好的效果。另外一方面,針對高危訪問源的封殺可以有效提升攻擊者的時間成本、技術成本迫使對方放棄攻擊;高危訪問源的監測與封殺技術原理如下圖所示。

高危訪問源可以被分為兩類,一類是具有持續性攻擊特征的高危訪問源,另外一類是具有針對性攻擊特征的高危訪問源。

綠盟MDR服務針對以下三類具備持續性攻擊的特點或意圖的訪問源進行檢測:

1、有“案底”的高危訪問源,即在攻擊發生之前曾經對其他主機或系統采取攻擊行為的高危訪問源;綠盟MDR服務采用綠盟威脅情報(NTI)可識别全球新的威脅源,根據IP信譽識别并捕獲高危訪問源。

2、掃描探測類的高危訪問源,綠盟MDR服務通過威脅分析平台對訪問流量和日志分析,可識别各類有掃描行為和探測行為的訪問源。這類訪問行為往往是攻擊的前兆。

3、具有攻陷意圖的高危訪問源,綠盟MDR服務采用大數據分析和機器學習技術,自主開發了訪問行為理解引擎,可以識别攻擊者攻陷行為的七個步驟和環節,從而識别具有攻陷意圖的高危訪問源。

對于針對性攻擊的高危訪問源,綠盟MDR通過威脅分析平台根據威脅告警和資産漏洞信息進行關聯分析,确認每一個威脅行為是否具備針對資産漏洞進行攻擊的特征,如果發現是針對漏洞進行攻擊的威脅行為,則需要将其訪問源進行特殊處理。

可疑安全事件的發現與确認

由于移動終端的普及,攻擊者往往采用攻陷個人移動終端的方式來滲透企業内網,企業内網安全已經無法單純依賴于互聯網邊界的威脅檢測與防護。綠盟MDR服務提供采用互聯網邊界訪問行為檢測與流量深度分析相結合的方式,幫助企業客戶發現并确認可疑的安全事件。

綠盟MDR服務可以通過系統攻擊檢測、web攻擊檢測、網站安全監測(或通告)和威脅情報四種有效方式發現可疑安全事件,前兩者屬于本地檢測方式發現自内網外聯的可疑行為,後兩者都是通過外部能力或情報發現企業内網對外攻擊行為或已被的攻陷痕迹。

當前綠盟MDR服務發現可疑安全事件以後,将可疑事件相關信息,尤其是異常終端訪問信息傳遞給雲端安全專家進行排查和确認,在專家排查确認後盡快向企業發起安全事件通告,并開始啟動應急響應。

總結

綠盟MDR服務是無論是在服務模式上還是在技術上都是業界先進的,該服務不僅為客戶提供了安全一體化建設方案,避免安全建設項目的風險,還進一步融合業界先進的大數據分析技術、機器學習技術、智能決策技術為客戶有效精準地識别安全威脅和事件,從而協助企業持續有效地降低安全風險和安全事故帶來的損失。

綠盟威脅檢測與響應服務白皮書下載