绿盟科技

首页->服务与支持->安全运营·远航->绿盟威胁检测与响应服务

服务与支持

绿盟可管理的威胁检测与响应服务(NSfocus Managed Detection and Response Service,以下简称绿盟MDR服务)是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务,通过入侵检测防御系统、全流量分析系统、态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务(如下图所示)。

相对于传统的安全产品与安全服务,绿盟MDR服务具备以下优势:

1、避免企业信息安全建设面临的管理风险

当前企业机构的信息安全建设往往采用先采购安全设备和安全平台类产品,后采购运维外包服务方式解决安全问题。这种建设方式,往往在工期上、人员配备上、技术集成上存在较大风险。实现不同厂商安全设备的统一运维与管理、不同安全设备与平台同步开发、联调对接、安全运维外包服务或安全运维人员招聘和培养等问题给企业增加了供应商管理及外包管理成本和风险,难以确保采购的安全设备、平台及服务能够形成完整的、有效的运营体系应对日益复杂的安全威胁。

绿盟MDR服务是一体化的、端到端的安全运营支撑服务,通过一体化的设计有效整合了安全威胁分析平台、安全检测设备及安全运维专家资源,并在技术上、流程上和人员配备上形成有效的安全运营支撑体系,从而避免了企业在安全建设上的风险。

2、配置灵活,成本可控,降低总体成本

绿盟MDR服务可采用灵活方式采购。一方面,客户可以根据自身业务系统的类型、规模及规划灵活地选配威胁检测与分析所需要的设备。另外一方面,在安全设备及安全平台建设上,企业可以根据自身的安全预算情况选择租赁或采购的方式。对于已购买绿盟安全设备的客户,还可以选择在原有安全设备基础上扩建的方式完成MDR服务的采购。通过以上方式,企业可以大幅降低信息安全建设的一次性投入,并且在确认安全运营支撑服务效果后逐步追加投资。

3、降低运营负担,适配企业原有的管理流程

与传统安全设备采购不同,绿盟MDR服务采用一体化建设方式,在原有安全运体系基础上增加企业威胁检测与防护的能力,能够完整地实现企业原有的安全运维体系无缝对接,避免给企业安全运维带来额外负担,降低整体安全运营效率。

 

 绿盟MDR服务的价值与功能

绿盟MDR服务专注于安全事件发生中和发生后两个阶段的监测与响应,可以为企业客户提供以下两点核心价值:

1、安全止损:绿盟MDR服务通过事件监测或审计的方式帮助企业及时发现安全灾害事件,并尽快提供消除灾害影响的操作建议,大幅降低安全灾害事故带来的损失和影响。另外一方面,在安全事件发生后,绿盟MDR服务通过本地化应急响应确认进行攻击溯源,确认引发安全事件根源并采取积极措施消除安全隐患,避免安全灾害事故重复发生。

2、降低安全风险:绿盟MDR服务通过威胁监测或审计方式协助企业发现具有持续性攻击或针对性攻击的高危访问源,并提供封杀操作建议,通过攻防对抗方式有效提升攻击者攻击成本,迫使攻击者放弃攻击,最终达到降低企业安全风险的目的。

绿盟MDR服务功能主要包括热点事件预警与防护、攻陷主机与事件的防护和高危访问源的监测与封禁,具体功能如下表所示:

阶段

服务项

服务方式

SLA

事中

热点事件预警

互联网热点事件监测、通告与预警

1)时效:在热点事件发布后24小时之内,进行安全预警和通告

2)范围:针对可能造成主机被控制且会广泛影响金融、运营商、政府、交通、能源、教育、医疗的新型漏洞或威胁,事件范围参见《附件一》

热点事件预防

防护设备升级并配置防护策略

在热点事件发布后24小时之内完成防护策略的建议或部署

持续性攻击高危访问源发现

互联网边界访问行为审计

识别互联网恶意访问源、有扫描探测行为的高危访问源及有明显攻陷意图的访问源,并提供封杀建议和策略,每日一次

针对性攻击高危访问源发现

互联网边界访问行为审计

识别针对已知漏洞进行攻击的高危访问源,并提供封杀建议和策略,每日一次

事后

可疑攻陷事件发现

互联网边界访问行为审计

每日一次

范围:参见《附件二》

可疑攻陷事件排查

流量深度分析(Payload级)

发现攻陷事件后30分钟内完成

攻陷事件告警

电话/邮件通知

发现攻陷事件后5分钟内完成

攻陷事件抑制

邮件发送

发现攻陷事件后5分钟内完成

安全事件应急响应

本地人工

直辖市、省会城市8小时抵达现场

   

绿盟MDR服务采用的设备类型及部署方式

为了确保能及时发现威胁、应对威胁,绿盟MDR服务采用5种不同类型安全设备或平台,包括绿盟Web应用防火墙、绿盟入侵检测与防护系统、绿盟全流量检测系统、绿盟统一威胁分析系统、绿盟态势感知系统。这五类设备和装置在服务中发挥着不同的功能和作用,帮助企业完成威胁的检测和响应。设备与平台列表如下表:

设备名称

英文简称

作用

选项

绿盟Web应用防火墙

NSfocus WAF

互联网侧Web威胁检测与拦截设备

(可选)

绿盟入侵检测与防护系统

NSfocus IDP

互联网侧系统与应用威胁的检测与拦截设备

(必选)

绿盟全流量检测系统

NSfocus UTS

流量回话采集设备

(必选)

绿盟统一威胁分析系统

NSfocus TAM

可疑事件的分析平台

(必选)

绿盟态势感知系统

NSfocus TAS

可疑事件检测平台

(必选)

在部署上(如上图),绿盟MDR服务需要在企业本地侧部署安全运营支撑平台(包含绿盟统一威胁分析系统及绿盟态势感知系统),并将威胁检测类设备(包括绿盟Web应用防火墙、绿盟入侵检测与防护系统、绿盟全流量检测系统)接入至安全运营支撑平台,完成本地部署后,通过在线或离线方式将需要分析的日志信息传送至云端交由云端安全专家完成各类日志分析及策略制定。



MDR服务的主要服务项介绍


热点事件预警与防护

热点事件是指大范围影响单个或多个行业或地域的群体性安全事件,例如Struts2漏洞曝光、永恒之蓝攻击代码曝光等,这类事件往往伴随大量灾害和损失发生。根据绿盟网站安全监测与防护服务的统计,每一次热点事件的曝光的24小时以内,互联网都会出现大量与公布漏洞或代码相关的新型攻击。对企业来说,每一次热点事件曝光后的排查与加固实质上都是与攻击者面对面的较量,攻击者抓紧时间完成根据新曝光的漏洞信息或攻击代码完成攻击工具,而企业需要完成漏洞的排查与加固。而对于大部分企业来说,确保在24小时之内完成排查和加固是个极大的挑战,所以热点事件往往会给企业带来极大安全风险。

绿盟MDR服务可以帮助企业客户在完成加固之前,抢先在互联网出口完成预防工作,将来自于互联网的新型攻击有效拦截,大幅降低热点事件导致的安全风险。

绿盟MDR服务对热点事件的预警与防护分为通告预警和安全防护2个阶段。在通告预警阶段,当前出现热点事件时,绿盟MDR服务会通过电话、短信、邮件等方式向企业客户发起安全事件的预警,将安全事件相关背景信息、漏洞与攻击相关特征及通用处置建议发送给企业。在安全防护阶段,绿盟MDR服务云端安全专家可在客户授权下,对安全检测和防护类设备的规则库进行升级并配置安全防护策略,通过这种方式预防来自互联网的新型威胁。

此外,在企业提供资产系统/组件/应用类型的前提下,绿盟MDR服务不仅可以对企业客户通告新事件,还可以进一步帮助企业客户及时确认事件影响的资产范围,帮助企业排查隐患和加固。

绿盟MDR服务对热点事件预警与防护

高危访问源的监测与封杀

高危访问源的监测与封杀的主要作用有两个,一方面可以在攻击者找到攻陷方法或路径之前,针对访问源进行拦截,破坏自动化攻击行为,达到比设备自动拦截和防护威胁行为更好的效果。另外一方面,针对高危访问源的封杀可以有效提升攻击者的时间成本、技术成本迫使对方放弃攻击;高危访问源的监测与封杀技术原理如下图所示。

高危访问源可以被分为两类,一类是具有持续性攻击特征的高危访问源,另外一类是具有针对性攻击特征的高危访问源。

绿盟MDR服务针对以下三类具备持续性攻击的特点或意图的访问源进行检测:

1、有“案底”的高危访问源,即在攻击发生之前曾经对其他主机或系统采取攻击行为的高危访问源;绿盟MDR服务采用绿盟威胁情报(NTI)可识别全球新的威胁源,根据IP信誉识别并捕获高危访问源。

2、扫描探测类的高危访问源,绿盟MDR服务通过威胁分析平台对访问流量和日志分析,可识别各类有扫描行为和探测行为的访问源。这类访问行为往往是攻击的前兆。

3、具有攻陷意图的高危访问源,绿盟MDR服务采用大数据分析和机器学习技术,自主开发了访问行为理解引擎,可以识别攻击者攻陷行为的七个步骤和环节,从而识别具有攻陷意图的高危访问源。

对于针对性攻击的高危访问源,绿盟MDR通过威胁分析平台根据威胁告警和资产漏洞信息进行关联分析,确认每一个威胁行为是否具备针对资产漏洞进行攻击的特征,如果发现是针对漏洞进行攻击的威胁行为,则需要将其访问源进行特殊处理。

可疑安全事件的发现与确认

由于移动终端的普及,攻击者往往采用攻陷个人移动终端的方式来渗透企业内网,企业内网安全已经无法单纯依赖于互联网边界的威胁检测与防护。绿盟MDR服务提供采用互联网边界访问行为检测与流量深度分析相结合的方式,帮助企业客户发现并确认可疑的安全事件。

绿盟MDR服务可以通过系统攻击检测、web攻击检测、网站安全监测(或通告)和威胁情报四种有效方式发现可疑安全事件,前两者属于本地检测方式发现自内网外联的可疑行为,后两者都是通过外部能力或情报发现企业内网对外攻击行为或已被的攻陷痕迹。

当前绿盟MDR服务发现可疑安全事件以后,将可疑事件相关信息,尤其是异常终端访问信息传递给云端安全专家进行排查和确认,在专家排查确认后尽快向企业发起安全事件通告,并开始启动应急响应。

总结

绿盟MDR服务是无论是在服务模式上还是在技术上都是业界先进的,该服务不仅为客户提供了安全一体化建设方案,避免安全建设项目的风险,还进一步融合业界先进的大数据分析技术、机器学习技术、智能决策技术为客户有效精准地识别安全威胁和事件,从而协助企业持续有效地降低安全风险和安全事故带来的损失。

绿盟威胁检测与响应服务白皮书下载