锐捷安全态势感知解决方案V20政府行业_20190114

1、,锐捷网络,锐捷安全态势感知解决方案交流,建设安全可信网络面临问题的思考,Part,1,部署安全的企业/单位47%依然被入侵，81%第三方先发现 Gartner,承载数十个业务，下联100多个单位访问，安全防范难度大，因此采购了大量安全设备，去年依然出现了2类安全攻击的高频入侵，存在数据泄露的严重风险，并且自己并不知情。,等级保护,防火墙,入侵防御,WAF,防病毒,漏洞扫描,防篡改,随着等保建设的不断推进，在用户网络或多或少都部署了网络设备，但仅仅通过部署安全设备进行安全加固，客户实际对网络安全的真实状况却是雾里看花。,部署安全设备,真正安全,网络的安全状态如何衡量？,1,安全设备分散，信息量

2、巨大,各设备单兵作战，没有形成整体的防护效应,多设备关联分析难度大，人工分析不现实,2,3,锐捷安全态势感知建设理念 让安全看得见,威胁态势 可预测,安全状态 可度量,核心 能力,攻击行为 可发现,安全防护 可协同,业界安全态势感知解决方案模式介绍,Part,2,业界两大安全态势感知方案模式,方案一：日志分析模式,优势：分析维度更全面，可以充分整合现网资源，集各家所长 劣势：受限于现网安全设备类型，效果不可控，深度分析受限,统一分析平台,业界两大安全态势感知方案模式,业务A,业务B,业务C,业务流量,分析结果,流量探针,安全分析平台,方案二：流量分析模式,优势：不受限于用户现场环境，分析模型通

3、用性较好，具备流量回溯安全分析能力 劣势：无法整合现网安全资源，受限于一家安全检测能力，日志强相关分析模型无法构建,构建最合适的态势感知方案建设模式,“日志采集 + 流量分析 ” , 同时结合威胁情报、智能分析等技术 的组合模式是最优的解决方案 以失陷主机分析场景案例分析：,下联节点,核心网络,NAT 设备,用户,流量探针,检测到了下联主机 有勒索病毒失陷行为,源地址被NAT转换了 具体主机是谁？！ 无法定位,失陷主机 检测、定位,NAT日志记录,流量分析,源地址被转换,锐捷安全态势感知解决方案,Part,3,锐捷安全态势感知解决方案,核心组件 BDS大数据安全平台,01, 大数据架构底层设计

4、，支持大规模网络的弹性扩展 多维度、海量安全信息的采集、存储、建模、分析 丰富的场景化安全分析模型，实现安全风险的精准定位,产品特点,RG-BDS 大数据安全平台概述,安全分析,态势感知,信息采集,建模分析,预警预测,面临主要的问题： 越来越庞大的安全信息如何高效的存储、范式化以及利用？ 如何构建更适合高校场景的分析规则 ?,海量安全信息采集与分析面临的问题,灰色框的需要与Hadoop版本结合使用,系统技术架构的重构： 基于ES技术的底层设计，解决海量数据的高效存储及分析 在超大规模场景中，ES也可以配合Hadoop平台同时使用,标准化,漏洞数据,运行状态,设备告警,系统特性,.,日志采集,数

5、据对象,安全数据采集,安全脆弱性感知,可用性感知,信息补齐,数据清洗,数据压缩,全文检索,机器学习,查询分析,风险感知,攻击检测,预警预测,历史挖掘,关联分析,安全分析,大数据技术,数据处理,数据对象,RG-BDS大数据安全平台的解决之道,多类型的日志兼容能力，BDS已内置70多个厂商，200多款设备的日志支持，涵盖业界主流厂商网络设备、安全设备、操作系统、中间件等。 未标准化设备，在系统收集日志样本后，可快速完成定制开发,强大的日志兼容能力,内置安全分析模型 （云端可持续增添，也可随威胁情报自动建立新的分析模型）,提供多维度的安全分析能力，目前内置100+安全分析模型，实现安全深度分析，做到

6、安全问题的实时追踪、溯源和举证，满足综合安全分析要求。,威胁情报,流量分析,丰富的安全分析模型,区县A,区县B,市局（统一安全分析平台）,纵向网,分布式日志采集器,支持总分部署方案，满足市局对区县的安全信息采集与分析需求，通过平台（部署在市局）+采集器（部署在区县），实现分级安全分析需求。,支持总分部署模式，满足统一安全分析需求,系统自带基线检查模块，内置45个基线检查模型，实现对关键系统及设备的基线违规检测，指导用户进行网络安全风险评估，同时为安全加固提供建议。,任务 制定,采集 分析,违规 报告,系统 加固,内置基线检查模型,自带基线检查模块，提高网络安全监测能力,为满足不同用户对漏洞评估

7、的差异化需求，对支持检测结果外发的外置漏洞扫描系统，BDS同时提供兼容支持，通过漏洞扫描信息的采集，实现更全面的安全分析，满足不同场景安全需求。,非单一banner方式扫描，最大限度减少误报,主要 特色点,支持移动设备、打印机等特殊设备扫描,漏洞库50000+，业内领先水平,可扫描IP地址数不限 最大并发200 支持万兆接口,锐捷RG-Scan漏洞评估系统,兼容外置漏洞扫描设备，满足不同场景安全需求,通过DBS数据库审计设备与BDS大数据平台联动，将DBS重要数据库操作审计记录实时同步到BDS大数据安全平台进行建模分析，对异常操作进行及时预警，实现敏感数据的安全监控需求，包括数据库异常时间、异

8、常频率、高危操作等。,配合DBS数据库审计，满足敏感数据安全审计需求,业务数据库,审计记录,异常时间操作分析,异常频率建模分析,高危操作预警,旁路监控,系统内置安全知识库模块，涵盖十几万条安全知识条目，指导客户进行安全问题的处理，同时系统内置工单系统，帮助用户实现安全问题的跟踪闭环,内置知识库,内置安全知识库及工单系统，实现安全问题闭环,支持RIIL+BDS对接，实现运维+安全统一管理,安全威胁上报+RIIL统一管理,关键组件 全流量探针,02,流量探针四大功能特性,全流量 分析,协议还原,模式分析,攻击检测,信息存储,流量探针概述,基础分析,特征检测,异常协议检测,拒绝服务检测,应用协议识别

9、和元数据抽取,碎片重组,TCP 状态机处理,TCP 流重组,网络捕包,攻击检测,威胁情报检测,动态域名检测,网络质量分析,历史基线,离群分析,模式分析,数据包存储,会话存储,外部查询,威胁检测,高级分析,对外发送,1、配合BDS大数据平台，实现流量维度的深度分析，包括协议及会话的重组及保存。 2、具备深度攻击检测功能，依托于威胁情报检测、攻击特征检测、动态域名检测等实现对深度攻击的分析 3、重组会话、攻击检测分析等原始结果实时同步到BDS平台，进行深度关联分析。,流量探针部署模式介绍,业务A,业务B,业务C,业务流量 旁路镜像,流量探针,检测结果,BDS 平台,重要业务流量监测,通过在业务服务

10、器区前端旁路部署流量探针设备，对业务服务器区流量进行监测，将监测结果同步到BDS平台，做深度安全分析及结果呈现，实现对业务流量的安全分析,核心区,全网流量旁路镜像,流量探针,检测结果,BDS 平台,全网流量监测,通过在核心区旁路部署流量探针设备，将全网流量镜像发送到流量探针进行监测，流量探针将监测结果同步到BDS平台，做深度安全分析及结果呈现，实现全网流量安全分析。,异常流量探针概述,适用于业务服务器区安全监测，或小流量场景,千兆探针 BDS-TSP G1,适用于全网安全监测,万兆探针 BDS-TSP X1,典型分析模型介绍及案例分享,Part,4,安全分析模型：聚焦用户对安全分析需求的核心,

11、业务失陷,如何监测？,如何防范？,安全问题的核心关注： 1、告诉用户：是否有业务已经被入侵，而之前却不知情？ - 问题发现 2、告诉用户：从哪些方面针对性加强防护，才能有效的防范？ - 问题闭环,解法核心：多维度检测是基础，业务失陷所带来的异常，综合于 日志 、流量、以及操作系统（日志的延伸） 各个维度,失陷态势感知模块：通过对日志、流量等多维度的综合分析，简洁呈现哪些业务已经出现被攻陷的异常，查看具体事件后，告诉用户异常点分布在哪些攻击链的哪些阶段。,防范的本质是：对关键威胁实时监控及针对性加固，提高攻击难度，保障业务不被入侵,如何防范？,围绕核心目标：BDS 四大综合分析模块设计,服务器失

12、陷感知,账号失陷感知,用户主机失陷感知,系统漏洞风险感知,明文传输风险感知,弱密码风险感知,基线违规风险感知,失陷风险感知（成功入侵）,脆弱性风险感知（有潜在风险）,违规操作行为监测,高危风险操作监测,行为风险感知（有已知风险）,外部-内部攻击感知,内部- 外部攻击感知,内部-内部攻击感知,攻击风险感知（正在入侵）,如何更精准的 发现业务失陷事件,如何针对性加固 不产生业务失陷事件,围绕核心目标：BDS 四大综合分析模块设计,基于规则模型 安全分析类,01,通过部署UAC流量探针，对服务器会话流量进行深度识别，将流量审计日志发送到BDS进行综合关联分析，实现对失陷服务器及业务的安全监测,失陷业

13、务监测,安全事件描述： 某东北区域用户案例：上线一周，BDS平台帮助用户发现30+失陷服务器，其中20多台服务器被用于恶意挖矿，包括用户非常重要的站群服务器。,案例介绍：挖矿失陷服务器监测,邮件服务器,恶意攻击者,员工密码泄露，非法登录邮箱,向外大量垃圾邮件,安全事件描述： 某大型国企出现职工邮箱密码泄露事件，非法者通过登录员工泄露邮箱，向外发送了大量垃圾邮件，由于缺乏有效监测方案，只能被动响应。 正值两会保障期间，如果邮件发送的内容涉及敏感信息，则影响尤其严重，另外密码泄露也带来了严重的内部数据外泄风险。 虽然用户网络中有防垃圾邮件设备，但主要应对从外向内的垃圾邮件，从内向外发送的邮件，由于

14、源邮箱地址合法，很难准确识别。,垃圾广告,违法言论,.,案例介绍：邮箱失陷安全监测,部署效果：通过BDS+UAC探针部署模式对邮件业务流量进行分析，部署一个月，通过BDS分析在用户网络中共发现失陷邮箱 10 例，第一时间进行密码修改处理，大大降低了网络安全隐患。,邮箱失陷告警,失陷邮箱发送邮件记录,案例介绍：邮箱失陷安全监测,事件描述：为实现对网络中重点安全事件的实时分析，BDS与用户现场探针进行对接，在海量安全日志环境中，BDS通过建模对目前重点安全威胁进行监测，上线一天，BDS即发现“勒索病毒”失陷主机，并第一时间进行威胁告警，同时结合BDS漏洞检测模块，协助客户进行风险排查和安全加固。,

15、案例介绍： 某省国税局 - 勒索病毒检测,基于用户场景不断致力于场景化分析规则的构建,其他分析规则 跳板行为访问分析模型 堡垒机绕行分析模型 密码猜测成功分析模型 弱口令扫描分析模型 虚拟机机漂移检测模型 .,其他基于规则的分析模型介绍,基于机器学习的 异常分析类,02,安全设备对针对服务区的网络攻击事件进行监测，BDS进行攻击监测及经验曲线学习，当监测服务器会话出现异常，超过经验曲线基准指定阈值后，进行安全异常预警。,网络攻击趋势学习及异常分析,安全攻击事件描述： 南方某用户，4月9日出现归并次数200万+的“网络攻击行为异常”严重级别告警，目标为对外服务的网站群地址 网络攻击行为异常策略逻

16、辑： 基于机器学习，收集全网网络攻击日志至少4个周，绘制经验曲线并与实时曲线匹配，当超过300%阈值（可调）时触发告警1次，告警次数累计追加,案例介绍：基于趋势的机器学习分析,攻击来源定位： 通过报表统计出攻击源，验证攻击已经穿透WAF到达FW。告警时间分布集中在4月3日和4月9日。 结合分析结果验证后为国家相关网络安全部门进行重大会议保障前安全检测 对用户的价值： 该机器学习模型非常适合对外业务有常态性大量攻击的场景，通过异常量变来发现问题。 对网络攻击事件的快速响应，也获得了相关部门的认可。,H3C 防火墙,案例介绍：基于趋势的机器学习分析,结合安全咨询服务 深度分析,03,安全事件描述：

17、 通过BDS日志分析发现黑客利用韩国服务器与XX文理学院X.X.X.13服务器进行连接，此连接信息与利用“永恒之蓝”漏洞发送木马到目标服务器的手法很相似，一旦目标主机的漏洞被利用成功，则会去美国木马服务器67.229.144.218下载ups.rar和test1.dat病毒文件，之后目标主机将被黑客完全控制 解决方案： 建议立即对X.X.X.13进行全面安全分析，排查是否真正被黑客入侵 用户反馈： 收到报告后第一时间下线该服务器并进行病毒文件删除和全盘杀毒 安服结果反馈至BDS： 根据专家分析找出用户环境下的常见问题逻辑，归类为分析模型后输入BDS，后续类似问题BDS自动分析和告警,案例介绍：安服与BDS结合的深度安全分析,BDS+,BDS让安全设备不再是简单叠加 体现产品的安全价值,BDS+堡垒机+服务器,BDS+服务器,BDS+漏扫+IDP,BDS+SAM+安全设备,BDS+NGFW+WG+服务器,BDS+WG+服务器+中