防御的失效,是灾难的开始!那么,为什么防御会失效?传统安全技术,更加侧重“筑墙防守”的防御思路。但针对化、定制化的高级恶意软件已经成为企业的最大威胁,因为这些高级恶意软件通过变种处理,能够有效的躲避基于病毒特征检测的反病毒软件。
新的网络安全时代,需要的是纵深部署、攻防对抗的思路。内网安全,无疑是攻防对抗的关键举措。通过具备行为分析和快速响应的智能化技术,在第一时间发现内网失陷主机,是部署内网安全的最重要一步。
图1 山石网科公司贾彬在论坛现场演讲
图2 山石网科内网威胁态势感知方案
山石网科内网威胁态势感知方案是结合了机器学习、行为分析、智能保护和情报共享的四位一体组合方案,有效的对内网失陷主机进行感知(图2)。该方案拥有多项核心技术,包括基于网络/应用行为,发现内网失陷主机,同时可检测出变种软件等躲避技术,也可以主机威胁确认与定位,亦进行威胁进程、文件隔离或清除,以及威胁主机隔离、威胁情报收集与分析、威胁溯源与取证、威胁减缓与控制等。利用这些技术对攻击过程做到立体防御,对关联分析还原恶意行为的攻击过程和路径,生成威胁情报应用到内网的各个节点,同时分析检测异常行为、定位并通知发起者与受害者,以及附件的变种恶意软件攻陷主机。
山石网科内网威胁态势感知方案基于UEBA技术,通过机器学习、数学建模的网络行为分析,对内网失陷主机风险感知,通过对威胁情报生产与分析和攻击路径溯源以及云端威胁情报分享,对风险主机行为分析,发现威胁源头,溯源威胁途径,清除威胁。并且可对内网安全态势可视、已知/未知威胁可视(包括攻击路径及攻击阶段可视)、失陷主机实现风险可视。
人们利用边界安全防御和内网安全防御提供基于时间、空间、行为的安全防护能力,构建四维安全体系。
本次高峰论坛北京山石网科信息技术有限公司荣获“2017年度最佳下一代防火墙值得信赖品牌奖”。