【赋能客户 有效防护】安天集团产品与解决方案全国巡展成都站纪实

时间 :  2019年5月22日  来源:  安天


       近日,以“赋能客户,有效防护”为主题的安天集团产品与解决方案全国巡展首站于成都世纪城洲际大饭店成功举办。安天工程师围绕“战术型态势感知指控积极防御,协同响应猎杀威胁运行实战化”的年度主题,与客户共同研讨以有效防护为目标,构建动态综合网络防御体系的相关内容。


网络空间对抗进入体系化阶段


全球APT攻击组织、行动来源分布图(2018版)

       安天工程师尹尚书带来了题为《高级网空威胁带来的挑战》的分享,其从NSA/CSS网空威胁框架入手,向与会嘉宾介绍了网空威胁的发展演变,安天捕获分析的“白象”、“绿斑”、“方程式” 等高级网空威胁行为体典型案例分析,具有代表性的高级网空威胁行为体的支撑体系、攻击装备、作业特点等。

       随着我国信息化的高度发展,网络安全风险也随之而来,国家机密和重要数据信息被窃取、工业生产被攻击破坏、金融资产被盗窃、科研成果被窃取抄袭,各种风险挑战接踵而至,从个体攻击者,到以超级大国为背景超高能力的网空威胁行为体都活跃其中,水平越高的威胁行为体攻击体系性越强。“物理隔离御敌于城门之外”是单点防御思维,无法对抗这种体系性的攻击威胁,需要以“敌已在内、敌将在内”作为敌情设定,构建动态综合的网络安全防御体系。


向指控积极防御迈出坚实脚步:安天战术型态势感知平台体系


安天战术型态势感知解决方案建设思路

       安天工程师孙晋超以《战术型态势感知指挥控制积极防御》为题,阐述了当前网络空间安全防御工作中,安天态势感知解决方案的建设思路和落地案例。

       安天从2002年起,从骨干网恶意代码全规则检测工作入手,开始了网络空间威胁监测的初步实践探索,并协助多个战略客户进行了监测型态势感知平台的建设实践。这种面向公共互联网和针对暴露资产的监测体系,可以一定程度上满足管理部门宏观层面上威胁捕获、研判和策略调整与展示的需求,但并不适合作为有效防御的指控中枢部署于重要信息系统和关键基础设施之中。随后推出的战术型态势感知平台,则可以将有效防御的指控中枢部署于重要信息系统和关键基础设施之中。

       安天战术型态势感知平台,以“敌已在内、敌将在内”的敌情设定为设计前提,在完善并强化已有静态的防御机制实现兼顾结合面与覆盖面的综合防御能力体系同时,为用户打造“掌握敌情、协同响应”的动态积极防御体系。通过配备对抗攻击行动的装备系统和处置流程,展开协同响应与处置的积极防御,高效地实现威胁与脆弱性检测识别、安全事件理解分析、攻击与影响预测、协同联动处置、情报与知识生产,实现安全态势的全面感知与安全业务的融合贯通,对日趋复杂的网络攻击进行更为精准地发现与打击,从而保障响应行动的及时性和有效性,支撑协同联动的实战化运行,协助用户筑起可对抗高级威胁的网络安全防线。


资产、配置、漏洞、补丁打通式管理:安天资产安全运维平台


安天资产安全运维平台的功能价值与定位价值

       安天工程师卢鹏针对安天资产安全运维平台展开介绍,他从信息资产规模和复杂度的成长对安全运维工作的挑战入手,分析了传统安全运维的困境,指出实现网络可防御性的基础是实现网络的可管理性,而对网络可管理性的重要基础支撑是实现资产、配置、补丁、漏洞等相关要素的全面打通,实现运维安全一体化。

       资产是防御保障的对象,也是基础的防御阵地,现代信息系统是由软硬件资产及其复杂的拓扑关系,以及其所承载的业务和数据资产构成的,确保信息资产的机密性、完整性、可用性,保证业务系统的连续运行和可以弹性恢复的能力,是整个安全防御工作的目的。安天资产安全运维平台,对端点、网络设备、网络安全设备、其他外设和办公设备等各种资产要素信息进行采集,形成针对网络管理运维人员的管理视图,随时感知资产和业务变化,有效支撑态势感知平台形成实时网空威胁地形。

       配置是最基础的安全策略,也是充分发挥信息资产自身安全能力,对系统资源代价占用最小的基本安全环节。但因配置涉及大量用户权限、服务起停、端口开闭等环节,因此也存在配置会与业务应用发生冲突的情况。安天资产安全运维平台,充分参考借鉴STIG标准,针对实际应用场景,协助客户定制用户安全分组策略,制定策略模板。

       漏洞是软硬件资产脆弱性的典型表现,漏洞发现与处置的及时性和有效性是日常安全运维工作的重要衡量指标。漏洞处置需要融入风险评估的思想,结合漏洞的危害性、业务及资产的重要性等因素,综合判定漏洞处置的优先级及处置方式,最大程度减轻漏洞处置对业务造成的影响,支撑业务系统的连续正常运行。安天资产安全运维平台包括内网漏洞库、漏洞自动检测终端、漏洞处置验证环境、漏洞策略管理中心等模块,能够支撑规模化信息资产的统一漏洞处置能力。

       补丁是对软硬件资产的安全漏洞和功能缺陷的修复机制。规模性信息资产的补丁策略非常复杂,需要考虑内部统一补丁源、补丁的集中获取与留存审计、补丁的兼容性与可靠性的验证、补丁更新的灰度策略与反馈等。同时还需要考虑一些节点因业务连续性等因素无法打补丁,或无法重启生效的情况。安天资产安全运维平台包括内网补丁源服务器、补丁验证环境、补丁策略管理中心等模块,能够支撑规模化信息资产的统一补丁能力。

       卢鹏还针对微软于2019年5月14日发布的Windows远程代码执行漏洞(CVE-2019-0708),向与会嘉宾展示了安天资产安全运维平台的响应处置过程,并指出对于不被使用的端口和服务通过配置基准确保其不被开启,而不是在看到漏洞或蠕虫通报时才去关闭,协助客户完成“未雨绸缪”的工作,同时也对特殊的无法打补丁或关闭端口的资产予以掌控。在威胁情报和严重漏洞信息到来之时,资产安全运维平台可以迅速展示对应的脆弱性分布,帮助客户制定有效决策。


全平台端点防御:安天智甲终端防御系统


安天智甲终端防御系统的能力与价值

       安天工程师尚超介绍了端点系统所面临的多种流行安全威胁,如勒索病毒、挖矿病毒、内核级木马、格式文档漏洞攻击等。安天智甲终端防御系统支持各种体系结构和操作系统平台,对桌面、工作站、服务器、移动终端、虚拟化等端点场景提供安全防护。为客户提供病毒与恶意代码查杀、威胁主动防御、补丁修复、配置加固等防护功能。对浏览器、电子邮件等入口进行交互防御,对Office等软件遭遇的格式漏洞攻击进行特别保护,对USB等介质攻击进行保护。具有精准检测防御海量已知威胁的能力和较强未知威胁发现和主动防御的能力,可有效收缩终端受攻击面,有效支撑安天资产运维平台和战术型态势感知的数据采集和响应行动。

       智甲采用可信计算与安天下一代反病毒引擎组合构建的黑白双控模式,对引导链和执行对象的行为活动和网络通讯进行检测过滤,针对各种服务器、重要工作站、SCADA站、ATM等场景具有专用的防御策略模板。

       安天智甲全面支撑各种国产CPU和操作系统组合的主机环境防护,参与了专用机病毒防治标准规范的研讨,并率先研发出符合专用机病毒防护要求的产品——安天智甲专用机版,其在国产CPU和国产操作系统的基础架构之上,深度契合专用机的系统特性,从行为、边界、网络等多个层面为涉密专用机提供了全面的安全防护能力。在国产化领域,安天智甲深度结合国产化系统特点,全面覆盖国产化系统平台。


全方位防护:专业化的安全服务保障


安天安全服务品类与关系

       安天工程师尹尚书分享了安天在安全服务领域的能力与落地案例。他表示,在网络安全威胁不断升级的场景下,要防范高能力对手有针对性的攻击,不仅要有完整的安全防护体系,还需要为不同层面的网络安全产品提供防护,更需要与之对抗的安全团队提供专业化的安全服务。安天协助客户深入发现、跟踪、分析、处置、猎杀威胁,为客户提供包括安全咨询、监测分析、安全评估、应急保障、安全培训等五个方面的专业化安全服务,以实现综合全面的网络安全保障 。


       网络安全是当前大国博弈的焦点领域,是持续性对抗的领域。安天作为引领威胁检测与防御能力发展的网络安全国家队,依托自主先进核心技术与安全理念,为重要信息系统和关键信息基础设施提供实战化运行的战术型态势感知解决方案,全面覆盖了网络和信息化基础设施各个组成实体,实现全生命周期的资产集中安全运维;通过将威胁知识与客户专有多源安全数据结合,配套高阶威胁情报与持续追溯服务,持续将威胁应对经验转换为客户的防护与响应能力。

       本次安天集团产品与解决方案全国巡展通过展示安天在技术领域不断创新突破的核心成果,协助客户开展深度结合与全面覆盖的体系化网络安全规划与建设,支撑起协同联动的实战化运行的落地案例,希望秉承“达成客户有效安全价值,提升客户安全获得感,改善客户的安全认知”的企业纲领,赋能客户筑起可对抗高级威胁的网络安全防线。