6月3日,由关键信息基础设施技术创新联盟、信息安全等级保护关键技术国家工程实验室、《网信自主创新调研报告》编委会联合主办的2021网信自主创新优秀产品、解决方案评选公布最终结果。
中睿天下睿眼网络攻击溯源系统凭借在技术创新方面的显著优势,通过专家初选、复选层层评审及量化打分,从近五百个项目脱颖而出,获得“盘古奖”(优秀产品之技术创新奖)。
睿眼•网络攻击溯源系统(简称睿眼•网络)通过全流量威胁监测、网络场景可视化与攻击溯源技术,针对于不同行业、不同风险场景的网络安全特定需求,提供流量分析框架与成熟的智能分析模型,并结合系统底层的威胁与异常行为分析能力,依靠基础网络及威胁数据处理的高颗粒度,低门槛、体验更佳的功能设计,给予用户进行行业化、场景化网络安全防护的能力,打造符合等保标准要求、适应用户业务逻辑,发现网络安全风险,识别黑客攻击行为,并将攻防技术判断转变成业务风险结果的实时监测与智能分析平台,实现网络风险感知与攻击溯源。
技术创新
行业化、场景化。具有极其灵活的自定义场景功能,可基于用户真实业务环境,根据违规操作、异常外联、横向渗透、域间访问关系等多维角度,制定极其贴合业务的场景,可持续运营,极大降低运维成本。
以运维角度出发,具备资产自动化测绘、资产脆弱性感知、资产指纹识别,资产新增/消亡动态监测等全面的资产管理能力,快速发现异常资产。
支持多元素分析数据包,具备全包存储功能,有利于完整回溯攻击过程,且对web攻击数据包支持预览功能,具备告警包模式、会话包模式、日志模式等,兼容多种看包方式。
可抓取0day。根据多维度行为分析,结合告警新增对比功能,抓取攻击性极强的0day。
将攻防技术判断转变成业务风险结果。采用特征检测、行为分析、攻击链锚点的方式,围绕外到内,内到外,内到内三个网络方向展示的攻击者全网活动进行检测,并提供覆盖全网络协议的威胁分析模型和复杂关联计算,将攻击者的活动过程、影响范围、入侵进度等通过时间轴等功能进行简单明了的结论性输出。
应用场景
日常监控:实时感知资产异动情况
通过资产识别模块,建立网络资产存活数据库,在重保等监控场景下,快速发现新增/消亡异动资产。
日常监控:发现互联网IP针对DMZ区的成功入侵
筛选互联网IP对DMZ区域的成功入侵及高危攻击告警,从而过滤大量无效告警,帮助分析人员聚焦安全事件。
应急响应:一键检测发现感染勒索病毒的主机
基于勒索病毒感染规律,利用睿眼.网络版可自定义配置场景,快速发现内网感染勒索/挖矿病毒的失陷主机。
内部防护:监控来自内网其他单位/部门的横向攻击
自定义配置不同网域之间的攻击行为,监控内网其他单位/部门对本单位发起的攻击,可用于内网红蓝对抗或真实内网渗透等场景。
重保时期:重点监控保障期间的新增攻击
建立网络行为基线与访问关系策略,以历史数据为快照,对比筛选出新增网络访问关系,帮助分析人员聚焦新增网络威胁。
实战案例
实战演练前,某关键信息基础设施运营单位利用睿眼·网络攻击溯源系统,按照风险模型建立不同区域的资产分组,并根据攻击链/网络关系模型建立监控场景。
在实战演练期间的某天凌晨,监控组通过睿眼·网络攻击溯源系统的「失陷场景监控」发现「可外连服务器区」存在对内的攻击行为,产生端口服务和漏洞的扫描行为告警。
监控人员对该告警进行二次分析后,确认为攻击,同时核对资产IP后确认为某云视频的本地部署服务器。溯源分析后,确认为利用某网络会议系统0day漏洞展开的供应链攻击。
失陷场景监控:利用睿眼·网络攻击溯源系统,通过被动流量梳理出某网络区域内对外主动发起请求存在响应包的主机,定义为可外连的主机。对可外连主机的IP进行「定制化场景监控」,条件为「源IP属于可对外联网」产生网络告警。
