深度體驗慧眼云 探秘國內首款失陷主機檢測系統
責編:penggao |2015-08-26 15:09:44近年來,網絡安全事件頻頻爆發,因為網絡安全事件導致的損失不計其數,更有因為網絡安全事故引發的高層離職事件,而因此導致公司瀕臨倒閉的情況也是屢見不鮮。我們不難發現,“網絡安全”從來沒有像今天這樣備受關注,也從未像現在這樣給全社會帶來了嚴重的影響。
究其根源其實并不難理解,隨著云計算云計算、大數據、移動互聯網這些新的應用和技術的普及,網絡已經成為每個人不可或缺的一部分,而“數據”則成了搶手貨。然而在面對技術飛速發展的今天,傳統安全產品顯然有些力不從心,終端殺毒、防火墻、IPS、Web 安全這些基于已知特征和預設規則展開工作的防護手段已經無法應對未知威脅、內部威脅。
為此,網康這個安全業內的老兵轉變了作戰思維,化被動為主動,化防御為對抗,提出了下一代網絡安全架構。該架構的核心思想,是通過預測發現潛在威脅,并進行持續主動的檢測核實網絡是否已被入侵,對于確認的入侵行為進行還原回溯,最后進行防御。
而網康慧眼云作為下一代網絡威脅感知系統,可以對已知威脅和未知威脅進行全面檢測,也是目前國內首個失陷主機檢測系統。接下來,讓我們一起揭開慧眼云神秘的面紗。
首先是登錄界面,慧眼云的登錄界面非常簡潔,藍色的背景讓人眼前一亮。左側部分則滾動展現了該系統的幾個重點部分,即“失陷主機”“情境分析”“威脅情報”“日志搜索”。
慧眼云的登錄界面清新簡潔
登錄后,我們便進入了慧眼云的管理控制臺,這部分的應用則將該系統的全部功能展現,使用者可以按照自己的需要開始工作。
應用列表清晰明確的展現了慧眼云的全部功能以及功能介紹,右側是系統數據和使用權限及賬號限額
安全無小事,當你想知道目前的安全大環境是怎么樣的,以及預測可能要發生的攻擊情況,這里將給你想要的一切。
慧眼云的威脅情報系統分為兩部分:情報地圖和情報檢測。
通過慧眼云威脅情報地圖可以實時查看最新的網絡攻擊情況,包括攻擊時間、攻擊源國家,被攻擊國家和攻擊類型等等,幫助客戶感知威脅態勢。
慧眼云情報地圖
以下是情報檢測部分,主要基于威脅情報的對撞,查看當前用戶網絡中指定時間內的威脅情況,包括威脅的種類、威脅源國家、趨勢圖等,從而幫助客戶了解未知的歷史攻擊,提升安全意識和防御能力。
威脅種類及數量清晰可見
受攻擊內網地址趨勢量級圖
詳細數據報告中可明確攻擊時間、結束時間、情報類型以及內網地址等信息
慧眼云的“失陷主機”功能是目前國內首個失陷主機檢測系統。其主要通過一張二維圖形進行全局的分布展示,基于“確定性指數”和“威脅性指數”兩個維度劃定不同的風險級別區別,從而給出不同主機的風險級別。
橫軸為“確定性指數”, 縱軸為“威脅性指數”,當鼠標點擊威脅點,也可看到收到攻擊的IP地址及確定性指數和確定性指數
慧眼云基于這兩個維度,將失陷主機大概劃分為三個區域:低度風險區域、中度風險區域、高度風險區域。當主機分布在中度風險區域時,處于預警狀態,提醒客戶需要重點對這部分主機進一步跟蹤分析。當主機分布在高度風險區域時,說明需要立刻采取措施,否則有可能產生不可估量的損失。
失陷主機列表中的詳細數據可以讓IT管理員對目前的威脅情況了解透徹,以便進一步采取相應措施
此外,慧眼云可以鉆取每一臺主機的失陷分析過程,通過威脅活動的幾個階段(遭受入侵、收到控制、發起內部攻擊、發起惡意行為),分析出當前主機的確定性指數和威脅性指數,并可以看到指定時間內該主機失陷情況的走勢圖,從而判斷出失陷主機的活躍程度和風險級別。
受到攻擊的主機基本信息
指定主機整個威脅活動的分布圖和詳細數據
慧眼云通過時間維度看到指定主機整個威脅活動的分布圖,可以幫助客戶對失陷的情況有個直觀的認識,而攻擊過程的還原可以幫助客戶找到失陷的源頭,分析出已經產生的危害,為安全評估提供可視化的支撐。
慧眼云情境分析,可以基于客戶的業務場景,通過對網絡行為的大數據分析,能夠自適應的建模出客戶當前業務下的安全威脅模型,從而更有針對性的發現網絡中存在的異常,提高安全等級。
“統計總覽”呈現一段時間內網絡攻擊信息的統計結果可以了解網絡中存在的主要安全問題。
統計結果主要為: 滲透攻擊的IP排行、被滲透攻擊的事件排行、間諜軟件行為的IP排行、間諜軟件行為的事件排行、訪問惡意URL的IP排行、訪問URL的事件排行、下載病毒木馬的IP排行、下載病毒木馬的事件排行等.
在關聯分析中,我們可以看到基于主機類型、連接方向、源地址,目的地址等屬性作情境關聯分析。例如,某遭到滲透攻擊IP的攻擊源(IP地址、所屬地域)、攻擊方式、應用載體;又如,下載某病毒的源IP地址、目的IP地址、應用載體等。
源IP地址和目的IP地址排行
IP地址分布分析
基于主機類型、連接方向、源地址,目的地址等屬性作情境關聯分析
慧眼云的日志搜索提供大數據搜索服務,幫助安全人員進行快速的事件定位和回溯。更重要的是,這里實現了對用戶所有接入慧眼云安全設備的日志的集中管理和關聯分析,有效的解決了單機設備所面臨的信息孤島問題。管理者可以通過全局日志分析更有效的了解整個網絡的全局安全態勢。
慧眼云安全報告主要基于資產安全、威脅分析、應用分析、病毒與惡意URL分析等維度分析,定時定期的將分析好的報告發送到安全分析員手中,幫助安全分析員實時全面了解網絡中可能存在的安全問題,及時采取措施。
同時,基于日、周、月、年的報告可以看到整個網絡安全趨勢,幫助管理者對未來的安全走勢進行把握,提前進行安全布局,提升安全能力。
慧眼云安全報告界面非常全面,可以選擇模板、預約報告等。
基于資產安全、威脅分析、應用分析、病毒與惡意URL分析等維度分析的報告模板
以上就是慧眼云平臺的全部功能,由于涉及到用戶隱私,記者特意隱去了IP地址等關鍵信息。據悉慧眼云還可與網康的安全網關設備(如下一代防火墻 NGFW)進行聯動,通過安全服務等方式將分析檢測后的結果下發到網關設備,從而構建從發現到阻斷的整體防御體系,進行多級協同防御,徹底提升網絡安全防護能力。
上一篇:彩影ARP防火墻安裝使用體驗
下一篇:瑞星虛擬化系統安全軟件評測報告